Author Archives: AVLTeam

安天移动安全联合猎豹移动首次揭露“Operation Manul”疑似在Android端的间谍软件行为

间谍软件窃听2

前言

  去年8月份,美国黑帽大会曾公开发表了一篇报告,揭露了名为“Operation Manul”的组织针对该国相关人士进行的大面积网络攻击和窃听行为,并分析了其在PC端使用的窃听技术及域名。

  通过对报告中披露的多个用做指令控制和文件上传的C2 Server域名进行内部检索对比,安天移动安全联合猎豹移动发现了一批相关恶意样本,分析发现该间谍软件通过伪装成海外知名应用潜入目标用户手机,在获取权限后会展开一系列窃听行为:私自拍照、录音,并窃取用户短信、通讯录、地理位置等隐私信息,而后将相关数据上传至远程服务器。

  这是自报告公开以来首次发现“Operation Manul”组织疑似在Android平台存在攻击行为,以下是对我们捕获的安卓端间谍软件的详细分析。

一、简要分析

  安天移动安全与猎豹移动联合发现的这批间谍软件,皆伪装为海外知名应用并将恶意代码注入其中,进而对目标用户实施恶意攻击。被伪装的知名应用不乏有即时通讯软件WhatsApp、流量加密软件Orbot以及互联网代理服务软件Psiphon等。

  被植入恶意模块的应用程序包结构如下图所示:1

二、分析对象说明

  我们发现攻击者在不同的知名应用中所植入的恶意模块几乎完全一致,故选择其中一个样本进行下述详细分析。分析对象如下:2

三、恶意行为分析

  通过AM文件可以看到,该间谍软件为了达成窃取短信、通话、录音等用户敏感隐私信息,注册了大量的receiver和相关权限。以下是恶意模块的相关属性: 3

  根据程序运行逻辑,整体恶意行为的攻击路线大致分为3个步骤:

Step1 敏感权限获取

  该病毒首先会请求用户给予相应的权限,如调用摄像头、录音、获取地理位置、获取通话记录和读取短信等权限,为后续窃取目标用户的敏感信息做攻击前准备。45

  而后,该病毒的Pms和Pmscmd模块会对当前程序是否获得关键权限进行确认。如未获得相应权限,则再次发起权限申请请求,确保权限到手以进行信息窃取。6

Step2 执行远控指令

  该病毒的主体恶意行为的执行基本完全依赖于远程服务器所发送的指令。该病毒开机自启动后立即运行恶意模块,通过https接收远程控制服务器发送的控制指令信息。基于指令信息执行相应的恶意行为,最终实现隐私信息的窃取和代码自我更新的目的。接下来我们对该过程进行详细介绍。

  ReSeRe是一个自启动项,用于启动该木马的主要恶意服务MySe:7

  MySe为此程序最主要的恶意模块,onCreate会启动线程F:8

  线程F包含接收远控命令,解析远控命令,执行恶意行为:91011-2

  远程控制指令中包含了大量用户隐私信息窃取指令,如窃取用户短信、联系人、通话记录、地理位置、浏览器信息、手机文件信息、网络信息、手机基本信息,私自拍照、录音等等,收集信息后进而将这些用户敏感数据上传至远程服务器。12

step3 执行代码内其他恶意模块

  通过ReSe恶意模块对用户环境进行录音:13

  MyPhRe主要是监听通话的作用:14

四、溯源分析

  通过分析,从代码中我们找到了用于通信的C&C服务器:15

  解密上述地址后得到明文C&C地址,解密的key为Bar12345Bar12345: 16.0

  同时,根据该C&C服务器的域名,我们在去年黑帽大会发布的报告中发现了相同的域名地址。原报告盘点了Operation Manul在PC侧所实施的钓鱼等一系列攻击所使用的服务器信息(如下图所示),其中包含了adobeair.net域名,而这一定程度也印证了我们所捕获的安卓端病毒源自原报告所指的Operation Manul组织的可能性。17

图注:上图来源于黑帽大会上发布的报告

  使用whois对域名adobeair.net进行反查后,我们发现了一个疑似开发者的邮箱:iainhendry@blueyonder.co.uk,其所持有adobeair.net域名的时间与原报告提出的攻击时间吻合。

  同时通过进一步搜索,我们查询到了该邮箱用户开发的用于应用推广的网页http://www.androidfreeware.net/developer-3195.html。而其中所推广的安卓应用都为其所开发。因此猜测该邮箱用户应该也是一位具有安卓编程能力的开发者。而这一定程度也与本文安卓端间谍软件活动的溯源进行了一次关联。 18

五、总结

  近几年,随着智能手机和移动网络在世界范围内的普及,移动端的定向攻击也逐步增多,并出现和PC端进行高度结合的趋势。两者往往相互配合,获取高价值的具有个人身份属性的信息,成为恶意攻击中的重要一环。与此同时,由于移动设备的边界属性和高社会、高隐私属性,一旦攻击成功,极有可能导致攻击结果出现雪崩效应,损失不断扩大。本次“Operation Manul”攻击事件不仅是一个疑似PC端和Android端联合攻击的案例,同时也是针对特定目标人群实施的定向攻击的典型事件。

  而针对高价值用户进行的定向攻击往往是移动威胁对抗中的经典长尾问题。尾部安全事件由于其受众明确、攻击意图直接、涉及用户重度隐私的特点,往往给目标受害群体带来了不可比拟的损失。对此安全厂商更需要密切关注并持续提升长尾威胁的对抗能力,真正为用户侧的移动安全保驾护航。

