2019年，卡巴斯基移動(dòng)端檢測(cè)到3503952惡意安裝包，69777個(gè)新的手機(jī)銀行木馬，68362個(gè)新的手機(jī)勒索木馬。2019年，有兩個(gè)趨勢(shì)特別突出：攻擊者對(duì)用戶個(gè)人數(shù)據(jù)的攻擊變得更加頻繁，在應(yīng)用市場(chǎng)上檢測(cè)到木馬軟件變得更加頻繁。本報(bào)告將以示例和統(tǒng)計(jì)數(shù)據(jù)更詳細(xì)地討論每一項(xiàng)。

?[[318637]]?

個(gè)人信息竊取

stalkerware

過(guò)去一年，針對(duì)移動(dòng)設(shè)備用戶的個(gè)人數(shù)據(jù)攻擊增加了50%：從2018年的40386個(gè)受攻擊的唯一用戶增加到2019年的67500個(gè)。

??

個(gè)人信息竊取惡意軟件可分為兩大類：Trackers和成熟的跟蹤應(yīng)用程序。

Trackers通常關(guān)注兩點(diǎn)：受害者的坐標(biāo)和短信。許多類似的免費(fèi)應(yīng)用可以在谷歌官方商城中找到。谷歌Play2018年底改變政策后，大多數(shù)此類惡意軟件被刪除。然而仍可在開(kāi)發(fā)者和第三方網(wǎng)站上找到。如果應(yīng)用程序安裝在設(shè)備上，用戶位置和相關(guān)數(shù)據(jù)就可以被第三方訪問(wèn)。這些第三方不一定只是跟蹤用戶的第三方，有可能因?yàn)榉?wù)安全性較低，導(dǎo)致數(shù)據(jù)允許任何人訪問(wèn)。

成熟的跟蹤應(yīng)用程序的情況不同：Google Play上沒(méi)有這樣的應(yīng)用程序，但它們得到了開(kāi)發(fā)人員的積極維護(hù)。此類軟件屬于間諜軟件，可以在設(shè)備上采集幾乎所有的數(shù)據(jù)：照片(包括整個(gè)檔案和個(gè)人照片，例如，在某個(gè)位置拍攝的照片)、電話、文本、位置信息、屏幕點(diǎn)擊(鍵盤記錄)等等。

??

許多應(yīng)用程序利用root權(quán)限從社交網(wǎng)絡(luò)和即時(shí)消息程序中提取消息歷史記錄。如果無(wú)法獲得所需的訪問(wèn)權(quán)限，軟件會(huì)利用窗口截圖、記錄屏幕點(diǎn)擊等方式來(lái)獲取信息。商業(yè)間諜軟件應(yīng)用程序Monitor Minor就是一個(gè)例子。

??

商業(yè)間諜軟件FinSpy更進(jìn)一步，可以攔截secure messengers中的通信，如Signal、Threema等。為了確保攔截，應(yīng)用程序通過(guò)利用CVE-2016-5195(又名“Dirty Cow”)獲取權(quán)限。若受害者使用過(guò)時(shí)操作系統(tǒng)內(nèi)核，此漏洞可將權(quán)限提升到root。傳統(tǒng)的通話和文字形式使用的人越來(lái)越少，正逐漸轉(zhuǎn)向即時(shí)通訊應(yīng)用。攻擊者對(duì)這些應(yīng)用程序中存儲(chǔ)的數(shù)據(jù)越來(lái)越感興趣。

廣告app

2019年，發(fā)現(xiàn)廣告軟件威脅的數(shù)量顯著增加，其目的是在移動(dòng)設(shè)備上獲取個(gè)人數(shù)據(jù)。統(tǒng)計(jì)顯示，2019年被廣告軟件攻擊的用戶數(shù)量與2018年基本持平。

??

檢測(cè)到的廣告軟件安裝包數(shù)量比2018年翻了一番。

??

廣告軟件安裝包是自動(dòng)生成的，但由于某種原因沒(méi)有達(dá)到目標(biāo)受眾。它們可能在生成后立即被檢測(cè)到，無(wú)法進(jìn)一步傳播。通常這樣的應(yīng)用程序不包含任何有用的東西，只是一個(gè)廣告軟件模塊，因此受害者會(huì)立即刪除它們。

這是廣告軟件連續(xù)第二年出現(xiàn)在前三大威脅之中。按2019年受到攻擊的用戶數(shù)量計(jì)算，前十大移動(dòng)威脅中有四個(gè)是廣告軟件類應(yīng)用。

??

