主要觀(guān)點(diǎn)

　　2020年奇安信威脅情報(bào)中心累計(jì)截獲Android平臺(tái)新增網(wǎng)銀盜號(hào)木馬樣本約20萬(wàn)個(gè)，針對(duì)全球金融行業(yè)的攻擊依然是攻擊者的主要目標(biāo)之一。

　　從全球范圍來(lái)看,，移動(dòng)互聯(lián)網(wǎng)的安全治理相對(duì)薄弱,，特別是網(wǎng)銀盜號(hào)木馬依然泛濫，呈現(xiàn)出種類(lèi)繁多,、手段多樣等特點(diǎn)，對(duì)用戶(hù)財(cái)產(chǎn)威脅嚴(yán)重。而相比之下,，國(guó)內(nèi)的移動(dòng)互聯(lián)網(wǎng)安全治理更有成效，整體安全環(huán)境明顯好于全球,，特別是網(wǎng)銀盜號(hào)木馬等傳統(tǒng)移動(dòng)安全威脅,，在國(guó)內(nèi)已經(jīng)比較少見(jiàn)。

　　2020年,，AdbMiner挖礦木馬家族攻擊活躍,，在全球范圍內(nèi)攻陷數(shù)以萬(wàn)計(jì)的物聯(lián)網(wǎng)設(shè)備，國(guó)內(nèi)被攻陷的物聯(lián)網(wǎng)設(shè)備數(shù)量也接近千級(jí),。鑒于物聯(lián)網(wǎng)設(shè)備越來(lái)越多,，物聯(lián)網(wǎng)安全事件對(duì)物聯(lián)網(wǎng)的設(shè)備的影響量也越來(lái)越廣。

　　由于物聯(lián)網(wǎng)設(shè)備也普遍以Android系統(tǒng)為基礎(chǔ),，且物聯(lián)網(wǎng)設(shè)備的安全防護(hù)水平普遍不及智能手機(jī),，因此，隨著用戶(hù)身邊的物聯(lián)網(wǎng)設(shè)備越來(lái)越多,，物聯(lián)網(wǎng)設(shè)備被攻陷的風(fēng)險(xiǎn)也在日益增加,。針對(duì)Android系統(tǒng)的安全研究，必須把物聯(lián)網(wǎng)設(shè)備考慮在內(nèi),。

　　2020年國(guó)內(nèi)依然有多條黑色產(chǎn)業(yè)鏈持續(xù)活躍,，對(duì)用戶(hù)的隱私、財(cái)產(chǎn)安全威脅嚴(yán)重,。其中,，山寨網(wǎng)貸、裸聊勒索,、誘惑視頻,、刷量廣告,、黑卡、群控,、棋牌私彩最為突出,。

　　摘    要

　　2020年奇安信威脅情報(bào)中心累計(jì)截獲Android平臺(tái)新增惡意程序樣本230萬(wàn)個(gè)，平均每天截獲新增惡意程序樣本6301個(gè),。其中,，惡意扣費(fèi)類(lèi)占34.9%、資費(fèi)消耗類(lèi)占24.2%,、流氓行為類(lèi)占22.8%,、隱私竊取類(lèi)占12.3%、誘騙欺詐類(lèi)占4.3%,、遠(yuǎn)程控制類(lèi)占1.5%,。

　　2020年國(guó)外出現(xiàn)眾多針對(duì)金融行業(yè)的網(wǎng)銀盜號(hào)木馬，而國(guó)內(nèi)出現(xiàn)少量的網(wǎng)銀盜號(hào)木馬對(duì)用戶(hù)資產(chǎn)造成威脅,。

　　2020年老牌挖礦家族AdbMiner針對(duì)物聯(lián)網(wǎng)設(shè)備的攻擊活動(dòng)比較活躍,，木馬通過(guò)特定端口持續(xù)感染不安全的物聯(lián)網(wǎng)設(shè)備實(shí)施挖礦來(lái)獲取收益。有關(guān)監(jiān)管機(jī)構(gòu)通過(guò)微信公眾號(hào)發(fā)布預(yù)警消息,，警示充電寶木馬再次來(lái)襲,。

　　2020年山寨網(wǎng)貸黑產(chǎn)通過(guò)偽冒正規(guī)網(wǎng)貸APP對(duì)民眾資產(chǎn)以及個(gè)人信息造成嚴(yán)重威脅。

　　2020年裸聊勒索黑產(chǎn)利用社會(huì)工程學(xué)引誘男性受害者下載安裝裸聊木馬并引誘其進(jìn)行裸聊,，然后通過(guò)木馬竊取受害者裸聊視頻并對(duì)受害者進(jìn)行威脅恐嚇來(lái)獲取錢(qián)財(cái),。

　　2020年誘惑視頻木馬通過(guò)偽冒色情APP引誘用戶(hù)購(gòu)買(mǎi)VIP來(lái)騙取錢(qián)財(cái)，但并不提供任何完整色情視頻,。

　　2020年刷量廣告黑產(chǎn)通過(guò)對(duì)熱門(mén)APP二次改包的方式來(lái)注入廣告模塊并將廣告收益人指向自己,。

　　2020年新型黑卡產(chǎn)業(yè)通過(guò)木馬遠(yuǎn)程控制受害者設(shè)備的方式，將受害者的設(shè)備作為自己的基礎(chǔ)設(shè)施來(lái)向下游黑產(chǎn)人員售賣(mài)服務(wù)進(jìn)行收益,。

　　2020年群控黑產(chǎn)繼續(xù)發(fā)展,，通過(guò)最新云控來(lái)登錄大量虛假賬戶(hù)，然后通過(guò)注冊(cè)水軍等多種方式獲取收益,。