附录

IOC (Android):19

关于安天移动安全

  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。

  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报大数据平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。

  安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与知名芯片厂商高通进行合作;为OPPO、VIVO、小米、魅族、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商提供技术和产品服务,为全球超过9亿终端用户保驾护航。

  更多信息详见公司官网:http://www.avlsec.com

  转载请注明来源:http://blog.avlsec.com/?p=4898

更多技术文章,请关注AVL Team官方微信号

AVL-team二维码

2017上半年移动安全报告 | 猎豹移动与安天移动安全联合发布

博客发布

关于安天移动安全

  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。

  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报大数据平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。

  安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与知名芯片厂商高通进行合作;为OPPO、VIVO、小米、魅族、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商提供技术和产品服务,为全球超过9亿终端用户保驾护航。

  更多信息详见公司官网:www.avlsec.com

  转载请注明来源:http://blog.avlsec.com/?p=4817

更多技术文章,请关注AVL Team官方微信号

AVL-team二维码

  

安天移动安全联合猎豹揭秘无形之贼Dosoft免杀病毒

  网络安全的核心本质是攻防对抗。当安全工作者使用手上的安全武器保卫网络安全时,恶意攻击者也在想方设法予以对抗、夹缝求生。“免杀病毒”便是正邪对抗的产物。免杀是一种避免被杀毒软件查杀的技术,利用这种技术,免杀病毒可以在杀毒软件面前肆无忌惮地实施恶意行为而不被发现。

  近期,安天移动安全团队和猎豹安全实验室捕获了一例企图绕过杀毒软件实现免杀的病毒——Dosoft,该病毒通过捆绑在正常应用中潜入用户手机,待应用运行后则启动服务立即执行恶意代码模块,通过修改杀软数据库的手段躲避查杀,并利用系统漏洞root手机而获取root权限,从而在后台私自静默推广并安装其他App,消耗用户流量资费,可谓是“无形之贼”。01

Dosoft病毒界面

02

静默安装其他App示例

一、恶意行为流程图

003

二、恶意行为详细分析

Step1.上传设备信息,获取恶意文件下载地址列表

  该应用捆绑恶意代码,运行后启动服务去执行恶意代码模块,并上传手机设备信息,获取恶意文件下载地址列表。上传的手机设备信息包含IMEI、IMSI、Android的版本、国家代码(ISO标准形式)等多项信息。04

  上传的目标URL: http://smzd.cntakeout.com:36800/configsc.action

  通过网络抓包获取加密通信数据:05

  对返回的数据进行解密,表面上看都是一些.png文件的下载地址列表。06

  但对这些下载地址通过字符串拼接形成完整链接后访问发现,实际上.png文件并非图片文件,而都是加密的ELF、zip和apk文件。

Step2.保存返回的数据,下载恶意子包

  Dosoft病毒将Step1获取的返回数据保存到pluginLib.xml文件中,目的是为了避免每次请求服务器获取配置信息而引起杀软注意并影响攻击效率。Dosoft病毒再次运行时将直接读取该文件中的数据,解密后立即下载恶意文件。07

  解析保存的数据,进行解密后,然后下载ajsbv_43.png和eql_29.png恶意子包。08

Step3.解密下载的恶意子包,动态加载

  上一步骤下载获得的子包的主要作用为完成其他恶意文件的解密、获取root权限、ELF文件的授权和注入以及执行杀毒软件的对抗策略。调用Lib/libNDKlib.so的load函数解密eql_29.png子包,并且动态加载。09

Step4.添加病毒信息至杀软数据库中,以防查杀

  检测是否安装某杀毒软件:10

  如果受害用户手机中安装了相关杀毒软件,则把恶意的apk文件信息写入杀软的sh**d.db和v_a*****rus.db数据库中,其手段类似于添加自己的数据到杀软白名单中,防止被杀毒软件查杀。1112

Step5.获取root权限,并注入恶意文件到系统内

  Dosoft病毒所使用的提权工具会根据手机的设备信息而下发特定的提权文件。在我们测试该病毒的场景下,发现Dosoft病毒使用了CVE-2015-3636漏洞提权。工具的来源地址: http://ad.keydosoft.com/scheme/rpluIn/rpluIn_28.png 13

  其实在主包的目录assets\rpluIn_25.png中也有一个漏洞利用的文件,利用MTK相机内核驱动缺陷导致的权限提升,可见病毒作者准备了多个root方案。14

  完成root权限的获取后,恶意代码利用文件注入手段,企图修改系统配置。而在注入恶意文件到系统前,Dosoft病毒先检测常用杀毒软件是否运行,如运行则强制关闭杀软。15

  上述操作完成后,Dosoft病毒进而将恶意文件qweus、.ts、注入至手机system/bin/目录以及install-recovery.sh文件中。1617

  其中qweus文件实际为su文件,只需调用qweus qweoy命令即可再次获取root权限。.ts文件与恶意子包行为一致,该文件被注入到了install-recovery.sh中,使得手机开机后可以自动启动恶意程序并运行。 18

  为防止系统注入文件被删除,恶意开发者还将恶意文件备份至/data/local/tmp目录,保证文件被删除后能够从该目录下及时恢复,或直接从该目录中执行这些文件。 19

  此外,Dosoft病毒利用已获取的root权限,将Nuxikypurm.apk(包名:com.android.uhw.btf)恶意子包注入到System/app/目录,防止被卸载。20

