2018年Android恶意软件专题报告.pdf

2018 年 Android 恶意软件专题报告 2019 年 2 月 14 日 摘 要 2018 年全年， 360 互联网安全中心共截获移动端新增 恶意软件 样本约 434.2 万个，平均每天新增约 1.2 万 个 。全年相比 2017 年（ 757.3 万 个 ）下降了约 42.7%。 2018 全年移动端新增 恶意软件 类型主要为资费消耗，占比高达 63.2%；其次为隐私窃取（ 33.7%）、恶意扣费（ 1.6%）、流氓行为（ 1.2%）、远程控制（ 0.3%）。 2018 全年， 360 互联网安全中心累计监测 移动端恶意软件感染量 约为 1.1 亿 人 次，相比2017 年（ 2.14 亿 人 次） 感染量 下降 48.6%，平均每日 恶意软件 感染量 约为 29.2 万 人 次。 2018 全年从地域分布来看， 恶意软件 感染量 最多的 省份 为广东省，占全国 感染量 的 8.2%；其次为北京（ 7.2%）、山东（ 6.5%）、河南（ 6.4%）江苏（ 6.1%）等。 感染量最多的 城市 为 北京，占全国城市的 7.2%；其次是重庆（ 2.2%）、广州（ 1.6%）、成都（ 1.3%）、南京（ 1.3%）。位居 Top10 的城市还有东莞、呼和浩特、石家庄、上海、哈尔滨。 2018 年 恶意软件 使用了 多 种 新技术 ，分别是 利用 调试接口 感染 传播 ，首次 出现 Kotlin语言开发的恶意软件 ， 劫持路由器设置，篡改剪切板内容，滥用 Telegram 软件协议 ，恶意软件适配高版本系统以及 针对 企业和家庭 的 网络 代理 攻击 。 2018 年 移动高级 威胁 方面 ， 360 烽火实验室监测到的公开披露的 APT 报告中，涉及移动相关的 APT 报告 23 篇。被提及次数最多的被攻击国家依次是韩国、以色列、巴基斯坦、巴勒斯坦、伊朗、叙利亚和印度。 2018 年移动高级威胁主要围绕在亚太和中东地区，涉及朝韩半岛、克什米尔地区，巴以冲突地区。 除此 以外 ， 还 体现 了部分国家内部 动荡 的政治局势 。 2018 年移动平台 黑灰产业生态 ， 根据 结构划分 为 流量获取分发 、 流量变现盈利 和 数据信息安全三个方面 。 2018 年度 CVE Details 报告显示， Android 系统以 611 个漏洞位居产品漏洞数量榜 前列 ，与 2017 年 842 个相比略有减小，下降 27.4%，与 2016 年相比增加 16.6% 截止 2018 年 10 月， Google 发布的 Android 系统版本分布统计， Android Nougat（ Android 7.0/7.1）达到 28.2%，占比第二的是 Android Oreo（ Android 8.0/8.1）总占比已达 21.5%，而最新系统版本 Android 9 Pie 不足 0.1%。 系统 厂商自律 定期更新开发者策略， 政府 监管处置各类违法违规应用 ， 警企协同 打击 网络 犯罪 ， 共建大安全生态环境。 从移动威胁趋势上看， 5G 时代 到来物联网安全问题凸显，基于内容的诈骗活动将越来越活跃，虚拟货币价格虽然降低但攻击仍将继续，社交网络下 的 新型传播方式 以及 数据泄露推动 隐私 全球立法 ， 这 五 个方面将 成为 未来 的主要趋势。 关键词： 移动安全 、 恶意软件 、 高级 威胁 、 黑灰产业 、 威胁趋势目 录 第一章 总体态势 . 1 一、 恶意软件新增量与类型分布 . 1 二、 恶意软件感染量分析 . 2 三、 恶意软件感染量地域分析 . 3 第二章 盘点恶意软件的新技术 . 5 一、 利用调试接口传播 . 5 二、 KOTLIN语言开发的恶意软件首现 . 5 三、 劫持路由器设置 . 6 四、 篡改剪切板内容 . 7 五、 滥用 TELEGRAM软件协议 . 