　　2020年棋牌私彩黑產(chǎn)繼續(xù)通過(guò)盜版視頻推廣,、群推廣等多種渠道推廣木馬程序，引誘受害者進(jìn)行賭博并通過(guò)木馬程序控制賭博結(jié)果來(lái)騙取受害者錢(qián)財(cái),。

　　關(guān)鍵詞： 移動(dòng)安全,、金融、流量,、網(wǎng)銀盜號(hào)木馬,、黑色產(chǎn)業(yè)鏈、挖礦,、物聯(lián)網(wǎng)設(shè)備

　　第一章     Android平臺(tái)惡意樣本分析

　　2020年奇安信威脅情報(bào)中心累計(jì)截獲Android平臺(tái)新增惡意程序樣本230萬(wàn)個(gè),，平均每天截獲新增惡意程序樣本6301個(gè)。2020年全年共有三個(gè)月爆發(fā)較大規(guī)模的新增惡意程序樣本,，分別是位于上半年的4月（34.6萬(wàn)個(gè)）,，下半年的10月（43.6萬(wàn)個(gè)）和11月（45.2萬(wàn)個(gè)），累計(jì)共占全年新增惡意程序樣本的53.7%,。其中在爆發(fā)最高峰的10月和11月,，這兩個(gè)月的惡意樣本占比高達(dá)70%以上，是最低峰6月的4倍,。2020年Android平臺(tái)各月新增木馬數(shù)量見(jiàn)下圖,。

　　2020年移動(dòng)端惡意樣本類(lèi)型主要為惡意扣費(fèi)（占全年移動(dòng)端惡意樣本的34.9%），其次是資費(fèi)消耗（占比24.2%）,、流氓行為（占比22.8%）,。可以看到,，大半的移動(dòng)惡意程序是直接沖著用戶(hù)“錢(qián)包”來(lái)的,，切實(shí)關(guān)系到用戶(hù)直接的經(jīng)濟(jì)損失。

　　第二章     金融類(lèi)Android木馬攻擊分析

　　國(guó)內(nèi)外的Android應(yīng)用安全環(huán)境存在很大的不同,，世界各個(gè)不同地區(qū)的流行Android木馬,，其攻擊目的、攻擊方式,、偽裝方式也有很大的不同,。研究和追蹤全球木馬流行趨勢(shì)，對(duì)于我們做好國(guó)內(nèi)的安全“免疫”工作,，具有很重要的參考價(jià)值,，也是威脅情報(bào)分析的核心工作之一。所以,，在分析國(guó)內(nèi)Android木馬流行趨勢(shì)之前,，我們首先對(duì)國(guó)外的Android木馬流行趨勢(shì)做一個(gè)基礎(chǔ)分析。

　　一,、全球網(wǎng)銀類(lèi)木馬流行趨勢(shì)

　　2020年奇安信威脅情報(bào)中心累計(jì)截獲Android平臺(tái)新增網(wǎng)銀盜號(hào)木馬樣本約20萬(wàn)個(gè),，其中TOP5的網(wǎng)銀盜號(hào)木馬家族樣本多達(dá)近16萬(wàn)個(gè)。

　　在TOP5全球網(wǎng)銀盜號(hào)木馬家族中,，最“耀眼”的當(dāng)屬Anubis和Ceberus,，其除了仿冒數(shù)百款國(guó)外銀行應(yīng)用進(jìn)行攻擊外，還在疫情期間借助疫情誘惑,、吸引受害者,。2020奇安信威脅情報(bào)中心疫情期間分別對(duì)其展開(kāi)了披露，提醒廣大移動(dòng)互聯(lián)網(wǎng)用戶(hù)謹(jǐn)防中招,。

　　網(wǎng)銀盜號(hào)木馬常常偽裝成其他應(yīng)用程序誘騙用戶(hù)下載安裝,。監(jiān)測(cè)顯示,，Chrome（23.7%）、佐川急便（8.2%,，日本流行的快遞應(yīng)用）,、Flash Player（4.7%）是被偽冒量最多的應(yīng)用。下圖給出了被國(guó)外網(wǎng)銀盜號(hào)木馬仿冒最多的10類(lèi)應(yīng)用程序,。TOP10排名見(jiàn)下圖,。

　　Chrome瀏覽器是國(guó)外用戶(hù)手機(jī)上一款常用的APP，國(guó)外用戶(hù)對(duì)該APP的信任程度較高,，故攻擊者們常將其作為仿冒的主要目標(biāo),。另外，攻擊者們也會(huì)出于某些目的將目標(biāo)瞄準(zhǔn)特定地區(qū),，如針對(duì)日本地區(qū)的佐川急便,，針對(duì)土耳其地區(qū)的Sistem Güncelle?tirmesi（系統(tǒng)更新），針對(duì)韓國(guó)地區(qū)的KB????（KB儲(chǔ)蓄銀行）,，針對(duì)俄語(yǔ)地區(qū)的ВТБ Онлайн（VTB在線(xiàn)）,、Одноклассники（Odnoklassniki）等。

　　分析顯示,，在國(guó)外,，流行的網(wǎng)銀盜號(hào)木馬主要通過(guò)以下四種技術(shù)方式來(lái)實(shí)現(xiàn)盜取用戶(hù)銀行卡憑證信息。

　　1.）利用釣魚(yú)頁(yè)面

　　例如,，Chrome瀏覽器具備綁定銀行卡的功能,，所以木馬偽冒Chrome在啟動(dòng)的時(shí)候彈出銀行卡綁定頁(yè)面誘騙用戶(hù)輸入銀行卡憑證。