Step6.下载推广应用并静默安装

  在上述操作后,Dosoft病毒利用一系列手段实现了自我保护。接下来,Dosoft便可以“高枕无忧”地执行恶意推广以及静默安装推广应用的行径。

  再次请求URL:smzd.cntakeout.com:36800/feedbacksc.action,返回推广应用的下载地址。21

  解密后获得明文URL,将文件进行分析后,下载文件的URL以及文件类型如下:2223

  当其他的应用下载完成后,Dosoft利用已申请的root权限,在用户不知情的情况下,对后台下载的应用进行静默安装,以实现最终的恶意推广目的,获取非法利益。2425

总结

  至此,Dosoft病毒利用一系列手段保护自己,实现了其恶意下载推广应用的目的。为了逃避杀毒软件的检测,病毒开发者可谓是煞费苦心。其核心恶意逻辑都通过云端动态加载配置文件进而完成。而云端下发的恶意文件都经过多级加密处理,采用依赖性的解密方法方可解密(解密的过程先要通过A文件解密B文件,然后再通过B文件去解密其他的文件)。其提权环节为通过云端下发提权策略,并利用了CVE的漏洞来提升root成功率。此外,Dosoft病毒还将自有文件信息写入杀毒软件数据库,最终加大了杀毒软件的查杀难度。27

简易恶意行为逻辑图

安全建议

  针对Dosoft病毒,猎豹安全大师等集成安天AVL移动反病毒引擎的安全产品已经实现全面查杀。安天移动安全团队和猎豹安全实验室提醒您:   1、建议从正规应用市场下载应用,不要从不知名网站、论坛、应用市场等非正规渠道下载应用;   2、培养良好的安全意识,使用猎豹安全大师等集成了安天AVL引擎的安全产品定期进行病毒检测,以更好识别、抵御恶意应用;   3、当手机中莫名出现新安装应用等异常情况时,请及时使用安全产品扫描手机并对异常软件进行卸载处理。

关于安天移动安全

  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。

  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报大数据平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。

  安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与知名芯片厂商高通进行合作;为OPPO、VIVO、小米、魅族、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商提供技术和产品服务,为全球超过8亿终端用户保驾护航。

  更多信息详见公司官网:www.avlsec.com

  转载请注明来源:http://blog.avlsec.com/?p=4777

更多技术文章,请关注AVL Team官方微信号

AVL-team二维码

  

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”

  伪装成流行应用是手机病毒的常见手段,对于那些没有实际功能的病毒,细心的用户可能很快会发现自己安装了仿冒的应用,但是这次病毒使用了新的招数……

  近期猎豹安全实验室和安天移动安全团队捕获了一款通过伪装成流行应用进入用户手机的病毒——HideIcon病毒,该病毒为了让自己伪装得更逼真,运行后先隐藏自身图标,后续以应用更新的方式提示用户下载所伪装的正版应用。在用户安装正版应用、放松警惕的同时,实际病毒已经开始在后台悄悄运行。在成功获取用户信任之后,病毒会进行推送各种广告、下载其他恶意插件的行为,长期消耗用户的流量资费,对用户的个人隐私造成严重威胁。

一、感染情况分析

  根据猎豹安全实验室提供的数据统计分析, HideIcon病毒在全球感染的地域较为广泛,南亚、东南亚、欧洲、北美洲、南美洲均有分布。感染量Top10的国家依次是印度、印尼、俄罗斯、菲律宾、墨西哥、美国、伊朗、加拿大、马来西亚、泰国,其中南亚及东南亚国家有一半之多,且占据感染量第一、二位。可见南亚及东南亚地区是HideIcon病毒感染的重灾区。001

  此外,根据数据统计可知,在2017.5.1至5.24期间,HideIcon病毒的感染量整体呈现平稳增长趋势,从五月初的140万左右的感染量增长至五月底的150万左右的感染量,尤其是在五月下旬,出现了一次感染量增长的“小高峰”,应当引起一定的警惕。2

  根据猎豹安全实验室捕获的病毒样本统计,目前有包括Pokemon Go,WhatsApp在内的6款流行应用被该款病毒伪装,对应的图标和应用名称如下:003

二、恶意行为分析

2.1 恶意行为流程图

4

2.2 恶意行为详细分析

Step1:上传设备信息,隐藏图标

  HideIcon病毒启动后首先上传Android_ID、IMEI、MAC、已安装应用列表等移动设备隐私信息,其目标url为http://vinfo.mplugin.info/veco-service/v2。 05

  HideIcon病毒上传的加密隐私信息内容如下:06

  将上述加密信息解密后信息标签和内容如下,其中包含了安卓版本信息、MAC地址等等。07

  在上传设备隐私信息后,进行隐藏图标的操作:08

Step2:诱导用户安装所伪装的正版应用

  首先,HideIcon病毒会在后台开启服务: 09

  其次,将assets下的正版应用文件(下图展示的为9APPs url)复制到SD卡并且开启一个新线程,并以应用更新的名义不断提示并要求用户安装正版应用。10111213

  在用户安装正版应用并使用正常的时候,往往会放松警惕,而这时HideIcon病毒却一直在后台运行并陆续进行着各种恶意行为。

Step3:联网获取远程指令,实施远程控制

  HideIcon病毒监听到正版应用安装完成后,就开始正式实施恶意行为。其主要手段是通过联网从指定链接中获取远程指令,并根据返回值进行一系列的恶意行为(指定链接:http://vervice.mplugin.info/veco-service/v2)。返回值和对应的恶意行为如下所示:14

  获取指令并根据指令进行操作:15

  显示广告:16

  下载插件:1718

  之后不断请求安装插件:1920

  下载的插件和病毒程序本身的行为非常相似,都包含联网获取指令代码,后续执行广告和激活设备管理器等行为。插件伪装成Google Service,内置多种广告sdk:021 022