8 六、 恶意软件适配高版本系统 . 9 七、 企业和家庭网络攻击进阶 . 10 第三章 移动高级威胁持续进化 . 11 一、 移动高级威胁全球研究 . 11 二、 地缘政治影响日益显著 . 11 三、 部分国家内部局势动荡 . 13 四、 移动端成为新的攻击入口 . 14 第四章 移动平台黑灰产业生态 . 16 一、 流量获取分发相关产业生态 . 16 二、 流量变现盈利相关产业生态 . 18 三、 数据信息安全相关产业生态 . 21 四、 移动平台黑灰产业特征与趋势 . 23 第五章 协同联动共建大安全生态环境 . 24 一、 严峻的系统环境 . 24 二、 系统厂商自我约束 . 26 三、 政府监管与信息举报 . 26 四、 警企协同打击网络犯罪 . 29 第六章 威胁趋势预测 . 30 一、 5G时代到来物联网安全问题凸显 . 30 二、 基于内容的诈骗活动将成为主流趋势 . 30 三、 “币圈 ”降温但攻击仍将继续 . 30 四、 社交网络下的传播链重建 . 31 五、 数据泄露推动隐私立法全球化 . 32 附录一：参考资料 . 33 360 烽火实验室 . 37 1 第一章 总体态势 一、 恶意软件 新增量与 类型分布 2018 年 全年， 360 互联网安全中心共 截获 移动端 新增 恶意软件 样本 约 434.2 万个， 平均每天新增 约 1.2 万 个 。 全年相比 2017 年 （ 757.3 万 ） 下降 了 约 42.7%。 自 2015 年起 ， 恶意软件 新增样本量呈逐年下降趋势 。 图 1.1 2012-2018 年 移动端新增恶意软件数量情况 2018 年 新增 恶意软件 整体呈现上半年、下半年较低的态势。其中 3 月份新增量最多，约 50.0 万个 恶意软件 ，第四季度中新增样本量均较低。 图 1.2 2018 年移动端各月新增恶意移动端样本数分布 情况 2 2018 全 年 移动端 新增 恶意软件 类型 主要 为资费消耗 ，占比高达 63.2%；其次为 隐私 窃取 （ 33.7%）、恶意扣费 （ 1.6%） 、流氓 行为 （ 1.2%）、 远程控制（ 0.3%）。 图 1.3 2018 年 移动端新增恶意软件类型分布情况 二、 恶意软件 感染量 分析 2018 全年， 360 互联网安全中心 累计 监测 移动端恶意软件感染量 约 为 1.1 亿 人 次，相比2017 年（ 2.14 亿 人 次） 感染量 下降 48.6%， 平均每 日 恶意软件 感染量 约为 29.2 万 人 次。 从七年的 移动端恶意软件感染量 对比看，经过 2012-2015 年的高速增长期， 2016 年 起呈现逐年 下降趋势， 恶意软件 发展逐渐平稳 。 图 1.4 2012-2018 年 移动端恶意软件感染量对比 情况 3 2018 年移动端 新增 恶意软件 感染量 的按季度对比情况 来 看 ， 总体 呈下降趋势。 四季度新增量最低， 仅约 52.4 万 个 。 全年 来看， 2018 年 四个季度 的 感染量 总体呈下降趋势 ； 其中 一季度 最高 约为 3437.3 万人次 ， 四季度 感染量 最少，仅 约 2057.1 万 人次 。 图 1.5 2018 年移动端新增 恶意软件 感染量 按季度对比情况 三、 恶意 软件感染量 地域分 析 2018全年从地域分布来看， 恶意软件 感染量 最多的 省 份 为广东省，占全国 感染量 的 8.2%；其次为北京（ 7.2%）、山东（ 6.5%）、河南（ 6.4%）和江苏（ 6.1%）。此外河北、浙江、四川、黑龙江、江西的 恶意软件 感染量 也排在前列。 图 1.6 2018 年 恶意软件感染量 TOP10 省级 分布情况 4 恶意软件 感染量最多的 城市 为 北京 ，占全国城市的 7.2%；其次是 重庆 （ 2.2%）、 广州（ 1.6%）、 成都 （ 1.3%）、 南京 （ 1.3%）。