2019年移動惡意軟件總結(jié)

周兵峰

2019年，卡巴斯基移動端檢測到3 503 952惡意安裝包，69 777個新的手機(jī)銀行木馬，68 362個新的手機(jī)勒索木馬。2019年，有2個趨勢特別突出：攻擊者對用戶個人數(shù)據(jù)的攻擊變得更加頻繁；在應(yīng)用市場上檢測到木馬軟件變得更加頻繁。

個人信息竊取

過去一年，針對移動設(shè)備用戶的個人數(shù)據(jù)攻擊增加了50%：從2018年的40386個增加到2019年的67500個。

個人信息竊取惡意軟件可分為兩大類：Trackers和成熟的跟蹤應(yīng)用程序。

Trackers通常關(guān)注2點：受害者的坐標(biāo)和短信。許多類似的免費(fèi)應(yīng)用可以在谷歌官方商城中找到，谷歌Play2018年底改變政策后，大多數(shù)此類惡意軟件被刪除，然而仍可在開發(fā)者和第三方網(wǎng)站上找到。如果應(yīng)用程序安裝在設(shè)備上，用戶位置和相關(guān)數(shù)據(jù)就可以被第三方訪問，這些第三方不一定只是跟蹤用戶的第三方，有可能因為服務(wù)安全性較低，導(dǎo)致數(shù)據(jù)允許任何人訪問。

成熟的跟蹤應(yīng)用程序情況不同：Google Play上沒有這樣的應(yīng)用程序，但它們得到了開發(fā)人員的積極維護(hù)。此類軟件屬于間諜軟件，可以在設(shè)備上采集幾乎所有的數(shù)據(jù)：包括整個檔案和個人照片，例如，在某個位置拍攝的照片、電話、文本、位置信息、屏幕點擊（鍵盤記錄）等。

許多應(yīng)用程序利用root權(quán)限從社交網(wǎng)絡(luò)和即時消息程序中提取消息歷史記錄，如果無法獲得所需的訪問權(quán)限，軟件會利用窗口截圖、記錄屏幕點擊等方式來獲取信息。商業(yè)間諜軟件Monitor Minor就是一個例子。

商業(yè)間諜軟件FinSpy，可以攔截secure messengers中的通信，如Signal，Threema等。為了確保攔截，應(yīng)用程序通過利用CVE-2016-5195（又名“Dirty Cow”）獲取權(quán)限，若受害者使用過時操作系統(tǒng)內(nèi)核，此漏洞可將權(quán)限提升到root。傳統(tǒng)的通話和文字形式使用的人越來越少，正逐漸轉(zhuǎn)向即時通信應(yīng)用。攻擊者對這些應(yīng)用程序中存儲的數(shù)據(jù)越來越感興趣。

廣告APP

2019年，發(fā)現(xiàn)廣告軟件威脅的數(shù)量顯著增加，其目的是在移動設(shè)備上獲取個人數(shù)據(jù)。統(tǒng)計顯示，2019年被廣告軟件攻擊的用戶數(shù)量與2018年基本持平。檢測到的廣告軟件安裝包數(shù)量比2018年翻了一番。

廣告軟件安裝包是自動生成的，但由于某種原因沒有達(dá)到目標(biāo)受眾，它們可能在生成后立即被檢測到，無法進(jìn)一步傳播。通常這樣的應(yīng)用程序不包含任何有用的東西，只是一個廣告軟件模塊，因此受害者會立即刪除它們。

這是廣告軟件連續(xù)第2年出現(xiàn)在前三大威脅之中。按2019年受到攻擊的用戶數(shù)量計算，前十大移動威脅中有4個是廣告軟件類應(yīng)用。

2019年，移動廣告軟件開發(fā)商不僅生成了數(shù)萬個軟件包，在技術(shù)上也做了提升，特別是繞過了操作系統(tǒng)的限制。例如，出于節(jié)省電池的原因，Android對應(yīng)用程序后臺操作設(shè)置了某些限制，這對廣告軟件產(chǎn)生了負(fù)面影響。KeepMusic廣告軟件為了繞過這些限制，軟件不會像惡意軟件那樣請求權(quán)限，程序開始循環(huán)靜音播放一個MP3文件，操作系統(tǒng)發(fā)現(xiàn)音樂播放器正在運(yùn)行，就不會終止KeepMusic后臺進(jìn)程。

