主要觀點
2020年奇安信威脅情報中心累計截獲Android平臺新增網(wǎng)銀盜號木馬樣本約20萬個,,針對全球金融行業(yè)的攻擊依然是攻擊者的主要目標之一。
從全球范圍來看,,移動互聯(lián)網(wǎng)的安全治理相對薄弱,,特別是網(wǎng)銀盜號木馬依然泛濫,呈現(xiàn)出種類繁多,、手段多樣等特點,,對用戶財產(chǎn)威脅嚴重。而相比之下,,國內(nèi)的移動互聯(lián)網(wǎng)安全治理更有成效,,整體安全環(huán)境明顯好于全球,特別是網(wǎng)銀盜號木馬等傳統(tǒng)移動安全威脅,在國內(nèi)已經(jīng)比較少見,。
2020年,,AdbMiner挖礦木馬家族攻擊活躍,在全球范圍內(nèi)攻陷數(shù)以萬計的物聯(lián)網(wǎng)設備,,國內(nèi)被攻陷的物聯(lián)網(wǎng)設備數(shù)量也接近千級,。鑒于物聯(lián)網(wǎng)設備越來越多,物聯(lián)網(wǎng)安全事件對物聯(lián)網(wǎng)的設備的影響量也越來越廣,。
由于物聯(lián)網(wǎng)設備也普遍以Android系統(tǒng)為基礎,,且物聯(lián)網(wǎng)設備的安全防護水平普遍不及智能手機,因此,,隨著用戶身邊的物聯(lián)網(wǎng)設備越來越多,,物聯(lián)網(wǎng)設備被攻陷的風險也在日益增加。針對Android系統(tǒng)的安全研究,,必須把物聯(lián)網(wǎng)設備考慮在內(nèi),。
2020年國內(nèi)依然有多條黑色產(chǎn)業(yè)鏈持續(xù)活躍,對用戶的隱私,、財產(chǎn)安全威脅嚴重,。其中,山寨網(wǎng)貸,、裸聊勒索,、誘惑視頻、刷量廣告,、黑卡,、群控、棋牌私彩最為突出,。
摘 要
2020年奇安信威脅情報中心累計截獲Android平臺新增惡意程序樣本230萬個,,平均每天截獲新增惡意程序樣本6301個。其中,,惡意扣費類占34.9%,、資費消耗類占24.2%、流氓行為類占22.8%,、隱私竊取類占12.3%,、誘騙欺詐類占4.3%、遠程控制類占1.5%,。
2020年國外出現(xiàn)眾多針對金融行業(yè)的網(wǎng)銀盜號木馬,,而國內(nèi)出現(xiàn)少量的網(wǎng)銀盜號木馬對用戶資產(chǎn)造成威脅。
2020年老牌挖礦家族AdbMiner針對物聯(lián)網(wǎng)設備的攻擊活動比較活躍,,木馬通過特定端口持續(xù)感染不安全的物聯(lián)網(wǎng)設備實施挖礦來獲取收益,。有關監(jiān)管機構通過微信公眾號發(fā)布預警消息,,警示充電寶木馬再次來襲。
2020年山寨網(wǎng)貸黑產(chǎn)通過偽冒正規(guī)網(wǎng)貸APP對民眾資產(chǎn)以及個人信息造成嚴重威脅,。
2020年裸聊勒索黑產(chǎn)利用社會工程學引誘男性受害者下載安裝裸聊木馬并引誘其進行裸聊,然后通過木馬竊取受害者裸聊視頻并對受害者進行威脅恐嚇來獲取錢財,。
2020年誘惑視頻木馬通過偽冒色情APP引誘用戶購買VIP來騙取錢財,,但并不提供任何完整色情視頻。
2020年刷量廣告黑產(chǎn)通過對熱門APP二次改包的方式來注入廣告模塊并將廣告收益人指向自己,。
2020年新型黑卡產(chǎn)業(yè)通過木馬遠程控制受害者設備的方式,,將受害者的設備作為自己的基礎設施來向下游黑產(chǎn)人員售賣服務進行收益。