2019年，移動(dòng)廣告軟件開(kāi)發(fā)商不僅生成了數(shù)萬(wàn)個(gè)軟件包，在技術(shù)上也做了提升，特別是繞過(guò)了操作系統(tǒng)的限制。例如，出于節(jié)省電池的原因，Android對(duì)應(yīng)用程序后臺(tái)操作設(shè)置了某些限制，這對(duì)廣告軟件產(chǎn)生了負(fù)面影響。KeepMusic廣告軟件為了繞過(guò)這些限制，軟件不會(huì)像惡意軟件那樣請(qǐng)求權(quán)限，程序開(kāi)始循環(huán)靜音播放一個(gè)MP3文件。操作系統(tǒng)發(fā)現(xiàn)音樂(lè)播放器正在運(yùn)行，就不會(huì)終止KeepMusic后臺(tái)進(jìn)程。

盜取訪問(wèn)權(quán)限

2019年，出現(xiàn)了第一個(gè)移動(dòng)金融惡意軟件樣本(AndroidOS.Gustuff.a)，通過(guò)兩種方法來(lái)從銀行賬戶中竊取資金：

通過(guò)受害者手機(jī)短信：木馬會(huì)感染設(shè)備，并向特定的銀行電話號(hào)碼發(fā)送帶有轉(zhuǎn)賬請(qǐng)求的文本。然后，銀行會(huì)自動(dòng)將資金從設(shè)備所有者的帳戶轉(zhuǎn)移到收件人。

通過(guò)竊取網(wǎng)上銀行憑證：這是近年來(lái)主導(dǎo)的方法，攻擊者在受害者的設(shè)備上顯示假冒的銀行登錄頁(yè)面，收集受害者的憑據(jù)。在這種情況下攻擊者需要自己進(jìn)行交易，在自己的移動(dòng)設(shè)備或?yàn)g覽器上使用應(yīng)用程序。

2019年，網(wǎng)絡(luò)罪犯掌握了第三種方法：通過(guò)操縱銀行應(yīng)用程序進(jìn)行盜竊。首先，受害者被說(shuō)服運(yùn)行應(yīng)用程序并登錄，例如，偽造的推送通知，受害者點(diǎn)擊通知后會(huì)打開(kāi)銀行應(yīng)用程序，此時(shí)攻擊者也有權(quán)進(jìn)行訪問(wèn)。

訪問(wèn)權(quán)限的濫用對(duì)用戶的個(gè)人數(shù)據(jù)構(gòu)成了嚴(yán)重威脅。以前網(wǎng)絡(luò)犯罪者為了竊取個(gè)人信息不得不覆蓋窗口并請(qǐng)求一堆權(quán)限，現(xiàn)在受害者自己將所有必要的數(shù)據(jù)輸出到屏幕或以表格形式輸入，攻擊者可以很容易地收集到這些數(shù)據(jù)。如果惡意軟件需要更多權(quán)限，可以自己打開(kāi)設(shè)置并獲得必要的權(quán)限。

Google Play

將惡意軟件放入Android應(yīng)用商店比利用社會(huì)工程學(xué)攻擊受害者有更好的效果。這種方法還有更多優(yōu)勢(shì)：

繞過(guò)安卓?jī)?nèi)置的防病毒保護(hù)SafetyNet：如果用戶從Google Play下載應(yīng)用程序，那么在沒(méi)有其他請(qǐng)求的情況下系統(tǒng)安裝它的可能性非常高。在這種情況下，唯一能保護(hù)用戶免受攻擊的只有第三方安全解決方案?？朔睦碚系K：官方應(yīng)用商店比第三方“市場(chǎng)”享有更大的信任度，可用于更高效地分發(fā)軟件。以受害者為目標(biāo)，沒(méi)有不必要的花費(fèi)：Google Play可以用來(lái)托管假冒軟件，在谷歌Play上已經(jīng)檢測(cè)到許多針對(duì)特定人群的惡意程序。

網(wǎng)絡(luò)犯罪分子還使用了其他一些技巧來(lái)最大限度地提高設(shè)備感染率：例如，CamScanner應(yīng)用程序通過(guò)更新處理廣告的代碼來(lái)添加惡意功能;假冒Google商城流行的應(yīng)用程序。例如照片編輯軟件;采用大規(guī)模發(fā)帖的策略，以各種幌子上傳應(yīng)用程序：從換墻紙工具和安全解決方案到流行游戲。在某些情況下木馬程序獲得了數(shù)十萬(wàn)次下載。在如此短的時(shí)間內(nèi)，沒(méi)有任何其他的攻擊方式能夠達(dá)到如此數(shù)量。

數(shù)據(jù)分析

2019年，發(fā)現(xiàn)移動(dòng)惡意安裝軟件3503952個(gè)，比上年減少1817190個(gè)。

??

連續(xù)三年惡意安裝包數(shù)量總體下降，這種情況與移動(dòng)攻擊數(shù)量相似：在2018年觀察到攻擊總數(shù)為1.165億次，在2019年，這一數(shù)字降至8000萬(wàn)次。

??

這一數(shù)字可追溯到前一年，Asacub銀行木馬爆發(fā)前。攻擊數(shù)量與被攻擊用戶的數(shù)量相關(guān)，觀察到類似情況。

??

被攻擊用戶數(shù)量Top 10國(guó)家地區(qū)：

??