  激活设备管理器的代码如下所示,是否激活也是通过url返回值控制:024024

  url返回值中包含一些社交应用包名,打开这些社交软件时会弹出激活设备管理器:025

  设备管理器界面显示的信息也是从url返回值中获得的:026027

Step4:推送广告

  HideIcon病毒会不断查询获取当前的栈顶activity:028

  然后判断当前栈顶activity是否属于系统应用或远控指令返回的知名社交应用对象,如果不是则加载广告:029030031

  加载的广告将以悬浮窗或者全屏的形式置顶。032

三、溯源分析

  经分析,该病毒相关的一系列URL对应的ip地址为越南和新加坡。此外根据病毒应用签名及时间,可以猜测作者是越南人,位于河内,姓张。033

  同时,根据签名信息和代码结构,一些关联样本也被找到,其hash如下:034

  以上样本从2015年4月开始出现,初期的样本主要是伪装为系统应用并展示广告,但是随着时间的推移,该家族的样本也进行了一些技术升级,例如获取设备管理器、引导用户安装正版应用、远程下载插件,同时根据上传信息来投放广告等行为,进一步加大了杀毒软件以及用户对该病毒的判别难度,也足以看出HideIcon病毒有相对较长的传播周期。同时,其相关的ip主要是在越南和新加坡,结合前文的感染国家分布,可以推测该病毒的目标人群主要在东南亚地区。

四、安全建议

  针对HideIcon病毒,猎豹安全大师和集成安天AVL移动反病毒引擎的安全产品已经实现全面查杀。猎豹安全实验室和安天移动安全团队提醒您:

  1、建议从正规应用市场下载应用,不要从不知名网站、论坛、应用市场等非正规渠道下载应用;   2、培养良好的安全意识,使用猎豹安全大师或集成了安天AVL引擎的安全产品进行病毒检测,以更好识别、抵御恶意应用;   3、当手机中莫名出现弹窗广告等异常情况时,请及时使用安全产品扫描手机并对异常软件进行卸载处理。

附录

035

关于安天移动安全

  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。   

  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside移动反病毒引擎曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。   

  安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与高通、OPPO、VIVO、小米、魅族、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商建立合作,为全球超过8亿终端用户保驾护航。   

  更多信息详见公司官网:www.avlsec.com

  转载请注明来源:http://blog.avlsec.com/?p=4728

更多技术文章,请关注AVL Team官方微信号

AVL-team二维码

  

下个软件就能免费充Q币?知道真相的我眼泪掉下来…

  王者荣耀作为时下热门手游火遍了大江南北,朋友见面来一局,不可避免的要“开黑”、“上钻石”,而“开黑”前再搭配一款“狂拽酷炫”的英雄皮肤,一身精致look(装扮)外加属性加成在手,打怪升级自然嗖嗖的!

  然而游戏中英雄皮肤的价格并不便宜,对于许多学生玩家来说更是一笔不小的花销。当你为皮肤的价格烦恼时,收到消息说可以免费刷Q币,你会不会动心呢?1-1

消息截图

手把手“刷币”教程,“500Q币”如探囊取物

  上图中,朋友的消息里附带了免费刷Q币的直播地址,页面中包含一段视频和两个应用下载链接。2-2

“刷币”教程页面

  视频详细介绍了如何下载“腾讯内部充值”应用并通过推广链接赚取积分来刷Q币, 整个流程非常简单,如下所示:3

“刷币”流程

  视频中演示者在按照上述流程进行操作后,短短几分钟内通过这个应用刷了500个Q币,按这个速度购买王者荣耀全皮肤指日可待! 4_副本

“刷币”视频教程演示截图

你以为Q币这就到手了?骗局才刚刚开始…

  用户如果按照视频教程操作,下载应用并在各大社交群推广“免费充Q币”的消息,会发现怎么也无法如视频所演示的那样成功充值Q币。难道视频里的“童话故事”都是骗人的?当用户正因此而苦恼时,可能会注意到应用界面左下角出现了一个陌生按钮–“购买VIP版”,此时恶意开发者开始露出了獠牙…… 5-5

含有“购买VIP版”按钮的“腾讯内部充值“应用界面

  点击“购买VIP版”按钮后,出现的界面中包含一个VIP购买教程视频和两个支付选项,视频中向用户详细介绍了购买VIP的原因以及购买VIP的方式,当点击两个支付选项点击后,页面跳转到对应的转账界面。

  然而我们对该应用的代码进行分析发现,该应用完全没有充值Q币的功能。即使用户扫码转账购买了VIP版,也无法充值Q币,该应用属于一个诈骗病毒!

  至此,恶意开发者经过一系列铺排:前期通过所谓的“刷币”视频吸引用户下载应用,后续进一步引导用户付费购买VIP版,最终达到了诈骗钱财的目的。6_副本

VIP购买界面及转账界面

低龄学生群体成为此类病毒的主要目标

  值得一提的是,在VIP购买教程中演示者详细介绍了如何进行扫码支付,并提示用户可以通过亲友的手机扫码代付,可以看出该病毒的攻击目标主要是缺乏一定辨别力和支付能力的中小学生。

  通过该应用相关特征我们找到同类的其他应用,其中部分应用名称及图标如下。我们发现此类诈骗病毒往往伪装成热门游戏工具,借用免费刷Q币、游戏插件的“噱头”欺骗用户进行相关支付,并且通过诱导用户在社交群中推广传播诈骗信息从而进一步扩大诈骗范围。而低龄学生群体由于其年纪尚小、缺乏自制力和辨别力,成为此类病毒的主要攻击目标。7