　　2.）偽冒銀行APP

　　仿冒合法網(wǎng)銀APP軟件的木馬程序,，會(huì)在用戶(hù)登錄時(shí)要求用戶(hù)輸入個(gè)人信息以及銀行卡憑證進(jìn)行竊取,。

　　3.）彈出釣魚(yú)頁(yè)面覆蓋銀行APP

　　木馬一經(jīng)安裝啟動(dòng)就會(huì)在桌面上消失，躲藏在后臺(tái)默默運(yùn)行,，等待用戶(hù)啟動(dòng)正常銀行APP時(shí)彈出釣魚(yú)頁(yè)面覆蓋銀行APP的頁(yè)面來(lái)誘騙用戶(hù)輸入銀行卡憑證進(jìn)行竊取,。

　　4.）利用無(wú)障礙服務(wù)

　　木馬啟動(dòng)后要求用戶(hù)開(kāi)啟Android系統(tǒng)為殘障人士提供的無(wú)障礙服務(wù)來(lái)監(jiān)聽(tīng)用戶(hù)使用銀行APP情況，木馬還會(huì)記錄鍵盤(pán)輸入信息來(lái)進(jìn)行竊取銀行卡憑證,。

　　二,、針對(duì)國(guó)內(nèi)金融機(jī)構(gòu)的仿冒木馬

　　國(guó)內(nèi)網(wǎng)絡(luò)監(jiān)管審查相比國(guó)外更加嚴(yán)格，移動(dòng)互聯(lián)網(wǎng)治理工作更有成效,，擁有較好的大環(huán)境,。研究發(fā)現(xiàn)，在國(guó)內(nèi),，仿冒其他應(yīng)用的網(wǎng)銀類(lèi)木馬數(shù)量要比國(guó)外少得多,。2020年，奇安信威脅情報(bào)中心共在國(guó)內(nèi)監(jiān)測(cè)偽冒正常應(yīng)用的網(wǎng)銀盜號(hào)木馬近百個(gè),。其中主要以偽冒各大銀APP,、偽冒安全軟件以及銀行相關(guān)APP為主,。具體分布見(jiàn)下圖。

　　2020年10月份,，我們捕捉到一個(gè)國(guó)內(nèi)網(wǎng)銀盜號(hào)木馬新家族“BYL”,，該家族會(huì)偽裝成國(guó)內(nèi)數(shù)家知名銀行APP。該家族木馬通過(guò)獲取用戶(hù)銀行卡憑證,、個(gè)人信息來(lái)盜竊用戶(hù)財(cái)產(chǎn),。奇安信威脅情報(bào)中心大數(shù)據(jù)統(tǒng)計(jì),，該樣本于2020年7月至10月中旬首次爆發(fā),，至少在國(guó)內(nèi)31個(gè)省級(jí)行政區(qū)的用戶(hù)手機(jī)上進(jìn)行傳播，感染總設(shè)備多至2000臺(tái)左右,，其中山東11.5%,、上海6.9%、四川6.7%為全國(guó)感染量最多的三個(gè)省級(jí)地區(qū),。

　　2020年12月,，該家族木馬再度來(lái)襲。奇安信威脅情報(bào)中心大數(shù)據(jù)統(tǒng)計(jì),，截至2020年12月31日,，全國(guó)12個(gè)省級(jí)行政區(qū)用戶(hù)對(duì)BYL網(wǎng)銀盜號(hào)木馬家族搭建的釣魚(yú)下載頁(yè)面的訪(fǎng)問(wèn)數(shù)量達(dá)到萬(wàn)級(jí)，其中內(nèi)蒙古（11.8%）,、北京市（4.5%）,、廣東省（4.2%）是國(guó)內(nèi)釣魚(yú)下載頁(yè)面訪(fǎng)問(wèn)量最多的三個(gè)地區(qū),。具體情況見(jiàn)下圖,。

　　第三章     物聯(lián)網(wǎng)Android木馬攻擊分析

　　以往針對(duì)Android木馬的研究大多集中在智能手機(jī)領(lǐng)域。但奇安信威脅情報(bào)中心監(jiān)測(cè)顯示,，隨著物聯(lián)網(wǎng)領(lǐng)域的興起,，越來(lái)越多的物聯(lián)網(wǎng)設(shè)備開(kāi)始搭載Android系統(tǒng)，且物聯(lián)網(wǎng)設(shè)備的整體安全防護(hù)及安全管理能力都遠(yuǎn)遠(yuǎn)不及智能手機(jī),。所以,，物聯(lián)網(wǎng)設(shè)備已經(jīng)成為很多黑產(chǎn)團(tuán)伙盯上的新目標(biāo)。

　　一,、挖礦木馬

　　“AdbMiner”挖礦木馬誕生于2018年,，直至2020年依然存活，是今年Android平臺(tái)最流行的一款挖礦木馬,。主要通過(guò)droidbot攻擊模塊對(duì)已經(jīng)打開(kāi)的 adb 調(diào)試端口的Android設(shè)備進(jìn)行蠕蟲(chóng)傳播,。其一開(kāi)始針對(duì)的目標(biāo)是電視盒子設(shè)備，后續(xù)也被發(fā)現(xiàn)于充電樁等其它Android物聯(lián)網(wǎng)設(shè)備中,，其感染對(duì)象幾乎全都是物聯(lián)網(wǎng)設(shè)備,。

　　根據(jù)數(shù)據(jù)統(tǒng)計(jì),，挖礦家族AdbMiner在全世界感染量接近萬(wàn)級(jí)，國(guó)內(nèi)感染量達(dá)到千級(jí),。