2019年，伊朗(60.64%)連續(xù)第三年高居榜首。該國(guó)最常見(jiàn)的威脅軟件有：Trojan.AndroidOS.Hiddapp.bn、adware.AndroidOS.Agent.fa和RiskTool.AndroidOS.Dnotua.yfe。巴基斯坦(44.43%)從第七位上升到第二位，主要是由于受廣告軟件攻擊的用戶數(shù)量上升。

威脅種類

??

2019年，RiskTool類威脅比例下降20個(gè)百分點(diǎn)(32.46%)。主要是來(lái)自SMSreg家族的威脅急劇減少。在2018年獲得了1970742個(gè)SMSreg安裝包，在2019年下降了一個(gè)數(shù)量級(jí)，193043個(gè)。

??

Skymobi和Paccy退出了前十家族;2019年檢測(cè)到的這些家族的安裝包數(shù)量減少了10倍。出現(xiàn)了新的家族：Resharer(4.62%)排名第六。廣告軟件增長(zhǎng)了14個(gè)百分點(diǎn)，增長(zhǎng)的主要來(lái)源是HiddenAd(26.81%)。

??

MobiDash(20.45%)和Ewind(16.34%)也有顯著增長(zhǎng)。2018年占據(jù)領(lǐng)先地位的Agent家族(15.27%)跌至第四位。

與2018年相比移動(dòng)木馬數(shù)量銳減，已經(jīng)連續(xù)兩年出現(xiàn)下降趨勢(shì)，Hqwar家族的降幅最為顯著：從2018年的14.1萬(wàn)件降至2019年的2.2萬(wàn)件。木馬類威脅的比例上升了6個(gè)百分點(diǎn)，其中最常見(jiàn)的兩個(gè)惡意軟件家族是Boogr和Hiddapp。移動(dòng)勒索軟件木馬的份額略有增加。前三名為Svpeng, Congur, Fusob。

TOP20移動(dòng)惡意軟件

??

前20名移動(dòng)惡意軟件中的第一名與前幾年一樣，是DangerousObject.Multi.Generic(49.15%)，排在第二位的是Trojan.AndroidOS.Boogr.gsh(10.95%)。第三、第六和第十六位是由HIDDAP家族的成員占據(jù)。第五位和第十三位是Necro家族。第七位和第十位是銀行業(yè)木馬Asacub家族，年初該家族仍在積極傳播惡意軟件，從2019年3月開(kāi)始，這個(gè)家族的活動(dòng)有所下降。

??

第八位和第十四位是Hqwar家族。他們的活動(dòng)從2018年的8萬(wàn)名受攻擊用戶大幅下降至2019年的2.8萬(wàn)名。

??

排在第九位的是Lezok家族AndroidOS.Lezok.p(1.76%)。該特洛伊木馬通常在系統(tǒng)目錄中以PhoneServer、GeocodeService和類似名稱命名。

??

手機(jī)銀行木馬

2019年檢測(cè)到69777個(gè)手機(jī)銀行木馬安裝包，是去年的一半。由于其他類別和系列移動(dòng)惡意軟件的活動(dòng)減少，銀行木馬在所有檢測(cè)到的威脅中所占的份額略有增加。

??

銀行木馬檢測(cè)到的安裝包數(shù)量以及攻擊數(shù)量受到Asacub木馬活動(dòng)的影響，該活動(dòng)從2019年4月開(kāi)始急劇下降。

??

銀行木馬攻擊TOP10國(guó)家地區(qū)

??

銀行木馬TOP10家族

??

移動(dòng)勒索木馬

2019年共檢測(cè)勒索木馬安裝包68362個(gè)，比上年增加8186個(gè)。整個(gè)2019年新勒索軟件有所下降。

??

類似的情況也出現(xiàn)在被攻擊用戶上。在2019年初，受到攻擊的用戶數(shù)量達(dá)到了最高峰12004人，到年底這一數(shù)字下降了2.6倍。

??

勒索木馬攻擊TOP10國(guó)家地區(qū)

??

美國(guó)連續(xù)第三年排名第一。

總結(jié)

2019年出現(xiàn)了一些高度復(fù)雜的手機(jī)銀行威脅，特別是可以干擾銀行應(yīng)用程序正常運(yùn)行的惡意軟件。這種趨勢(shì)極有可能持續(xù)到2020年，有可能出現(xiàn)更多的高科技銀行木馬。

在2019年，移動(dòng)跟蹤武器攻擊變得更加頻繁，其目的是監(jiān)測(cè)和收集有關(guān)受害者的信息。2020年這類威脅的數(shù)量很可能會(huì)增加，受攻擊的用戶數(shù)量也會(huì)相應(yīng)增加。

從統(tǒng)計(jì)數(shù)據(jù)來(lái)看，廣告軟件在網(wǎng)絡(luò)犯罪中越來(lái)越受歡迎。今后很可能會(huì)遇到此類威脅的新家族成員，最壞的情況是攻擊者在受害者的設(shè)備上預(yù)裝廣告軟件模塊。