部分同类诈骗应用

总结

  该病毒以积分的名义诱导用户在社交群中传播恶意链接,手段极其狡猾。此外,整个下载、支付过程都有视频教程“手把手”指导,即使对于不熟悉手机支付操作的低龄学生群体也能完成购买操作,“服务”可谓十分周到。

  通过免费充Q币诱导用户下载、付费的诈骗手段早在PC时代就司空见惯,许多用户对这类诈骗手段产生了“抗体”,但是对于部分低龄学生群体来说,出于对热门游戏和道具的热衷,此类诈骗病毒依然具有较强的“杀伤力”。

安全建议

  针对以上诈骗病毒,集成AVL移动反病毒引擎的MIUI安全中心已经实现全面查杀。安天AVL移动安全团队和MIUI安全中心提醒您:

1、尽量从正规应用市场下载应用,不要在不知名网站、论坛、应用市场下载应用;
2、培养良好的安全意识,定期对手机进行安全扫描;
3、低龄学生家长需要加强孩子的安全教育和防骗意识,防止孩子陷入诈骗陷阱;
4、建议家长在手机支付应用中设置应用锁,防止小孩在借用手机的过程中贸然进行支付操作,造成财产损失。

附录

MD5:
2FA9B50CC95AD9C5FFE52DF59B8027E8
6FA4271417C8295B7344FCC185D14193
B4AB4B1C1672653F0204C01C5A7A19C5
CE5DA0B833E44E35E1B8860A3C789D79
03D88DA48E6A5A0A5E245EAD0E890091
BC4450B89B3DC2785BEB15F4E50E920E
3DA6A48270CF514A7621BB7A08EF3D84

关于安天移动安全

  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。   

  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside移动反病毒引擎曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。   

  安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与高通、OPPO、VIVO、小米、魅族、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商建立合作,为全球超过8亿终端用户保驾护航。   

  更多信息详见公司官网:www.avlsec.com

  转载请注明来源:http://blog.avlsec.com/?p=4685

更多技术文章,请关注AVL Team官方微信号

AVL-team二维码

  

安天移动安全关于“Dvmap”安卓恶意软件分析报告

一、分析背景

  2017年6月8日下午,国际知名反病毒厂商卡巴斯基(Kaspersky)发布名为《Dvmap: the first Android malware with code injection》(《Dvmap:第一种具备代码注入能力的安卓恶意软件》)的分析报告。由于该报告所涉及恶意样本为第一种对Android系统平台运行库进行恶意代码注入的恶意软件,且在报告中提及该恶意软件所包含的“.root_sh”脚本文件中存在中文注释,这引起安天移动安全分析团队高度重视,当即组织专业人员对该报告中所涉及恶意软件样本进行紧急分析。

二、分析内容

  基于国际领先的恶意样本静态分析与动态养殖技术能力,以及强大的移动安全大数据能力,安天移动安全团队对卡巴斯基原报告的解读以及此次恶意软件时间的分析分成移动恶意样本分析与移动威胁情报分析两个方向同时进行。

2.1 移动恶意样本分析

2.1.1 恶意样本植入基本信息分析

1

2.1.2 恶意样本分析

  恶意样本文件com.colourblock.flood.apk伪装为一个小游戏,运行界面如下图:2

  该apk本身并不显性表现恶意代码与行为,但会根据植入终端系统版本、cpu类型等信息解密其内嵌的恶意文件“Game*.res”。其代码如下: 3

  这批内嵌恶意文件作用如下:4

  代码解密后会在/data/data/com.colourblock.flood/TestCache/路径释放恶意程序 ,其代码如下:少的那张_副本

  最终释放的文件如下图(32位与64位文件结构基本一致):5-15-2

  解密后分析恶意文件信息汇总如下:6

  中间文件汇总信息如下表: 7

  com.qualcmm.timeservices.apk为最终被植入的远控恶意载荷apk,从命名上分析,该恶意载荷试图伪装为高通的时间服务程序,其主要作用为与远控服务器通信并执行远控任务。

  通信服务器url通过拼接而成,访问url如下: http://d3pritf0m3bku5.cloudfront.net/android/event.php?id=%s&xc=%s&rtsid=%s&v=2&type=2&tm=%d TimeServices与服务器通信会执行远控任务、下载文件并执行,但服务器已失活无法获取到下载的文件。8

  与服务器通信后在/data/data/com.qualcmm.timeservices/shared_prefs/TaskList.xml生成任务列表。

2.1.2.1 提权文件部分分析

  “.root.sh”脚本用于执行提权,并最终植入远控恶意子包载荷,其中文部分主要位于脚本开头的注释,并不直接提供恶意软件功能。9

  脚本最后完成安装后,进一步执行恶意远控子包com.qualcmm.timeservices ,代码如下图: 10

  另外,还应注意到在恶意样本的多个bin文件里均出现“kinguser.apk”信息,可以推测该恶意样本使用了中国开发者所开发的kingroot工具的exp程序用于提权。信息示例如下图所示:11

2.1.2.2 恶意载荷部分分析

  入口程序start,获取设备信息,会根据不同系统版本选择植入恶意代码到系统/system/lib/libandroid_runtime.so的nativeForkAndSpecialize方法(Android>=5.0),或/system/lib/libdvm.so的_Z30dvmHeapSourceStartupBeforeForkv方法(Android>=4.4),均为与Dalvik和ART运行时环境相关的运行库。1213