2020年群控黑產(chǎn)繼續(xù)發(fā)展,,通過最新云控來登錄大量虛假賬戶,,然后通過注冊水軍等多種方式獲取收益。
2020年棋牌私彩黑產(chǎn)繼續(xù)通過盜版視頻推廣,、群推廣等多種渠道推廣木馬程序,,引誘受害者進行賭博并通過木馬程序控制賭博結果來騙取受害者錢財。
關鍵詞: 移動安全,、金融,、流量、網(wǎng)銀盜號木馬,、黑色產(chǎn)業(yè)鏈,、挖礦、物聯(lián)網(wǎng)設備
第一章 Android平臺惡意樣本分析
2020年奇安信威脅情報中心累計截獲Android平臺新增惡意程序樣本230萬個,,平均每天截獲新增惡意程序樣本6301個,。2020年全年共有三個月爆發(fā)較大規(guī)模的新增惡意程序樣本,分別是位于上半年的4月(34.6萬個),,下半年的10月(43.6萬個)和11月(45.2萬個),,累計共占全年新增惡意程序樣本的53.7%。其中在爆發(fā)最高峰的10月和11月,,這兩個月的惡意樣本占比高達70%以上,,是最低峰6月的4倍。2020年Android平臺各月新增木馬數(shù)量見下圖,。
2020年移動端惡意樣本類型主要為惡意扣費(占全年移動端惡意樣本的34.9%),,其次是資費消耗(占比24.2%)、流氓行為(占比22.8%),??梢钥吹剑蟀氲囊苿訍阂獬绦蚴侵苯記_著用戶“錢包”來的,,切實關系到用戶直接的經(jīng)濟損失,。
第二章 金融類Android木馬攻擊分析
國內(nèi)外的Android應用安全環(huán)境存在很大的不同,,世界各個不同地區(qū)的流行Android木馬,其攻擊目的,、攻擊方式,、偽裝方式也有很大的不同。研究和追蹤全球木馬流行趨勢,,對于我們做好國內(nèi)的安全“免疫”工作,,具有很重要的參考價值,也是威脅情報分析的核心工作之一,。所以,,在分析國內(nèi)Android木馬流行趨勢之前,我們首先對國外的Android木馬流行趨勢做一個基礎分析,。
一,、全球網(wǎng)銀類木馬流行趨勢
2020年奇安信威脅情報中心累計截獲Android平臺新增網(wǎng)銀盜號木馬樣本約20萬個,其中TOP5的網(wǎng)銀盜號木馬家族樣本多達近16萬個,。
在TOP5全球網(wǎng)銀盜號木馬家族中,,最“耀眼”的當屬Anubis和Ceberus,其除了仿冒數(shù)百款國外銀行應用進行攻擊外,,還在疫情期間借助疫情誘惑,、吸引受害者。2020奇安信威脅情報中心疫情期間分別對其展開了披露,,提醒廣大移動互聯(lián)網(wǎng)用戶謹防中招,。
網(wǎng)銀盜號木馬常常偽裝成其他應用程序誘騙用戶下載安裝。監(jiān)測顯示,,Chrome(23.7%),、佐川急便(8.2%,日本流行的快遞應用),、Flash Player(4.7%)是被偽冒量最多的應用,。下圖給出了被國外網(wǎng)銀盜號木馬仿冒最多的10類應用程序。TOP10排名見下圖,。
Chrome瀏覽器是國外用戶手機上一款常用的APP,,國外用戶對該APP的信任程度較高,故攻擊者們常將其作為仿冒的主要目標,。另外,,攻擊者們也會出于某些目的將目標瞄準特定地區(qū),如針對日本地區(qū)的佐川急便,,針對土耳其地區(qū)的Sistem Güncelle?tirmesi(系統(tǒng)更新),,針對韓國地區(qū)的KB????(KB儲蓄銀行),針對俄語地區(qū)的ВТБ Онлайн(VTB在線),、Одноклассники(Odnoklassniki)等,。