　　2020年9月30日,，日本某地區(qū)充電樁遭受AdbMiner家族攻擊后正常業(yè)務(wù)無(wú)法展開(kāi)，奇安信威脅情報(bào)中心發(fā)現(xiàn)后發(fā)布報(bào)告披露IoT挖礦家族AdbMiner在野活動(dòng),。

　　二,、充電寶木馬

　　2020年12月，監(jiān)管機(jī)構(gòu)發(fā)布一則重要提醒,，讓廣大人民群眾警惕身邊的共享充電寶,，其內(nèi)部很有可能就植入有木馬程序。

　　正規(guī)的共享充電寶只提供充電功能,，而不會(huì)提供包含數(shù)據(jù)傳輸線(xiàn)路的功能,，因此插上充電線(xiàn)后不會(huì)有任何彈窗。而惡意改造的充電寶會(huì)存在申請(qǐng)權(quán)限訪(fǎng)問(wèn)用戶(hù)個(gè)人隱私數(shù)據(jù)或者彈窗顯示是否允許訪(fǎng)問(wèn)手機(jī)上的數(shù)據(jù)等,，具體見(jiàn)下圖,。

　　針對(duì)此類(lèi)通過(guò)充電寶傳播的木馬程序,，奇安信威脅情報(bào)中心給出如下安全建議,。

　　1.）使用正規(guī)商家的共享充電寶,。

　　2.）如果插入充電寶后有任何彈窗，就應(yīng)該提高警惕并選擇否,。

　　3.）使用Android手機(jī)時(shí),，如無(wú)必要不要開(kāi)啟開(kāi)發(fā)者模式。

　　第四章     移動(dòng)平臺(tái)黑產(chǎn)活動(dòng)監(jiān)測(cè)

　　互聯(lián)網(wǎng)用戶(hù)的網(wǎng)絡(luò)安全意識(shí)還較為薄弱,，容易被黑產(chǎn)人員設(shè)計(jì)好的套路所欺騙,。2020年，奇安信威脅情報(bào)中心披露多條黑色產(chǎn)業(yè)鏈相關(guān)細(xì)節(jié),，揭露常見(jiàn)欺詐套路,，為普及安全常識(shí)做出貢獻(xiàn)。

　　一,、山寨網(wǎng)貸

　?。ㄒ唬┥秸W(wǎng)貸詐騙模式

　　山寨網(wǎng)貸APP，是指黑產(chǎn)團(tuán)伙開(kāi)發(fā)的,，仿冒某些知名網(wǎng)貸平臺(tái)的APP,，或完全虛假的網(wǎng)貸APP。不同于一般的木馬程序,，此類(lèi)APP不僅會(huì)竊取用戶(hù)網(wǎng)銀等帳號(hào)信息,，還會(huì)通過(guò)虛假的網(wǎng)貸平臺(tái)，誘騙用戶(hù)繳納各種費(fèi)用，從而實(shí)施詐騙,。

　　山寨網(wǎng)貸平臺(tái)的攻擊過(guò)程一般如下：

　　1.）推廣山寨網(wǎng)貸APP

　　黑產(chǎn)組織首先仿冒知名機(jī)構(gòu)網(wǎng)貸平臺(tái),，通過(guò)短信、電話(huà),、聊天等方式進(jìn)行推銷(xiāo),，誘騙借款人下載安裝與正版APP相似的山寨網(wǎng)貸APP。相關(guān)釣魚(yú)短信見(jiàn)下圖,。

　　2.）一旦借款人使用了山寨網(wǎng)貸APP,，便會(huì)被要求山寨網(wǎng)貸APP中注冊(cè)自己個(gè)人信息申請(qǐng)借款，但申請(qǐng)的額度往往無(wú)法支取,。在遭受個(gè)人信息被泄露的同時(shí),，假客服還會(huì)以手續(xù)費(fèi)、保證金,、銀行賬號(hào)解凍費(fèi),、提現(xiàn)費(fèi)用等話(huà)術(shù)套路,，引導(dǎo)借款人進(jìn)行轉(zhuǎn)賬或其他行為,，進(jìn)一步造成用戶(hù)的個(gè)人財(cái)產(chǎn)損失。

　?。ǘ?nbsp; 山寨網(wǎng)貸APP態(tài)勢(shì)

　　2020年奇安信威脅情報(bào)中心累計(jì)截獲山寨網(wǎng)貸樣本多達(dá)5萬(wàn)多個(gè),，涉及2萬(wàn)多個(gè)APP，其中采用有錢(qián)花（10.8%）,、倢信金融（4.9%）,、借唄（4.9%）的應(yīng)用名稱(chēng)出現(xiàn)的頻率最多。山寨網(wǎng)貸主要是仿冒成大公司相同或者相似的應(yīng)用名稱(chēng),，讓用戶(hù)難辨真假,。具體見(jiàn)下圖。

　　2020年,，奇安信威脅情報(bào)中心截獲的所有山寨網(wǎng)貸,，分為兩類(lèi)惡意家族，分別為FakeLoan家族（占比96.6%）和BlackLoan家族（占比3.4%）,。具體見(jiàn)下圖,。

　　二、刷量廣告

　　刷量廣告APP,，主要分為兩種類(lèi)型,。

　　一種為仿冒正規(guī)APP類(lèi)。黑產(chǎn)團(tuán)伙開(kāi)發(fā)的,，仿冒一些常用應(yīng)用或者熱門(mén)應(yīng)用,。該木馬程序主要在受害者點(diǎn)擊啟動(dòng)之后，在后臺(tái)偷偷訪(fǎng)問(wèn)廣告鏈接并模擬用戶(hù)點(diǎn)擊來(lái)通過(guò)受害者的流量訪(fǎng)問(wèn)廣告，以此來(lái)刷取廣告聯(lián)盟提供的廣告播放收益,。

