2019年移动安全总结

2019年移动安全总结 序言 随着2019年的逝去，二十一世纪第二个十年也已随之结束。回顾过去的十年，我们的生活随着科技的进步发生了翻天覆地的变化，这其中，手机就是其中一个最直观的表现。 过去的十年，我们的手机在不断的更新换代。从“品牌”来看，我们的手机从摩托罗拉、诺基亚、西门子、黑莓等，变成了华为、苹果、小米、OPPO、vivo、三星等。从手机“操作系统”来看，我们早已告别了塞班、黑莓，如今已经进入了Android、iOS与Windows Phone，从市场占比上看，如今俨然已是Android跟iOS的双足鼎立。然而伴随着手机的发展，手机病毒也由开始的“短信轰炸”发展到现在的多种多样，甚至已经变为了诈骗犯罪、窃取情报、政治攻击的武器。 诚然，我们的科学技术是在不断进步的，但阳光照射下总会有阴暗的地方。 每个时间段我们总要去面对新的问题，每个时间段我们总要去面对新的移动安全问题。回顾2019年，移动安全发生了太多的事，数据泄露、病毒木马、安全漏洞、APT攻击等。无论是关系到我们大众的个人隐私信息，还是关系到国家的安全建设，都让我们认识到了移动安全的重要性。 本报告为奇安信移动安全团队，基于2019年国内外发生的移动安全事件、各个安全厂商披露的移动安全威胁活动以及我们内部产生的威胁情报数据，对2019年移动安全事件的总结。 主要观点  暴利黑产决定病毒木马 移动端黑产，总是伴随着移动端技术而发展，目前移动端黑产种类繁多且产业链完善。暴利的驱使，使得黑产从业人员不断的开发出新的获利方式，目前移动黑产种类有：暗扣话费、广告流量变现、手机应用分发、木马刷量、 勒索软件、控制肉鸡挖矿等。这样我们就可以找到目前市面上的移动病毒产生根源，银行木马、色情软件、拦截马、流氓软件等都是黑产团伙为了获利而生产的工具。2019年黑产活动依然猖獗，在即将踏入物联网的时代，移动安全会面临更加严峻的挑战。  政治目的决定APT攻击 2019年奇安信威胁情报中心、奇安信移动安全团队捕获并披露多起移动APT攻击，其中在中东等有武装冲突，政治矛盾比较复杂的地区APT攻击比较多。我国也一直被一些APT组织攻击，且被攻击的目标广泛，涵盖部门众多。 2019年各国面临的APT攻击依然频繁，在国际形势敏感的当下，掌握先机就代表着掌握了主动权，未来的APT战场上，移动APT值得我们重视。  移动社区安全需要加强 相比于iOS，Android的社区安全依然不容乐观。Google Play作为全球最大的Android软件平台，根据我们2019年的研究报告及公开资料，Google Play已经成为了重灾区。国内情况也大同小异，好在目前工信部已经对各个平台、众多软件做出了整改的要求。当然维护Android社区的健康发展，还需要我们共同的努力。  个人安全意识需要提高 广大用户，应该提高自己的安全意识。移动端APP已经覆盖了我们的工作、生活，未来我们会更加的依赖，作为用户我们需要对APP有一定的甄别能力。2019年依然有大量的用户因一些钓鱼木马、色情软件等上当受骗，希望在未来更加广泛的移动产品里，用户可以提高安全意识。 第一章 2019年各地移动安全事件总结 奇安信移动安全团队基于内部数据及相关公开资料，对2019年全球影响较大的移动安全事件进行了汇总，以便更好的展现2019年移动安全对全球的影响。 Google Play为全球最大的移动应用平台，也是国外大多用户下载应用的首选平台。虽然Google Play一直致力于打击恶意APP，但根据我们对2019年的数据总结，Google Play也是恶意APP传播的主要途径。恶意软件团伙及个人，在利益的驱使下，通过各种方法混进Google Play进行传播恶意软件，对用户造 成了巨大的经济损失。 下面我们通过图文的形式，展示2019年影响较大的国际移动安全事件。 2019年移动恶意软件影响范围： 我们将2019年影响较大的移动安全事件，根据影响区域分为了两类，“无差别地区攻击”与“针对特定地区攻击”。 