分析顯示,,在國外,流行的網(wǎng)銀盜號木馬主要通過以下四種技術方式來實現(xiàn)盜取用戶銀行卡憑證信息,。
1.)利用釣魚頁面
例如,,Chrome瀏覽器具備綁定銀行卡的功能,所以木馬偽冒Chrome在啟動的時候彈出銀行卡綁定頁面誘騙用戶輸入銀行卡憑證,。
2.)偽冒銀行APP
仿冒合法網(wǎng)銀APP軟件的木馬程序,,會在用戶登錄時要求用戶輸入個人信息以及銀行卡憑證進行竊取。
3.)彈出釣魚頁面覆蓋銀行APP
木馬一經(jīng)安裝啟動就會在桌面上消失,,躲藏在后臺默默運行,等待用戶啟動正常銀行APP時彈出釣魚頁面覆蓋銀行APP的頁面來誘騙用戶輸入銀行卡憑證進行竊取,。
4.)利用無障礙服務
木馬啟動后要求用戶開啟Android系統(tǒng)為殘障人士提供的無障礙服務來監(jiān)聽用戶使用銀行APP情況,,木馬還會記錄鍵盤輸入信息來進行竊取銀行卡憑證。
二,、針對國內(nèi)金融機構的仿冒木馬
國內(nèi)網(wǎng)絡監(jiān)管審查相比國外更加嚴格,,移動互聯(lián)網(wǎng)治理工作更有成效,擁有較好的大環(huán)境,。研究發(fā)現(xiàn),,在國內(nèi),仿冒其他應用的網(wǎng)銀類木馬數(shù)量要比國外少得多,。2020年,,奇安信威脅情報中心共在國內(nèi)監(jiān)測偽冒正常應用的網(wǎng)銀盜號木馬近百個。其中主要以偽冒各大銀APP,、偽冒安全軟件以及銀行相關APP為主,。具體分布見下圖。
2020年10月份,,我們捕捉到一個國內(nèi)網(wǎng)銀盜號木馬新家族“BYL”,,該家族會偽裝成國內(nèi)數(shù)家知名銀行APP。該家族木馬通過獲取用戶銀行卡憑證,、個人信息來盜竊用戶財產(chǎn),。奇安信威脅情報中心大數(shù)據(jù)統(tǒng)計,該樣本于2020年7月至10月中旬首次爆發(fā),,至少在國內(nèi)31個省級行政區(qū)的用戶手機上進行傳播,,感染總設備多至2000臺左右,其中山東11.5%,、上海6.9%,、四川6.7%為全國感染量最多的三個省級地區(qū)。
2020年12月,,該家族木馬再度來襲,。奇安信威脅情報中心大數(shù)據(jù)統(tǒng)計,,截至2020年12月31日,全國12個省級行政區(qū)用戶對BYL網(wǎng)銀盜號木馬家族搭建的釣魚下載頁面的訪問數(shù)量達到萬級,,其中內(nèi)蒙古(11.8%),、北京市(4.5%)、廣東?。?.2%)是國內(nèi)釣魚下載頁面訪問量最多的三個地區(qū),。具體情況見下圖。
第三章 物聯(lián)網(wǎng)Android木馬攻擊分析
以往針對Android木馬的研究大多集中在智能手機領域,。但奇安信威脅情報中心監(jiān)測顯示,,隨著物聯(lián)網(wǎng)領域的興起,越來越多的物聯(lián)網(wǎng)設備開始搭載Android系統(tǒng),,且物聯(lián)網(wǎng)設備的整體安全防護及安全管理能力都遠遠不及智能手機,。所以,物聯(lián)網(wǎng)設備已經(jīng)成為很多黑產(chǎn)團伙盯上的新目標,。
一,、挖礦木馬
“AdbMiner”挖礦木馬誕生于2018年,直至2020年依然存活,,是今年Android平臺最流行的一款挖礦木馬,。主要通過droidbot攻擊模塊對已經(jīng)打開的 adb 調(diào)試端口的Android設備進行蠕蟲傳播。其一開始針對的目標是電視盒子設備,,后續(xù)也被發(fā)現(xiàn)于充電樁等其它Android物聯(lián)網(wǎng)設備中,,其感染對象幾乎全都是物聯(lián)網(wǎng)設備。