  同时会用myip替换原始的/system/bin/ip,并替换/system/build.pro文件。 14

  要注意到,myip程序无原始ip文件功能,其作用主要用于修改恶意程序的策略等信息,设置com.qualcmm.timeservices.apk应用为设备管理器。1516

  另外,还发现该恶意代码开发者有一定的反侦察自我保护能力,对恶意样本实施了部分保护措施,如隐匿apk生成时间, 在生成apk时修改系统本地时间,导致解包apk文件获取到的生成时间为1979年。17

但通过解压toy这个gzip包,仍然可以获取到postroot.sh的真实制作时间为2017/4/18,进而为后续的移动威胁情报分析提供必要的真实数据依据。18

2.2 移动威胁情报分析

  根据卡巴斯基原报告所述,该恶意软件伪装成名为“colourblock”的解密游戏于Google Play进行发布下载。19

恶意软件Google Play发布页面

  由于该恶意软件colourblock自3月下旬起,采用了在同一天内交替上传该软件的恶意版本与无害版本、借以绕过Google Play对其进行安全性检查的方式,导致其一直利用Google Play市场进行分发。借由此种方法多次上传其恶意版本及对其恶意载荷的加密处理,自3月下旬起至被卡巴斯基公司举报下架为止,该恶意软件已被累积下载超过50000次。

2.2.1 恶意样本数量种类分析

  安天移动安全团队利用其自有的AVL Insight 2.0移动威胁情报平台,通过移动安全大数据对该恶意软件进行软件包名、开发者证书及样本hash值等多维度查询分析,发现该恶意软件样本版本与种类远大于卡巴斯基原报告中所提供的2种,而多达49种之多,即说明该恶意软件交替上传恶意与无害版本至Google Play的行为时间跨度更大、频率更高。20

部分恶意软件样本hash值

2.2.2 恶意样本植入终端数据分析

  根据AVL Insight 2.0终端安全检测数据分析,该恶意软件自其开发者证书生效当日即开始传播,并在较集中时间内完成早期第一次植入活动。21

部分恶意样本早期植入终端数据

  如上图所示,可以看出在AVL Insight移动威胁情报数据来源范围内,该恶意样本的早期第一次植入终端所在地域主要分布于印度尼西亚与印度。

  而从该恶意软件初次上传到Google Play起截至今日,AVL Insight移动威胁情报平台所捕获被成功植入恶意样本的965台终端中,分布于印度尼西亚与印度的数量分别为220台与128台,占比分别为22.79%与13.26%,排第三的为加拿大,其被植入恶意样本的终端数量仅为48台,印度尼西亚区域内被植入恶意样本的终端数量在统计范围中占明显优势。

2.2.3 恶意样本载荷植入终端数据分析

  根据对4种恶意样本的抽样静态与动态分析(分析报告见上节),发现该恶意样本的加密部分内含伪装成高通应用的远程控制程序com.qualcmm.timeservices,对该远程控制程序植入终端数据分析结果如下:22

载荷植入终端早期数据

  如上图所示,恶意样本载荷的样本数据初次采集时间为4月19日,植入终端所在位置为德国,但经深度分析后发现该样本运行环境为Remix OS For PC安卓模拟器,且其实际连入互联网方式为使用安全公司Avira的德国VPN服务器,因此具备较大的病毒测试设备嫌疑。由此可见,载荷植入终端早期数据中的第一台终端所在位置,有较大几率处于印度尼西亚。

  同样对该载荷初次被捕获起截至今日的植入终端数据进行整体分析,AVL Insight移动威胁情报平台所捕获被成功植入恶意样本载荷的221台移动终端中,分布于印度尼西亚的数量为50台,印度的数量为20台排名第二,分别占22.62%与9.04%,印度尼西亚区域内被植入恶意载荷的比例显著最高。

2.2.4 威胁情报TTP分析

  根据对恶意样本colourblock的Google Play市场缓存及全球其他分发来源的页面留存信息,得到Retgumhoap Kanumep为该恶意样本声明的作者姓名,但通过全网搜索与大数据碰撞比对,并不存在以该姓名发布的其他软件与该姓名相关的任何网络信息。

  通过对该姓名Retgumhoap Kanumep的解读分析,发现将其姓“Kanumep”各字母从右至左逆序排列则为Pemunak,即印度尼西亚语“软件”之意:23

Google翻译截图

  而对其名字“Retgumhoap”进行分词为“Retg-umhoap”,由于“retg-”前缀为“return(返回)”之意,故尝试将“umhoap”字母排列逆时针转动180度,得到如下结果:24

  对单词“deoywn”进行全网搜索可知,曾有机器人程序使用邮箱 bkueunclpa@deoywn.com在大量互联网站留言板页面自动发布留言:25

使用可疑邮箱填写的留言板搜索结果

  对该邮箱ID “bkueunclpa”进行语言识别,得知其为印度尼西亚方言:26

Google翻译截图

  根据上节所述,恶意样本载荷向位于亚马逊云的页面接口回传数据,该页面接口(已被关闭)如下: http://d3pritf0m3bku5.cloudfront.net/android/event.php?tc=%s&rc=%s&xc=%s&rtsid=%s&v=2&type=1&tm=%d 根据域名“d3pritf0m3bku5”分析,即“de pritfomebkus”,尝试用Google翻译识别其语种,仍为印度尼西亚方言:27

Google翻译截图

三、分析结论

  根据上节分析内容,可以初步认为在卡巴斯基原分析报告中专门提及的中文代码注释问题,应只是该恶意软件编写者直接使用了中国开发者编写的Kingroot脚本,而非直接与中国恶意软件开发者产生明显联系。