无差别地区攻击的恶意事件 恶意软件想大规模的传播，Google Play平台无疑是最好的选择，但能否绕过Google Play的安全检测，并成功在Google Play上架并不容易。所以通过对2019年的Google Play主要安全事件统计，我们发现广告流氓软件占据了很大的比例，少量的间谍软件、银行木马也会出现，此外还有挂着正规厂商的越界软件。 推送广告的流氓软件 互联网盛行的今天，广告的收益非常大，这也就促使了很多团伙与个人通过各种手段推送广告获利。国际上对于流氓广告软件，其打击力度非常大，各大安全厂商及Google Play对于APP的审核也相当严格，然而面对海量的APP软件，总会有漏网之鱼。下面我们列举2019年Google Play上发现的影响较大的推送广告的流氓软件事件。 Goole Play上发现的推送广告的恶意软件，其都是通过仿冒当下热度较高的APP，以及用户用的较多的相机软件、游戏软件等进行诱骗用户下载；其运行方式也基本相同，隐藏自身图标后全屏推送广告。推送广告的流氓软件，对于用户来说是令人讨厌的，但对于广告公司来说是巨大的利润损失。 移动端的广告欺诈问题同样严重，广告欺诈主要针对广告厂商，通过广告堆叠、模拟点击、设备ID重置欺诈、捆绑ID欺诈、SDK欺诈等。目前已经形成了完整的黑色产业链，而每年通过欺诈的方式，黑产团伙可以获得将近1亿美元的收入。 预计到2020年移动广告将占全球广告支出的30.5%，总额将达到1870亿美元，是桌面广告支出880亿美元的两倍多，仅落后电视广告1920亿美元50亿美元，以目前移动互联网的发展速度，超过电视广告也将很快到来。黑产团伙及个人在巨额利益的诱惑下，未来对移动互联网产业的冲击是巨大的。面对越来越复杂的技术，对于安全厂商来说，如何应对这一问题将至关重要。 银行木马软件 相比于广告软件，银行木马危害程度要高很多。这类木马其针对性强，在网络犯罪中非常流行，近年来各类恶意木马层出不穷，其从根本上危害到了用户的个人信息、财产安全。2019年奇安信移动安全团队也时刻关注着这类软件，且对于流行银行木马进行了持续跟踪与分析。 2019年活跃的主要银行木马： 银行木马名称 影响简介 备注 Gustuff Gustuff木马可以仿冒100多种银行应用程序和32种加密货尚未在Google Play出现。 币，其目标包括美国银行、苏格兰银行、摩根大通、富国银行等。该木马还可以仿冒PayPal，Western Union，eBay，Walmart，Skype，WhatsApp，Gett Taxi，Revolut等。 尚未在国内出现。 Anubis Anubis木马功能强大，自身结合了钓鱼、远控、勒索木马的功能。已经影响全球100多个国家，300多家金融机构。 已出现在Google Play。 尚未在国内出现，国内国际版应用被仿冒。 Cerberus 地狱犬为2019年新发现的Android银行木马，其目前正在地下论坛出租。目前为止仅适用七个法国银行、七个美国银行、一个日本银行、15个非银行应用程序。 尚未在Google Play出现。 尚未在国内出现。 Red Alert Red Alert最早出现在2017年，但2019年依然活跃。其针对120家银行和社交网络应用。针对国家多为欧美，日本、印度也有发现。 尚未在Google Play出现。 尚未在国内出现。 Exobot Exobot主要针对移动支付应用，且对用户较多的应用下手，目前其主要针对PayPal及特定地区的银行、金融应用。 尚未在Google Play出现。 尚未在国内出现。 其源码已泄露。 2019年活跃的主要银行木马，除了仿冒银行图标外，仿冒最多的图标： Android银行木马尤其以Anubis最臭名昭著，Anubis功能异常强大，自身结合了钓鱼、远控、勒索木马等功能，其完全可以作为间谍软件。