根據(jù)數(shù)據(jù)統(tǒng)計,,挖礦家族AdbMiner在全世界感染量接近萬級,,國內(nèi)感染量達到千級。
2020年9月30日,,日本某地區(qū)充電樁遭受AdbMiner家族攻擊后正常業(yè)務無法展開,,奇安信威脅情報中心發(fā)現(xiàn)后發(fā)布報告披露IoT挖礦家族AdbMiner在野活動。
二,、充電寶木馬
2020年12月,,監(jiān)管機構發(fā)布一則重要提醒,讓廣大人民群眾警惕身邊的共享充電寶,,其內(nèi)部很有可能就植入有木馬程序,。
正規(guī)的共享充電寶只提供充電功能,而不會提供包含數(shù)據(jù)傳輸線路的功能,,因此插上充電線后不會有任何彈窗,。而惡意改造的充電寶會存在申請權限訪問用戶個人隱私數(shù)據(jù)或者彈窗顯示是否允許訪問手機上的數(shù)據(jù)等,具體見下圖,。
針對此類通過充電寶傳播的木馬程序,,奇安信威脅情報中心給出如下安全建議,。
1.)使用正規(guī)商家的共享充電寶。
2.)如果插入充電寶后有任何彈窗,,就應該提高警惕并選擇否,。
3.)使用Android手機時,如無必要不要開啟開發(fā)者模式,。
第四章 移動平臺黑產(chǎn)活動監(jiān)測
互聯(lián)網(wǎng)用戶的網(wǎng)絡安全意識還較為薄弱,,容易被黑產(chǎn)人員設計好的套路所欺騙。2020年,,奇安信威脅情報中心披露多條黑色產(chǎn)業(yè)鏈相關細節(jié),,揭露常見欺詐套路,為普及安全常識做出貢獻,。
一,、山寨網(wǎng)貸
(一)山寨網(wǎng)貸詐騙模式
山寨網(wǎng)貸APP,,是指黑產(chǎn)團伙開發(fā)的,仿冒某些知名網(wǎng)貸平臺的APP,,或完全虛假的網(wǎng)貸APP,。不同于一般的木馬程序,此類APP不僅會竊取用戶網(wǎng)銀等帳號信息,,還會通過虛假的網(wǎng)貸平臺,,誘騙用戶繳納各種費用,從而實施詐騙,。
山寨網(wǎng)貸平臺的攻擊過程一般如下:
1.)推廣山寨網(wǎng)貸APP
黑產(chǎn)組織首先仿冒知名機構網(wǎng)貸平臺,,通過短信、電話,、聊天等方式進行推銷,,誘騙借款人下載安裝與正版APP相似的山寨網(wǎng)貸APP。相關釣魚短信見下圖,。
2.)一旦借款人使用了山寨網(wǎng)貸APP,,便會被要求山寨網(wǎng)貸APP中注冊自己個人信息申請借款,但申請的額度往往無法支取,。在遭受個人信息被泄露的同時,,假客服還會以手續(xù)費、保證金,、銀行賬號解凍費,、提現(xiàn)費用等話術套路,引導借款人進行轉賬或其他行為,,進一步造成用戶的個人財產(chǎn)損失,。
?。ǘ?nbsp; 山寨網(wǎng)貸APP態(tài)勢
2020年奇安信威脅情報中心累計截獲山寨網(wǎng)貸樣本多達5萬多個,涉及2萬多個APP,,其中采用有錢花(10.8%),、倢信金融(4.9%)、借唄(4.9%)的應用名稱出現(xiàn)的頻率最多,。山寨網(wǎng)貸主要是仿冒成大公司相同或者相似的應用名稱,,讓用戶難辨真假。具體見下圖,。
2020年,,奇安信威脅情報中心截獲的所有山寨網(wǎng)貸,分為兩類惡意家族,,分別為FakeLoan家族(占比96.6%)和BlackLoan家族(占比3.4%),。具體見下圖。