　　另外一種為在正規(guī)APP中增加插件類(lèi),。黑產(chǎn)團(tuán)伙直接篡改應(yīng)用市場(chǎng)上的熱門(mén)應(yīng)用，并在其中插入黑產(chǎn)團(tuán)伙編寫(xiě)的廣告插件,，以實(shí)現(xiàn)廣告播放功能,，然后將受益者的信息填寫(xiě)為黑產(chǎn)團(tuán)伙相關(guān)資產(chǎn)，最后再將修改后的熱門(mén)應(yīng)用通過(guò)其他應(yīng)用商店進(jìn)行傳播,，以此來(lái)實(shí)現(xiàn)借助別人的熱門(mén)應(yīng)用為自己賺取廣告收益,。

　　（一）刷量廣告黑產(chǎn)分析

　　仿冒正規(guī)APP類(lèi)刷量廣告的黑色產(chǎn)業(yè)鏈的具體過(guò)程如下圖,。

　　仿冒正規(guī)APP類(lèi)刷量廣告的攻擊過(guò)程一般如下,。

　　1.）從開(kāi)發(fā)人員那里購(gòu)買(mǎi)惡意廣告木馬（惡意廣告木馬指在用戶(hù)不知曉的情況下偷偷訪(fǎng)問(wèn)廣告鏈接獲取廣告收益的惡意木馬）。

　　2.）通過(guò)網(wǎng)頁(yè)下載,、應(yīng)用商店等方式傳播木馬,。

　　3.）受害者啟動(dòng)木馬后，木馬后臺(tái)訪(fǎng)問(wèn)并模擬點(diǎn)擊廣告,，廣告聯(lián)盟平臺(tái)會(huì)將廣告收益返回給黑產(chǎn)人員,。

　　在正規(guī)APP中增加插件類(lèi)刷量廣告的黑色產(chǎn)業(yè)鏈。具體過(guò)程如下圖,。

　　在正規(guī)APP中增加插件類(lèi)刷量廣告的攻擊過(guò)程一般如下,。

　　1.）黑產(chǎn)人員從各大應(yīng)用商店上收集一些擁有一定下載量的應(yīng)用，用來(lái)作為山寨的對(duì)象,。

　　2.）黑產(chǎn)人員再對(duì)收集到的APP進(jìn)行“插包”,，在正規(guī)APP里插入廣告聯(lián)盟平臺(tái)提供的廣告插件進(jìn)行廣告播放，并把廣告收益者的信息填寫(xiě)為自己,。

　　3.）將修改過(guò)的山寨APP發(fā)布到各大應(yīng)用商店上讓用戶(hù)下載使用,。

　　4.）用戶(hù)使用山寨APP時(shí)產(chǎn)生的廣告收益由廣告聯(lián)盟平臺(tái)返還到黑產(chǎn)人員那里。

　　（二）刷量廣告樣本態(tài)勢(shì)

　　2020年奇安信威脅情報(bào)中心監(jiān)測(cè)到惡意廣告樣本新增數(shù)量多達(dá)近13萬(wàn)個(gè),，其中12月份（占比50.1%）,、4月份（占比26.3%）、11月份（占比15.9%）新增的樣本數(shù)是今年增長(zhǎng)最多的幾個(gè)月份,。具體分布如下圖,。

　　在新增的惡意廣告樣本中，我們根據(jù)應(yīng)用名稱(chēng)對(duì)樣本進(jìn)行統(tǒng)計(jì),，繪制出TOP 10的數(shù)量分布,。其中以AVG AntiVirus 2020 for Android Security FREE （2.2%）、七龍珠 （0.1%）,、天天美圖（0.1%）為應(yīng)用名稱(chēng)的廣告木馬是今年新增廣告木馬中數(shù)量最多的,，但由于名稱(chēng)太多即使是TOP榜里的應(yīng)用名稱(chēng)在今年新增廣告木馬總量中占比也較低。具體分布如下圖。

　　我們對(duì)2020年廣告木馬家族的樣本數(shù)量進(jìn)行TOP排序,，其中Hiddad家族（占比61.9%）,、Ewind家族 （占比21.7%）、Airpush家族（占比5.7%）是樣本數(shù)量占比最多的TOP3家族,。具體分布如下圖,。

　　三、棋牌私彩

　　棋牌私彩APP,，是指黑產(chǎn)團(tuán)伙開(kāi)發(fā)的,，可以操控結(jié)果的棋牌私彩木馬。通過(guò)引誘用戶(hù)使用該程序,，一開(kāi)始先給受害者一些甜頭,，引誘受害者加大投入，隨后再操控棋局或牌局讓受害者傾家蕩產(chǎn),。

　?。ㄒ唬┢迮坪谏a(chǎn)業(yè)鏈分析

　　棋牌私彩黑產(chǎn)具體實(shí)現(xiàn)如下圖。

　　棋牌私彩黑產(chǎn)實(shí)現(xiàn)的過(guò)程一般如下,。

　　1.）雇傭開(kāi)發(fā)人員開(kāi)發(fā)棋牌私彩APP,。

　　2.）通過(guò)多種渠道推廣棋牌私彩APP。

　　下面給出當(dāng)前流行的集中典型推廣方式的具體介紹,。

　　狗推： 棋牌推廣員,，俗稱(chēng)“狗推”,，是一種黑色推廣渠道,，通過(guò)在各大社交媒體和招聘網(wǎng)站上進(jìn)行宣傳，以此來(lái)引誘想走捷徑獲取高薪的年輕人,。受害者一旦被騙出國(guó)外就對(duì)其進(jìn)行人身自由控制,，強(qiáng)制其進(jìn)行先騙人再騙錢(qián)的詐騙行為，如果想要離開(kāi)就需要繳納高額賠償,，為了離開(kāi)或者被洗腦后為了賺錢(qián),，逐漸泯滅良心去從事通過(guò)網(wǎng)上交友引誘其進(jìn)行賭博。