  而通过恶意样本及开发者信息的语言特征判断,该恶意软件有较大几率与印度尼西亚开发者存在直接关系;另外,由于该恶意软件并没有在任何社交网站进行推广的网络记录,仅通过应用市场分发,因此其早期推广与分发行为,较大几率由恶意软件开发者就近在自身网络社交范围内通过其他手段进行,结合该恶意软件在早期植入的移动终端地域分布情况和整体总量植入移动终端地域分布情况,可以认为印度尼西亚有较大可能是该恶意软件的开发者所在地和主要受害者集中地域。

  需要明确指出的是,由于远控服务器已被关停,恶意样本载荷不存在明显网络行为,开发者自我保护意识极强,以上现状都成为对恶意软件开发者溯源问题上的障碍,需要随着新的情报数据与样本信息的不断完善才能得到较为准确的结论。

  但无论如何,这种在安卓平台上第一次出现的针对系统运行库进行恶意代码注入的恶意样本攻击方式,都值得高度重视。相信在可见的将来,会有更多利用类似系统漏洞进行木马植入的移动恶意样本出现,需要高度警惕和预防。

关于安天移动安全

  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。   

  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside移动反病毒引擎曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。   

  安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与高通、OPPO、VIVO、小米、魅族、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商建立合作,为全球超过8亿终端用户保驾护航。   

  更多信息详见公司官网:www.avlsec.com

  转载请注明来源:http://blog.avlsec.com/?p=4643

更多技术文章,请关注AVL Team官方微信号

AVL-team二维码

安天移动安全2017年Q1移动终端钓鱼网站分析报告

一、前言

  随着移动互联网的快速发展,智能手机、平板电脑等移动终端用户数量呈爆发式增长,移动智能终端安全问题愈发凸显。大量手机病毒、伪基站横行,不法分子利用钓鱼短信、虚假网站进行电信欺诈的恶意活动也愈演愈烈,严重影响了广大用户的日常生活。

  本报告数据来源于安天移动安全旗下的URL安全检测系统,该系统通过识别钓鱼、色情、博彩以及恶意应用下载等非法网址,为用户提供URL安全防护功能和服务。本报告重点分析了2017年第一季度(Q1)移动终端钓鱼网站整体情况,帮助用户全面了解移动钓鱼网站特性,提高用户安全防范意识,进一步保障用户隐私、资金安全。

二、2017年Q1移动终端恶意URL整体分布

  据安天URL安全检测系统检测数据显示,2017年Q1移动终端传播的恶意URL中,色情博彩等不良信息类URL由于其能够快速获利并抓住了人们的好奇心理等特点,成为主要恶意URL威胁,占比高达62.80%;其次是钓鱼类URL和恶意下载类URL,分别占比35.26%和1.94%。 图1

图1 2017年Q1恶意URL类型分布

  各类恶意URL释义: b1

  在以上三类恶意URL中,尽管钓鱼类URL在整体恶意URL中的占比居于第二位,但其恶意性最强,往往伪装成知名网站,对用户的重要个人信息进行窃取,以达到进一步的攻击目的,用户一旦受骗,将有可能遭受较大的资金损失。

  本报告将重点分析2017年Q1钓鱼类URL(钓鱼网站)在移动终端上的情况,帮助用户更好抵御此类攻击,保障数据和资金安全。

三、2017年Q1移动终端钓鱼网站分析

3.1钓鱼网站占比分析

  2017年Q1, 安天URL安全检测系统检测到移动终端钓鱼网站攻击事件数占所有恶意URL事件数的3.27%。其中每月的钓鱼网站占比变化情况如下图所示: 图2_副本--

图2 2017年Q1钓鱼网站攻击事件数占比变化趋势

  从上图可以看出,2月份的钓鱼网站攻击事件数占比相比1月份有一定跌幅;但在3月份有了较大的反弹,钓鱼网站占比猛增至7.14%,是Q1整体占比的2倍多。可见春节期间,钓鱼网站活跃度有所下降,但在年后又进入了活跃期。

3.2钓鱼网站仿冒对象分析

  钓鱼网站主要通过仿冒各类知名网站以骗取用户信任,继而实施界面钓鱼、账号欺诈等恶意行为以达到窃取隐私、骗取钱财等目的。      

  2017年Q1钓鱼网站仿冒对象中,涉及用户重要财产账户信息的银行业务网站成为最常见的钓鱼仿冒对象,其占比高达73.54%。其次是仿冒运营商的欺诈网站,占比10.48%;账号类、电商类、获奖类等类型的仿冒分居第3、4、5位,具体情况见下图: 图3.1

图3 2017年Q1钓鱼网站仿冒对象类型分布

3.3 钓鱼网站攻击地域分析

  2017年Q1钓鱼网站攻击的地区中,广东省出现的攻击事件数占比达14.29%,超过第二位的河北省(7.62%)接近一倍,为第一季度国内钓鱼网站攻击情况最严重的省份。四川、陕西、山东分列第3~5位,具体分布见下图: 图4

图4 2017年Q1钓鱼网站攻击地域TOP10

3.4 钓鱼网站攻击时段分析

  通过统计钓鱼网站攻击时段我们发现,恶意攻击从早8点开始活跃,持续到下午5点。8:00~17:00这个时间段是钓鱼网站攻击的“黄金时间”,后续活跃度逐渐下降。可见钓鱼网站的活跃时间基本与正常人的工作、学习时间保持一致,十分规律,初步推测这是为了尽可能提高其恶意攻击的成功率,需要用户提高警惕、注意防范。 图5