二,、刷量廣告
刷量廣告APP,,主要分為兩種類型。
一種為仿冒正規(guī)APP類,。黑產(chǎn)團伙開發(fā)的,,仿冒一些常用應用或者熱門應用。該木馬程序主要在受害者點擊啟動之后,,在后臺偷偷訪問廣告鏈接并模擬用戶點擊來通過受害者的流量訪問廣告,,以此來刷取廣告聯(lián)盟提供的廣告播放收益。
另外一種為在正規(guī)APP中增加插件類,。黑產(chǎn)團伙直接篡改應用市場上的熱門應用,,并在其中插入黑產(chǎn)團伙編寫的廣告插件,以實現(xiàn)廣告播放功能,,然后將受益者的信息填寫為黑產(chǎn)團伙相關資產(chǎn),,最后再將修改后的熱門應用通過其他應用商店進行傳播,以此來實現(xiàn)借助別人的熱門應用為自己賺取廣告收益,。
?。ㄒ唬┧⒘繌V告黑產(chǎn)分析
仿冒正規(guī)APP類刷量廣告的黑色產(chǎn)業(yè)鏈的具體過程如下圖。
仿冒正規(guī)APP類刷量廣告的攻擊過程一般如下,。
1.)從開發(fā)人員那里購買惡意廣告木馬(惡意廣告木馬指在用戶不知曉的情況下偷偷訪問廣告鏈接獲取廣告收益的惡意木馬),。
2.)通過網(wǎng)頁下載、應用商店等方式傳播木馬,。
3.)受害者啟動木馬后,,木馬后臺訪問并模擬點擊廣告,廣告聯(lián)盟平臺會將廣告收益返回給黑產(chǎn)人員。
在正規(guī)APP中增加插件類刷量廣告的黑色產(chǎn)業(yè)鏈,。具體過程如下圖,。
在正規(guī)APP中增加插件類刷量廣告的攻擊過程一般如下。
1.)黑產(chǎn)人員從各大應用商店上收集一些擁有一定下載量的應用,,用來作為山寨的對象,。
2.)黑產(chǎn)人員再對收集到的APP進行“插包”,在正規(guī)APP里插入廣告聯(lián)盟平臺提供的廣告插件進行廣告播放,,并把廣告收益者的信息填寫為自己,。
3.)將修改過的山寨APP發(fā)布到各大應用商店上讓用戶下載使用。
4.)用戶使用山寨APP時產(chǎn)生的廣告收益由廣告聯(lián)盟平臺返還到黑產(chǎn)人員那里,。
(二)刷量廣告樣本態(tài)勢
2020年奇安信威脅情報中心監(jiān)測到惡意廣告樣本新增數(shù)量多達近13萬個,,其中12月份(占比50.1%)、4月份(占比26.3%),、11月份(占比15.9%)新增的樣本數(shù)是今年增長最多的幾個月份,。具體分布如下圖。
在新增的惡意廣告樣本中,,我們根據(jù)應用名稱對樣本進行統(tǒng)計,,繪制出TOP 10的數(shù)量分布。其中以AVG AntiVirus 2020 for Android Security FREE (2.2%),、七龍珠 (0.1%),、天天美圖(0.1%)為應用名稱的廣告木馬是今年新增廣告木馬中數(shù)量最多的,但由于名稱太多即使是TOP榜里的應用名稱在今年新增廣告木馬總量中占比也較低,。具體分布如下圖。
我們對2020年廣告木馬家族的樣本數(shù)量進行TOP排序,,其中Hiddad家族(占比61.9%),、Ewind家族 (占比21.7%)、Airpush家族(占比5.7%)是樣本數(shù)量占比最多的TOP3家族,。具體分布如下圖,。
三、棋牌私彩
棋牌私彩APP,,是指黑產(chǎn)團伙開發(fā)的,,可以操控結果的棋牌私彩木馬。通過引誘用戶使用該程序,,一開始先給受害者一些甜頭,,引誘受害者加大投入,隨后再操控棋局或牌局讓受害者傾家蕩產(chǎn),。
?。ㄒ唬┢迮坪谏a(chǎn)業(yè)鏈分析