　　誘惑視頻推廣：通過(guò)擁有一定客戶(hù)群體的誘惑視頻網(wǎng)站,，進(jìn)行廣告推廣,。幾名女子每天固定時(shí)間進(jìn)行誘惑視頻直播。觀(guān)看直播需要先在網(wǎng)絡(luò)棋牌平臺(tái)上注冊(cè)充值,，才能獲得觀(guān)看權(quán)限,。如果充值超過(guò)一定的額度，就可以觀(guān)看一對(duì)一誘惑視頻直播,。常見(jiàn)網(wǎng)站推廣如下圖,。

　　盜版視頻網(wǎng)站、正規(guī)APP推廣：一些盜版視頻資源網(wǎng)站會(huì)將棋牌產(chǎn)業(yè)推廣嵌入到視頻播放中，以及一些正規(guī)地?fù)碛幸欢ㄓ脩?hù)量的App也會(huì)接棋牌產(chǎn)業(yè)廣告推廣來(lái)盈利,。盜版視頻推廣如下圖,。

　　電競(jìng)贊助、直播推廣：棋牌產(chǎn)業(yè)公司通過(guò)贊助電競(jìng)戰(zhàn)隊(duì)在微博等大型社交平臺(tái)公開(kāi)引流,，以及通過(guò)直播平臺(tái)各大主播進(jìn)行推廣,。電競(jìng)直播推廣如下圖。

　　微信群推廣,、小程序群推廣： 小程序的火熱及其帶來(lái)的方便高效性博得了很多用戶(hù)的好感,，很多人對(duì)它們的戒備心并不是很強(qiáng)，隨手一個(gè)轉(zhuǎn)發(fā)到群聊,，點(diǎn)擊量就會(huì)不斷增加,。

　　3.）通過(guò)以下三種手段實(shí)現(xiàn)獲取利益。

　　第一,，操控開(kāi)獎(jiǎng)結(jié)果保底盈利讓大多數(shù)玩家輸錢(qián),。

　　第二，以各種理由拒絕中高額彩票的用戶(hù)提現(xiàn)從而繼續(xù)指導(dǎo)投注至最后輸光為止,。

　　第三,，推薦各網(wǎng)貸平臺(tái)或自己平臺(tái)貸款給用戶(hù)買(mǎi)彩。

　?。ǘ┢迮扑讲蔄PP分布態(tài)勢(shì)

　　2020年奇安信威脅情報(bào)中心根據(jù)捕獲的新增棋牌私彩類(lèi)樣本數(shù)據(jù)對(duì)應(yīng)用名稱(chēng)進(jìn)行分布統(tǒng)計(jì),。從分布情況可以看出棋牌黑色產(chǎn)業(yè)使用的應(yīng)用名稱(chēng)比較分散，其中大發(fā)彩票（0.2%）,、好彩手游（0.2%）,、黑桃棋牌（0.2%）為應(yīng)用名稱(chēng)的樣本是最多的。具體分布如下圖,。

　　四,、誘惑視頻

　　誘惑視頻APP，指的是黑產(chǎn)團(tuán)伙專(zhuān)門(mén)開(kāi)發(fā)的,，偽冒成色情APP的木馬程序,。通過(guò)誘惑的圖標(biāo)、簡(jiǎn)短的幾秒誘惑視頻引誘用戶(hù)下載使用并開(kāi)通VIP才可以看完整視頻,，用戶(hù)即便支付費(fèi)用,，成為VIP，最終也不會(huì)有任何誘惑視頻播放,。具體過(guò)程見(jiàn)下圖,。

　　（一）誘惑視頻產(chǎn)業(yè)鏈分析

　　誘惑視頻黑產(chǎn)的具體過(guò)程一般如下：

　　1.）黑產(chǎn)人員從開(kāi)發(fā)人員那里購(gòu)買(mǎi)偽冒的誘惑視頻APP,。

　　2.）通過(guò)QQ群,、微信群,、網(wǎng)頁(yè)下載等方式誘惑用戶(hù)進(jìn)行下載安裝。

　　3.）用戶(hù)使用時(shí),，只展示誘惑圖片或者播放幾秒誘惑視頻引誘用戶(hù)去購(gòu)買(mǎi)VIP觀(guān)看完整視頻,，但用戶(hù)支付完畢后APP并不會(huì)播放完整視頻。

　?。ǘ┱T惑視頻木馬樣本態(tài)勢(shì)

　　2020年奇安信威脅情報(bào)中心累計(jì)截獲20多萬(wàn)個(gè)誘惑視頻木馬樣本,，其中以Porn Factory App （93.7%）、MyPleasure App （2%）,、蜜桃 （0.2%）的應(yīng)用名稱(chēng)出現(xiàn)的頻率最多,。

　　我們識(shí)別這批誘惑視頻木馬為4個(gè)木馬家族，其中sexplayer家族 （占新增木馬家族的92.9%）,、PornApp （4.3%）,、PornVideo（2.7%）是這批樣本中檢出量最高的TOP3家族。從分布情況上可以看出今年誘惑視頻木馬的主流家族是sexplayer,。