位居 Top10 的城市还有 东莞 、 呼和浩特 、 石家庄 、上海 、 哈尔滨 。 图 1.7 2018 年 恶意软件感染量 TOP10 城市 分布情况 5 第二章 盘点 恶意软件 的新技术 一、 利用 调试接口 传播 adb是连接 Android设备与 PC端的桥梁，可以让用户在电脑上对设备进行全面的操作，是 Android 系统为方便软件开发者提供的一种调试接口，一般情况下软件开发人员是通过启用 USB 调试选项来使用这种接口的。但事实上，这种接口可以直接绑定到网络端口上。一旦被绑定到网络端口，攻击者就可以在不借助物理接触的前提下，远程操作 Android 设备。 今年 2 月 ， 360 安全团队 监测到全球首个 Android 平台挖矿蠕虫 ADB.Miner1。ADB.Miner 利用 了 Android 设备上 的 5555 端口 ， 5555 端口 是 Android 设备上 adb 调试接口的工作端口，正常状态下应该处于关闭状态，但未知原因导致部分设备错误打开了该端口 。 ADB.Miner 蠕虫摆脱了通过 短信、 垃圾邮件 等社交诱骗的传播方式， 而是直接从 adb接口感染和传播。另外 ， adb 接口功能相当丰富，其中文件上传功能及 Shell 指令为蠕虫的繁殖和运行提供了便利。在传播中， ADB.Miner 复制了 MIRAI 中 SYN 扫描模块的代码，试图加速对 5555 端口开放情况的探测过程，以便提高传播速度。 图 2.1 端口 5555 上的扫描流量正在快速增长 二、 Kotlin语言开发的 恶意 软件首现 Kotlin2是一个用于现代多平台应用的静态编程语言 , 2017 年 5 月 Google 宣布 Kotlin正式成为 Android 官方支持开发语言。 Kotlin 特点 简洁，大大减少了样板代码的数量 ； 安全，因为它避免了诸如空指针异常之类的整个类错误 ； 互操作性， 充分 利用 JVM， Android 和浏览器的现有库 ； 并且工具友好，可用任何 Java IDE 或者使用命令行构建。 2018 年 1 月 ， 安全厂商发现 首个以 Kotlin 编程语言开发的恶意 软件 3， 该恶意软件 不仅 能够执行远程命令， 窃取信息 ， 模拟 点击广告 ， 它还可以在未经许可的情况下为用户 订阅 付费短信 业务 。 6 图片 来自 （ blog.trendmicro/trendlabs-security-intelligence/first-kotlin-developed-malicious-app-signs-users-premium-sms-services/） 图 2.2 使用 Kotlin 开发的恶意 软件 的包结构 三、 劫持路由器 设置 路由器被 入侵 的可能性大致分为两种。 一种 是 使用路由器本身的漏洞攻击，另一种是通过路由器管理功能所设置的弱认证信息非法登录。 早在 2016 年 12 月， 就曾出现了 劫持路由器 DNS 设置的 Switcher4恶意软件家族 ， 恶意软件即会利用一份预置好的包含 25 种默认登录名与密码的列表，在路由器的管理员 Web界面中执行密码暴力破解。如果破解尝试成功后，木马会导航至 WAN 设置选项并设置不法犯罪分子控制的流氓 DNS 作为主 DNS 服务器。 2018 年 3 月，日本媒体报道了 大量日本 用户的 路由器 DNS 设置 被 劫持 ，将用户重定向到恶意 IP 地址 ， 导致 用户 手机 下载 安装了 伪装成 Facebook 和 Chrome 更新 的 XLoader5恶意软件 ，恶意 行为包括窃取 隐私 、网站钓鱼、挖矿 等 。 截至目前 ， 攻击者 已经 将目标语言从 4 种扩展到 27 种，包括欧洲和中东语言 ，平台 也 从 Android 覆盖到 iOS、 PC 平台。