棋牌私彩黑產(chǎn)具體實現(xiàn)如下圖。
棋牌私彩黑產(chǎn)實現(xiàn)的過程一般如下,。
1.)雇傭開發(fā)人員開發(fā)棋牌私彩APP,。
2.)通過多種渠道推廣棋牌私彩APP,。
下面給出當前流行的集中典型推廣方式的具體介紹。
狗推: 棋牌推廣員,,俗稱“狗推”,,是一種黑色推廣渠道,通過在各大社交媒體和招聘網(wǎng)站上進行宣傳,,以此來引誘想走捷徑獲取高薪的年輕人,。受害者一旦被騙出國外就對其進行人身自由控制,強制其進行先騙人再騙錢的詐騙行為,,如果想要離開就需要繳納高額賠償,,為了離開或者被洗腦后為了賺錢,逐漸泯滅良心去從事通過網(wǎng)上交友引誘其進行賭博,。
誘惑視頻推廣:通過擁有一定客戶群體的誘惑視頻網(wǎng)站,,進行廣告推廣。幾名女子每天固定時間進行誘惑視頻直播,。觀看直播需要先在網(wǎng)絡棋牌平臺上注冊充值,,才能獲得觀看權限。如果充值超過一定的額度,,就可以觀看一對一誘惑視頻直播,。常見網(wǎng)站推廣如下圖。
盜版視頻網(wǎng)站,、正規(guī)APP推廣:一些盜版視頻資源網(wǎng)站會將棋牌產(chǎn)業(yè)推廣嵌入到視頻播放中,,以及一些正規(guī)地擁有一定用戶量的App也會接棋牌產(chǎn)業(yè)廣告推廣來盈利。盜版視頻推廣如下圖,。
電競贊助,、直播推廣:棋牌產(chǎn)業(yè)公司通過贊助電競戰(zhàn)隊在微博等大型社交平臺公開引流,以及通過直播平臺各大主播進行推廣,。電競直播推廣如下圖,。
微信群推廣、小程序群推廣: 小程序的火熱及其帶來的方便高效性博得了很多用戶的好感,,很多人對它們的戒備心并不是很強,,隨手一個轉發(fā)到群聊,點擊量就會不斷增加,。
3.)通過以下三種手段實現(xiàn)獲取利益,。
第一,操控開獎結果保底盈利讓大多數(shù)玩家輸錢,。
第二,,以各種理由拒絕中高額彩票的用戶提現(xiàn)從而繼續(xù)指導投注至最后輸光為止。
第三,推薦各網(wǎng)貸平臺或自己平臺貸款給用戶買彩,。
?。ǘ┢迮扑讲蔄PP分布態(tài)勢
2020年奇安信威脅情報中心根據(jù)捕獲的新增棋牌私彩類樣本數(shù)據(jù)對應用名稱進行分布統(tǒng)計。從分布情況可以看出棋牌黑色產(chǎn)業(yè)使用的應用名稱比較分散,,其中大發(fā)彩票(0.2%),、好彩手游(0.2%)、黑桃棋牌(0.2%)為應用名稱的樣本是最多的,。具體分布如下圖,。
四、誘惑視頻
誘惑視頻APP,,指的是黑產(chǎn)團伙專門開發(fā)的,,偽冒成色情APP的木馬程序。通過誘惑的圖標,、簡短的幾秒誘惑視頻引誘用戶下載使用并開通VIP才可以看完整視頻,,用戶即便支付費用,成為VIP,,最終也不會有任何誘惑視頻播放,。具體過程見下圖。
?。ㄒ唬┱T惑視頻產(chǎn)業(yè)鏈分析
誘惑視頻黑產(chǎn)的具體過程一般如下:
1.)黑產(chǎn)人員從開發(fā)人員那里購買偽冒的誘惑視頻APP,。
2.)通過QQ群、微信群,、網(wǎng)頁下載等方式誘惑用戶進行下載安裝,。
3.)用戶使用時,只展示誘惑圖片或者播放幾秒誘惑視頻引誘用戶去購買VIP觀看完整視頻,,但用戶支付完畢后APP并不會播放完整視頻,。
(二)誘惑視頻木馬樣本態(tài)勢
2020年奇安信威脅情報中心累計截獲20多萬個誘惑視頻木馬樣本,,其中以Porn Factory App (93.7%),、MyPleasure App (2%),、蜜桃 (0.2%)的應用名稱出現(xiàn)的頻率最多,。