而且Anubis影响范围很大，可以仿冒全球378个银行及金融机构，目前主要活跃在欧美国家，国内暂时没有发现，奇安信移动安全团队自Anubis爆发以来，一直对其进行追踪，我们通过数据平台监测到Anubis仿冒国际版“抖音”与国际版“PUBG”，并予以披露。 Anubis仿冒图标： 2019年Anubis活动主要时间线： 值得注意的是，2019年Anubis的作者，maza-in被捕，其竟然是前军事人员，maza-in可能将会面临5年的牢狱之灾。但由于Anubis的源码早已公开，所以Anubis的变种以及仿冒Anubis的恶意软件在未来还会给用户财产带来威胁。 2019年Cerberusd的出现并通过其强大的功能，迅速被列入了顶级Android木马威胁的行列。更为有趣的是，Cerberus的作者专门开通了推特账号，在其推特下发布该恶意软件的促销广告，并尝试与其他感兴趣的人沟通，同时发布安全厂商披露Cerberusd的文章，以此进行打趣。 间谍窃密软件 窃密软件以获取用户个人信息为目的，用户个人信息的贩卖同样也是黑产的一部分。相比于银行木马，窃密软件获取的信息更多，在一定程度上给用户造成 损失的不止钱财。当攻击者掌握了足够多的用户信息，衍生的犯罪行为也会更多，用户潜在的威胁会更大。但是在数据爆炸的当下，有些数据泄露无法避免，我们只有将危害降低到最低。下面我们盘点下2019年重大的移动间谍窃密事件。 窃密方式 事件简介 备注 通过剪贴板窃密 Google Play上首次发现了利用剪辑器窃取加密货币的恶意软件，该恶意软件冒充为MetaMask合法服务，恶意软件的主要目的是窃取受害者的凭据和私钥，以控制受害者的以太坊资金。 已出现在Google Play。 SMS网络钓鱼 该攻击依赖于无线（OTA）设置的过程，运营商通常使用该过程将特定于网络的设置部署到加入其网络的新电话上。但是调查后发现，任何人都可以发送OTA设置消息。 影响包括三星、华为、LG、索尼等手机。目前已修复。 仿冒正常APP Google Play上发现一款窃密软件命名为Joker，已发现有问题应用24款，影响国家达到37个，其中包括中国。 已出现在Google Play。 国内受影响。 仿冒正常APP Google Play上再次发现基于Triout Android间谍软件框架的APP，其下载量达到了5000万，评论达到了100万。韩国、德国影响较为严重。 已出现在Google Play。 嵌入SDK 据Check Point 报道，国内某公司在应用中嵌入SWAnalytics SDK，用于收集用户数据，受影响应用多达12个。 国内受影响。 监控软件 Google Play上检测到8个应用，可用于监控个人的软件，该软件主要用于监控员工、家庭成员。已累计下载14万次。 已出现在Google Play。 仿冒正常APP 间谍软件 Google Plasy上发现基于AhMyth，针对音乐发烧友的间谍软件。该恶意软件用于窃取用户个人信息，应用启动后多以英语、波斯语显示。 已出现在Google Play，其它应用商城也已出现。 仿冒为聊天软件窃密 名为CallerSpy的聊天应用，本身并无聊天功能，目前应该处于测试阶段。启动时，CallerSpy启动与通过C＆C服务器的连接Socket.IO监测即将到来的命令。然后，它利用Evernote Android-Job开始调度作业以窃取信息。 目前无受害用户 StrandHogg漏洞 StrandHog漏洞可使恶意软件伪装成流行的应用程序，并要求各种权限，使黑客可以监听用户、拍摄照片、发送短信等。该漏洞影响包括Android 10的设备，直接导致了前500名最受欢迎的的应用面临被仿冒风险。 Android用户可能面临风险。 目前窃密类恶意软件多为通过仿冒正规应用程序诱骗用户安装下载，而且其方法技术也在不断的更新，剪贴板窃密、SMS网络钓鱼、结合开源框架等恶意软件，未来随着技术的发展，恶意软件窃