盜取訪問權(quán)限

2019年，出現(xiàn)了第一個移動金融惡意軟件樣本（Android OS.Gustuff.a），通過2種方法來從銀行賬戶中竊取資金：

通過受害者手機(jī)短信：木馬會感染設(shè)備，并向特定的銀行電話號碼發(fā)送帶有轉(zhuǎn)賬請求的文本，然后，銀行會自動將資金從設(shè)備所有者的帳戶轉(zhuǎn)移到收件人。

通過竊取網(wǎng)上銀行憑證：這是近年來主導(dǎo)的方法，攻擊者在受害者的設(shè)備上顯示假冒的銀行登錄頁面，收集受害者的憑據(jù)。在這種情況下攻擊者需要自己進(jìn)行交易，在自己的移動設(shè)備或瀏覽器上使用應(yīng)用程序。

2019年，網(wǎng)絡(luò)罪犯掌握了第3種方法：通過操縱銀行應(yīng)用程序進(jìn)行盜竊。首先，受害者被說服運(yùn)行應(yīng)用程序并登錄，例如偽造的推送通知，受害者點擊通知后會打開銀行應(yīng)用程序，此時攻擊者也有權(quán)進(jìn)行訪問。

訪問權(quán)限的濫用對用戶的個人數(shù)據(jù)構(gòu)成了嚴(yán)重威脅。以前網(wǎng)絡(luò)犯罪者為了竊取個人信息不得不覆蓋窗口并請求一堆權(quán)限，現(xiàn)在受害者自己將所有必要的數(shù)據(jù)輸出到屏幕或以表格形式輸入，攻擊者可以很容易地收集到這些數(shù)據(jù)。如果惡意軟件需要更多權(quán)限，可以自己打開設(shè)置并獲得必要的權(quán)限。

Google Play

將惡意軟件放入Android應(yīng)用商店比利用社會工程學(xué)攻擊受害者有更好的效果。這種方法還有更多優(yōu)勢：

繞過安卓內(nèi)置的防病毒保護(hù)SafetyNet：如果用戶從Google Play下載應(yīng)用程序，那么在沒有其他請求的情況下系統(tǒng)安裝它的可能性非常高。在這種情況下，唯一能保護(hù)用戶免受攻擊的只有第三方安全解決方案。

克服心理障礙：官方應(yīng)用商店比第三方市場享有更大的信任度，可更高效地分發(fā)軟件。

以受害者為目標(biāo)，沒有不必要的花費(fèi)：Google Play可以用來托管假冒軟件，在谷歌Play上已經(jīng)檢測到許多針對特定人群的惡意程序。

網(wǎng)絡(luò)犯罪分子還使用了其他一些技巧來最大限度提高設(shè)備感染率：例如，CamScanner應(yīng)用程序通過更新處理廣告的代碼來添加惡意功能；假冒Google商城流行的應(yīng)用程序，例如照片編輯軟件；采用大規(guī)模發(fā)帖的策略，以各種幌子上傳應(yīng)用程序，從換墻紙工具和安全解決方案到流行游戲。在某些情況下木馬程序獲得了數(shù)十萬次下載，在如此短的時間內(nèi)，沒有任何其他的攻擊方式能夠達(dá)到如此數(shù)量。

數(shù)據(jù)分析

2019年，發(fā)現(xiàn)移動惡意安裝軟件3 503 952個，比上年減少1 817 190個。

連續(xù)3年惡意安裝包數(shù)量總體下降，這種情況與移動攻擊數(shù)量相似：在2018年觀察到攻擊總數(shù)為1.165億次，在2019年，這一數(shù)字降至8 000萬次。