　　五,、裸聊勒索

　　裸聊勒索APP，是指黑產(chǎn)團(tuán)伙專(zhuān)門(mén)開(kāi)發(fā)的,，偽裝成正常的直播APP,，其本質(zhì)就是一個(gè)木馬程序，安裝啟動(dòng)后會(huì)竊取用戶(hù)聯(lián)系人信息,。當(dāng)黑產(chǎn)人員引誘受害者進(jìn)行裸聊時(shí),，該木馬程序會(huì)在后臺(tái)偷偷錄取受害者視頻上傳到黑產(chǎn)人員服務(wù)器里，隨后黑產(chǎn)人員就可以依靠視頻來(lái)勒索受害者,。具體過(guò)程見(jiàn)下圖,。

　　裸聊勒索的具體過(guò)程一般如下：

　　1.）黑產(chǎn)人員從上游號(hào)商黑產(chǎn)人員那里獲取目標(biāo)男性的QQ、微信賬號(hào),。

　　2.）黑產(chǎn)人員從開(kāi)發(fā)人員購(gòu)買(mǎi)惡意直播APP,。

　　3.）黑產(chǎn)人員通過(guò)從號(hào)商黑產(chǎn)買(mǎi)來(lái)的QQ、微信號(hào)和受害者建立聯(lián)系,，用話(huà)術(shù)偽裝成主播誘騙受害者安裝直播木馬，木馬一經(jīng)安裝就會(huì)自動(dòng)獲取設(shè)備上的聯(lián)系人信息,，并發(fā)送給黑產(chǎn)人員,。一旦獲取受害者的信任就會(huì)誘惑受害者使用木馬進(jìn)行裸聊，在受害者裸聊時(shí),，木馬會(huì)在后臺(tái)偷偷錄下裸聊視頻傳送給黑產(chǎn)人員,。

　　黑產(chǎn)人員展開(kāi)勒索受害者獲取收益。勒索信息示例如下圖,。

　　六,、黑卡

　　黑卡,，是指黑產(chǎn)團(tuán)伙在網(wǎng)絡(luò)詐騙犯罪過(guò)程中使用的，非實(shí)名登記的移動(dòng)電話(huà)卡,、雖經(jīng)實(shí)名登記但使用者并非本人的電話(huà)卡,，或者是通過(guò)木馬遠(yuǎn)程控制的受害者設(shè)備，是犯罪分子所使用的重要“基礎(chǔ)設(shè)施”,。主要分為兩種類(lèi)型,。

　　第一種就是上面提到的非實(shí)名登記的、實(shí)名登記但非自己的電話(huà)卡,，通常交付的也是實(shí)體電話(huà)卡,，這種黑卡屬于一次性用品，被封之后就無(wú)法再次使用,。

　　第二種是指通過(guò)遠(yuǎn)控木馬（控制用戶(hù)手機(jī)的木馬病毒）感染并控制受害者移動(dòng)設(shè)備作為“黑卡”基礎(chǔ)設(shè)施,。上游黑產(chǎn)將受感染的設(shè)備統(tǒng)一管理，然后提供相關(guān)黑產(chǎn)服務(wù)售賣(mài)給下游黑產(chǎn),，并不需要交付實(shí)體電話(huà)卡,，而且由于受感染的設(shè)備是實(shí)名制的正常用戶(hù)，所以可以多次使用,。

　　本文具體說(shuō)明的為上文中的第二種通過(guò)遠(yuǎn)控木馬感染并控制受害者移動(dòng)設(shè)備的“黑卡”,。具體黑卡黑產(chǎn)實(shí)施過(guò)程如下圖。

　　黑卡產(chǎn)業(yè)實(shí)現(xiàn)的過(guò)程一般如下,。

　　1.）上游黑產(chǎn)人員從開(kāi)發(fā)人員那里購(gòu)買(mǎi)遠(yuǎn)控木馬,。

　　2.）上游黑產(chǎn)人員通過(guò)網(wǎng)頁(yè)、QQ群,、微信群等渠道傳播遠(yuǎn)控木馬等待用戶(hù)下載安裝,。

　　3.）上游黑產(chǎn)人員將受控制的所有受害者設(shè)備作為自己的基礎(chǔ)設(shè)施，然后通過(guò)QQ群,、微信群等渠道向下游黑產(chǎn)人員出售黑卡服務(wù),。

　　4.）下游黑產(chǎn)人員購(gòu)買(mǎi)上游黑產(chǎn)人員提供的黑卡服務(wù)，并通過(guò)電商返利,、注冊(cè)平臺(tái)水軍賬號(hào),、詐騙等方式進(jìn)行獲益。

　　七,、群控

　　群控軟件,，本質(zhì)是通過(guò)使用多部真實(shí)手機(jī)或模擬多部手機(jī)，在手機(jī)中安裝腳本軟件來(lái)控制手機(jī)上的APP,，修改手機(jī)軟硬件信息,，達(dá)到模擬人工使用APP的效果。其目的是通過(guò)自動(dòng)化手段,，最大化模擬真實(shí)用戶(hù)的操作請(qǐng)求,，以達(dá)到吸粉,、引流、廣告,、“薅羊毛”等作弊目標(biāo),。

　　早在2018年，央視揭露娛樂(lè)明星流量數(shù)據(jù)造假的行業(yè)內(nèi)幕,，例如某些藝人發(fā)了一條普通的內(nèi)容,，短時(shí)間獲得上千萬(wàn)甚至是上億的瀏覽量；某某微博粉絲數(shù)量幾十上百萬(wàn),，但是你卻從來(lái)沒(méi)有聽(tīng)說(shuō)過(guò)他,，以及他的粉絲從來(lái)沒(méi)有評(píng)論過(guò)其發(fā)表的微博等。這些奇怪現(xiàn)象的背后就是一條群控黑色產(chǎn)業(yè)鏈,。相關(guān)新聞披露如下圖,。