我們識別這批誘惑視頻木馬為4個木馬家族,其中sexplayer家族 (占新增木馬家族的92.9%),、PornApp (4.3%),、PornVideo(2.7%)是這批樣本中檢出量最高的TOP3家族。從分布情況上可以看出今年誘惑視頻木馬的主流家族是sexplayer,。
五,、裸聊勒索
裸聊勒索APP,是指黑產(chǎn)團伙專門開發(fā)的,偽裝成正常的直播APP,,其本質(zhì)就是一個木馬程序,,安裝啟動后會竊取用戶聯(lián)系人信息。當黑產(chǎn)人員引誘受害者進行裸聊時,,該木馬程序會在后臺偷偷錄取受害者視頻上傳到黑產(chǎn)人員服務器里,,隨后黑產(chǎn)人員就可以依靠視頻來勒索受害者。具體過程見下圖,。
裸聊勒索的具體過程一般如下:
1.)黑產(chǎn)人員從上游號商黑產(chǎn)人員那里獲取目標男性的QQ,、微信賬號。
2.)黑產(chǎn)人員從開發(fā)人員購買惡意直播APP,。
3.)黑產(chǎn)人員通過從號商黑產(chǎn)買來的QQ,、微信號和受害者建立聯(lián)系,用話術偽裝成主播誘騙受害者安裝直播木馬,,木馬一經(jīng)安裝就會自動獲取設備上的聯(lián)系人信息,,并發(fā)送給黑產(chǎn)人員。一旦獲取受害者的信任就會誘惑受害者使用木馬進行裸聊,,在受害者裸聊時,,木馬會在后臺偷偷錄下裸聊視頻傳送給黑產(chǎn)人員。
黑產(chǎn)人員展開勒索受害者獲取收益,。勒索信息示例如下圖,。
六、黑卡
黑卡,,是指黑產(chǎn)團伙在網(wǎng)絡詐騙犯罪過程中使用的,,非實名登記的移動電話卡、雖經(jīng)實名登記但使用者并非本人的電話卡,,或者是通過木馬遠程控制的受害者設備,,是犯罪分子所使用的重要“基礎設施”。主要分為兩種類型,。
第一種就是上面提到的非實名登記的,、實名登記但非自己的電話卡,通常交付的也是實體電話卡,,這種黑卡屬于一次性用品,,被封之后就無法再次使用。
第二種是指通過遠控木馬(控制用戶手機的木馬病毒)感染并控制受害者移動設備作為“黑卡”基礎設施,。上游黑產(chǎn)將受感染的設備統(tǒng)一管理,,然后提供相關黑產(chǎn)服務售賣給下游黑產(chǎn),并不需要交付實體電話卡,,而且由于受感染的設備是實名制的正常用戶,,所以可以多次使用,。
本文具體說明的為上文中的第二種通過遠控木馬感染并控制受害者移動設備的“黑卡”。具體黑卡黑產(chǎn)實施過程如下圖,。
黑卡產(chǎn)業(yè)實現(xiàn)的過程一般如下,。
1.)上游黑產(chǎn)人員從開發(fā)人員那里購買遠控木馬。
2.)上游黑產(chǎn)人員通過網(wǎng)頁,、QQ群,、微信群等渠道傳播遠控木馬等待用戶下載安裝。
3.)上游黑產(chǎn)人員將受控制的所有受害者設備作為自己的基礎設施,,然后通過QQ群,、微信群等渠道向下游黑產(chǎn)人員出售黑卡服務。
4.)下游黑產(chǎn)人員購買上游黑產(chǎn)人員提供的黑卡服務,,并通過電商返利,、注冊平臺水軍賬號、詐騙等方式進行獲益,。
七,、群控
群控軟件,本質(zhì)是通過使用多部真實手機或模擬多部手機,,在手機中安裝腳本軟件來控制手機上的APP,,修改手機軟硬件信息,達到模擬人工使用APP的效果,。其目的是通過自動化手段,,最大化模擬真實用戶的操作請求,以達到吸粉,、引流,、廣告、“薅羊毛”等作弊目標,。