這一數(shù)字可追溯到前一年，Asacub銀行木馬爆發(fā)前，攻擊數(shù)量與被攻擊用戶的數(shù)量相關(guān)，觀察到類似情況。2019年，伊朗（60.64 %）連續(xù)第3年高居榜首。該國最常見的威脅軟件有：Trojan.AndroidOS.Hiddapp.bn，adware.Android OS.Agent.fa，RiskTool.AndroidOS.Dnotua.yfe。巴基斯坦（44.43 %）從第七位上升到第二位，主要是由于受廣告軟件攻擊的用戶數(shù)量上升。

威脅種類

2019年，RiskTool類威脅比例下降20個百分點（32.46%）。主要是來自SMSreg家族的威脅急劇減少。在2018年獲得了1 970 742個SMSreg安裝包，在2019年下降了一個數(shù)量級，193043個。

Skymobi和Paccy退出了前十家族，2019年檢測到的這些家族的安裝包數(shù)量減少了10倍。出現(xiàn)了新的家族：Resharer（4.62 %）排名第六。廣告軟件增長了14個百分點，增長的主要來源是HiddenAd（26.81 %）。

MobiDash（20.45 %）和Ewind（16.34 %）也有顯著增長。2018年占據(jù)領(lǐng)先地位的Agent家族（15.27 %）跌至第4位。

與2018年相比移動木馬數(shù)量銳減，已經(jīng)連續(xù)2年出現(xiàn)下降趨勢，Hqwar家族的降幅最為顯著：從2018年的14.1萬件降至2019年的2.2萬件。木馬類威脅的比例上升了6個百分點，其中最常見的2個惡意軟件家族是Boogr，Hiddapp。移動勒索軟件木馬的份額略有增加。前三名為Svpeng，Congur，F(xiàn)usob。

前20名移動惡意軟件中的第一名與是DangerousObject. Multi.Generic（49.15 %），排在第二位的是Trojan.AndroidOS. Boogr.gsh（10.95 %）。第三、第六和第十六位是由HIDDAP家族的成員占據(jù)。第五位和第十三位是Necro家族。第七位和第十位是銀行業(yè)木馬Asacub家族，年初該家族仍在積極傳播惡意軟件，從2019年3月開始，這個家族的活動有所下降。

第八位和第十四位是Hqwar家族。他們的活動從2018年的8萬名受攻擊用戶大幅下降至2019年的2.8萬名。

排在第九位的是Lezok家族AndroidOS.Lezok.p（1.76 %）。該特洛伊木馬通常在系統(tǒng)目錄中以PhoneServer，Geocode Service和類似名稱命名。

手機(jī)銀行木馬

2019年檢測到69 777個手機(jī)銀行木馬安裝包，是去年的一半。由于其他類別和系列移動惡意軟件的活動減少，銀行木馬在所有檢測到的威脅中所占的份額略有增加。

銀行木馬檢測到的安裝包數(shù)量以及攻擊數(shù)量受到Asacub木馬活動的影響，該活動從2019年4月開始急劇下降。

移動勒索木馬

2019年共檢測勒索木馬安裝包68 362個，增加8 186個。整個2019年新勒索軟件有所下降。

類似的情況也出現(xiàn)在被攻擊用戶上。在2019年初，受到攻擊的用戶數(shù)量達(dá)到了最高峰12 004人，到年底這一數(shù)字下降了2.6倍。

2019年出現(xiàn)了一些高度復(fù)雜的手機(jī)銀行威脅，特別是可以干擾銀行應(yīng)用程序正常運(yùn)行的惡意軟件，這種趨勢極有可能持續(xù)到2020年，有可能出現(xiàn)更多的高科技銀行木馬。

在2019年，移動跟蹤武器攻擊變得更加頻繁，其目的是監(jiān)測和收集有關(guān)受害者的信息，2020年這類威脅的數(shù)量很可能會增加，受攻擊的用戶數(shù)量也會相應(yīng)增加。

從統(tǒng)計數(shù)據(jù)來看，廣告軟件在網(wǎng)絡(luò)犯罪中越來越受歡迎。今后很可能會遇到此類威脅的新家族成員，最壞的情況是攻擊者在受害者的設(shè)備上預(yù)裝廣告軟件模塊。