　　群控軟件的具體分類(lèi)如下。

　　第一代群控：多開(kāi)模擬器,，讓一臺(tái)手機(jī)上實(shí)現(xiàn)多開(kāi)應(yīng)用功能

　　第二代群控：群控,，將上百臺(tái)手機(jī)界面映射到一臺(tái)計(jì)算機(jī)上，在計(jì)算機(jī)上使用群控軟件批量操作所有手機(jī),。

　　第三代群控：傳統(tǒng)云控,，利用云端遠(yuǎn)程下達(dá)命令，本地收到命令群發(fā)到手機(jī)群然后執(zhí)行任務(wù),。

　　第四代群控：新型云控,，通過(guò)數(shù)據(jù)包形式和服務(wù)器進(jìn)行交互來(lái)實(shí)現(xiàn)登錄、綁定郵箱,、更改密碼等操作,。

　　表1 四代群控軟件對(duì)比表格

　　系統(tǒng)名稱(chēng)

　　原理

　　一臺(tái)設(shè)備對(duì)應(yīng)微信號(hào)數(shù)量

　　特點(diǎn)

　　多開(kāi)模擬器

　　越獄手機(jī)模擬多個(gè)蘋(píng)果系統(tǒng)

　　50

　　成本低，易封號(hào)

　　群控

　　計(jì)算機(jī)通過(guò)集線(xiàn)器操作手機(jī)墻

　　100

　　成本高,，易封號(hào)

　　傳統(tǒng)云控

　　計(jì)算機(jī)遠(yuǎn)程操控手機(jī)墻

　　1000

　　成本高,，易封號(hào)

　　新型云控

　　不需要手機(jī)，協(xié)議外掛

　　10000+

　　成本低,，較難封號(hào)

　　群控黑產(chǎn)具體實(shí)現(xiàn)過(guò)程如下圖,。

　　群控黑產(chǎn)實(shí)現(xiàn)過(guò)程一般如下。

　　1.）從開(kāi)發(fā)人員那里購(gòu)買(mǎi)云控平臺(tái)（即4代群控軟件）,。

　　2.）從上游惡意注冊(cè)商那里購(gòu)買(mǎi)大量社交賬號(hào),，然后通過(guò)群控發(fā)送數(shù)據(jù)包進(jìn)行賬號(hào)登錄，然后向下游黑產(chǎn)人員售賣(mài)云控服務(wù),。

　　3.）下游黑產(chǎn)人員購(gòu)買(mǎi)上游的云控服務(wù)，通過(guò)“薅羊毛”,、刷評(píng)論,、刷贊,、微博關(guān)注等各種途徑將流量變現(xiàn)。

　　第五章     安全建議

　　現(xiàn)今智能手機(jī)已經(jīng)成為現(xiàn)代人生活的必需品,，它不僅存儲(chǔ)著我們每個(gè)人的個(gè)人隱私信息,，還與我們的工作、生活息息相關(guān),。種類(lèi)多樣的APP,，在帶給我們豐富多彩生活、工作便利的同時(shí),，也包含著我們難以察覺(jué)到的威脅,。

　　無(wú)論是個(gè)人、企業(yè),、國(guó)家,，在移動(dòng)網(wǎng)絡(luò)技術(shù)飛速發(fā)展的過(guò)程中，面臨的威脅也隨之而來(lái),。對(duì)于個(gè)人我們要保障隱私不外泄,，對(duì)于企業(yè)我們要保障企業(yè)利益不會(huì)蒙受損害，對(duì)于國(guó)家我們保障國(guó)家安全不受威脅,。我們希望用戶(hù)從個(gè)人出發(fā)重視移動(dòng)安全,，加強(qiáng)個(gè)人網(wǎng)絡(luò)安全防范意識(shí)，為保護(hù)個(gè)人因素,、維護(hù)企業(yè)利益,、保障國(guó)家安全貢獻(xiàn)自己的一份力量。

　　針對(duì)普通用戶(hù)如何避免遭受Android平臺(tái)惡意應(yīng)用的侵害,，奇安信威脅情報(bào)中心給出了以下防護(hù)建議：

　　1.）使用正版和正規(guī)官方應(yīng)用市場(chǎng)提供的APP應(yīng)用,，不要安裝非可信渠道的應(yīng)用、不要隨意點(diǎn)擊不明URL鏈接和掃描安全性未知的二維碼信息,；

　　2.）移動(dòng)設(shè)備及時(shí)在可信網(wǎng)絡(luò)環(huán)境下進(jìn)行安全更新,，不要輕易使用外來(lái)的網(wǎng)絡(luò)環(huán)境；

　　3.）使用正規(guī)商家的共享充電寶,，不輕易開(kāi)啟開(kāi)發(fā)者模式,；

　　4.）確保安裝有手機(jī)安全軟件，并進(jìn)行實(shí)時(shí)保護(hù),；

　　5.）若發(fā)現(xiàn)手機(jī)感染木馬病毒,，請(qǐng)及時(shí)使用安全軟件進(jìn)行清理，避免重復(fù)交叉感染,；

　　6.）積極學(xué)習(xí)網(wǎng)絡(luò)安全知識(shí),，及時(shí)了解當(dāng)下流行的網(wǎng)絡(luò)騙局，避免陷入“社交約會(huì)類(lèi)”“兼職類(lèi)”“金融理財(cái)類(lèi)”“冒充身份類(lèi)”等騙局中,。