早在2018年,,央視揭露娛樂明星流量數(shù)據(jù)造假的行業(yè)內(nèi)幕,例如某些藝人發(fā)了一條普通的內(nèi)容,,短時間獲得上千萬甚至是上億的瀏覽量,;某某微博粉絲數(shù)量幾十上百萬,但是你卻從來沒有聽說過他,,以及他的粉絲從來沒有評論過其發(fā)表的微博等,。這些奇怪現(xiàn)象的背后就是一條群控黑色產(chǎn)業(yè)鏈。相關新聞披露如下圖,。
群控軟件的具體分類如下,。
第一代群控:多開模擬器,,讓一臺手機上實現(xiàn)多開應用功能
第二代群控:群控,,將上百臺手機界面映射到一臺計算機上,,在計算機上使用群控軟件批量操作所有手機。
第三代群控:傳統(tǒng)云控,,利用云端遠程下達命令,,本地收到命令群發(fā)到手機群然后執(zhí)行任務。
第四代群控:新型云控,,通過數(shù)據(jù)包形式和服務器進行交互來實現(xiàn)登錄,、綁定郵箱、更改密碼等操作,。
表1 四代群控軟件對比表格
系統(tǒng)名稱
原理
一臺設備對應微信號數(shù)量
特點
多開模擬器
越獄手機模擬多個蘋果系統(tǒng)
50
成本低,,易封號
群控
計算機通過集線器操作手機墻
100
成本高,易封號
傳統(tǒng)云控
計算機遠程操控手機墻
1000
成本高,,易封號
新型云控
不需要手機,,協(xié)議外掛
10000+
成本低,較難封號
群控黑產(chǎn)具體實現(xiàn)過程如下圖,。
群控黑產(chǎn)實現(xiàn)過程一般如下,。
1.)從開發(fā)人員那里購買云控平臺(即4代群控軟件)。
2.)從上游惡意注冊商那里購買大量社交賬號,,然后通過群控發(fā)送數(shù)據(jù)包進行賬號登錄,,然后向下游黑產(chǎn)人員售賣云控服務。
3.)下游黑產(chǎn)人員購買上游的云控服務,,通過“薅羊毛”,、刷評論、刷贊,、微博關注等各種途徑將流量變現(xiàn),。
第五章 安全建議
現(xiàn)今智能手機已經(jīng)成為現(xiàn)代人生活的必需品,它不僅存儲著我們每個人的個人隱私信息,,還與我們的工作,、生活息息相關。種類多樣的APP,,在帶給我們豐富多彩生活,、工作便利的同時,也包含著我們難以察覺到的威脅,。
無論是個人,、企業(yè)、國家,,在移動網(wǎng)絡技術飛速發(fā)展的過程中,,面臨的威脅也隨之而來。對于個人我們要保障隱私不外泄,,對于企業(yè)我們要保障企業(yè)利益不會蒙受損害,,對于國家我們保障國家安全不受威脅,。我們希望用戶從個人出發(fā)重視移動安全,加強個人網(wǎng)絡安全防范意識,,為保護個人因素,、維護企業(yè)利益、保障國家安全貢獻自己的一份力量,。
針對普通用戶如何避免遭受Android平臺惡意應用的侵害,,奇安信威脅情報中心給出了以下防護建議:
1.)使用正版和正規(guī)官方應用市場提供的APP應用,不要安裝非可信渠道的應用,、不要隨意點擊不明URL鏈接和掃描安全性未知的二維碼信息,;
2.)移動設備及時在可信網(wǎng)絡環(huán)境下進行安全更新,不要輕易使用外來的網(wǎng)絡環(huán)境,;
3.)使用正規(guī)商家的共享充電寶,,不輕易開啟開發(fā)者模式;
4.)確保安裝有手機安全軟件,,并進行實時保護,;
5.)若發(fā)現(xiàn)手機感染木馬病毒,請及時使用安全軟件進行清理,,避免重復交叉感染,;
6.)積極學習網(wǎng)絡安全知識,及時了解當下流行的網(wǎng)絡騙局,,避免陷入“社交約會類”“兼職類”“金融理財類”“冒充身份類”等騙局中,。