图5 2017年Q1钓鱼网站攻击活动时间分布

四、2017年Q1移动终端钓鱼网站顶级域名分析

  2017年Q1钓鱼网站域名中涉及的顶级域名共48个,其中顶级域名为.cc的占比48.22%,其次是.com占比36.97%,该两类域名是钓鱼网站中出现频度最高的两类域名。

  相对于.com等顶级域名,.cc类顶级域名注册成本较低,同时.cc域名与.com域名视觉上相似度较高,例如:www.icbc.com/wap和www.icbc.cc/wap,较易引起混淆,是黑产较偏爱的域名。同时统计.cc类域名下的钓鱼网站属性我们发现,94.8%的.cc类钓鱼网站都伪装成了银行类网站。

  .cn类顶级域名由于域名实名制工作的严格执行和不断完善,其数量保持在相对较低的比例。

  .top、.win、.xyz等非大众化域名下的钓鱼网站数量占比同样较小,推测是由于该类域名较为少见,易引起用户警惕。具体分布情况见下图: 图6_副本

图6 2017年Q1钓鱼网站顶级域名分布

五、2017年Q1移动终端热门钓鱼网站分析

  2017年Q1安天URL安全检测系统检测到的钓鱼网站TOP10如下所示: biao2_副本

  从上表可以看出,钓鱼网站TOP10中较多仿冒成了电子商务类的钓鱼网站,同时还有仿冒成运营商类和银行类的钓鱼网站。除了这三种仿冒类别之外,2017年Q1安天移动安全还捕获了其他典型的钓鱼网站,现将这些钓鱼网站的相关截图和典型欺诈形式展示出来,希望增强移动终端用户对钓鱼网站的识别能力。

5.1 仿冒电商类钓鱼网站

  该类钓鱼网站主要通过仿冒知名品牌商品抢购活动, 以极低的价格吸引用户购买,而当用户输入姓名、电话号码、家庭住址等个人信息,通过在线支付或货到付款的方式完成交易后,最后收到的却是仿冒商品或更为廉价的商品模型,该类钓鱼网站访问界面示例如下: 图8_副本

5.2 仿冒银行类钓鱼网站

  该类钓鱼网站通过伪基站发送欺诈短信,假托积分兑换、身份核实、手机网银失效等理由,诱导用户进入钓鱼网站并在其页面中输入银行卡号、密码、电话号码、身份证号等隐私信息;接着,黑产则通过社工手段进行欺诈或植入短信拦截木马以进一步获取短信验证码等信息,从而实现盗取用户资金的目的。该类钓鱼网站访问界面示例如下: 图9_副

5.3 仿冒iCloud账号钓鱼网站

  用户接收到仿冒“苹果官方”的邮件或短信,被引诱进入模仿iCloud账号登录的钓鱼网站界面,并输入iCloud账号及密码。当用户的账号被盗取后,若其被盗取账户密码与邮箱密码一致,黑产便能很轻易将受害者的设备锁上,被锁后通常需联系苹果客服出示购买证明才可能将设备解锁还原,否则就只能向黑产缴纳赎金,换取设备的解锁口令。该类钓鱼网站访问界面示例如下: 图10_副本

5.4 仿冒节目类钓鱼网站

  该类钓鱼网站通过仿冒知名卫视热门节目的抽奖活动,以丰厚的奖金、奖品诱惑用户填写姓名、电话、住址、银行账号等个人信息,随后诈骗分子通过电话向用户索要“领奖保证金”;如被怀疑或拒绝,诈骗分子则会以 “你已签署协议,放弃领奖将被起诉”为由恐吓、敲诈用户。该类钓鱼网站具体界面示例如下: 图11_副本

六、防范建议

  针对移动终端传播的钓鱼网站,安天移动安全合作方产品已经实现全面查杀。安天移动安全团队提醒您:   

  1.钓鱼网站和真实网站有极大的相似处,易导致视觉混淆,例如钓鱼网站通常将英文字母“I”替换为数字“1”,将顶级域名“.com”变为“.cc”,因此建议不要点击可疑短信中附带的网址链接。

  2.增强主动防范意识,不要轻信“积分兑换、领取高额奖品、商品限时抢购、网银信息核实或修改”等信息,如需查证,请尽量采用多种渠道进行确认,比如使用手机拨打官方电话进行确认。

  3.请使用手机系统管家(安全中心)或第三方安全软件的相关安全功能,防范钓鱼网站、手机病毒等恶意攻击,全面保障资金和隐私安全。

关于安天移动安全

  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。   

  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside移动反病毒引擎曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。   

  安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与高通、OPPO、VIVO、小米、魅族、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商建立合作,为全球超过8亿终端用户保驾护航。   

  更多信息详见公司官网:www.avlsec.com

  转载请注明来源:http://blog.avlsec.com/?p=4588

更多技术文章,请关注AVL Team官方微信号

AVL-team二维码

震惊!你可能下了个假的抢红包神器

  手机红包自2014年出现便深受网民追捧,如今更是成为各大节日的“标配”。随着人们抢红包热情的高涨,各种抢红包软件应运而生,这类软件巧妙地帮助用户解决了漏抢红包的问题,具有手速无法比拟的抢包速度,抢包技能简直开挂,堪称抢红包神器,深受用户喜爱。

  然而病毒开发者也瞄准了人们对抢红包软件的迫切需求,借此机会开发了大量仿冒应用鱼目混珠。通过调查发现,大量受害者都是从不知名渠道下载应用而中招。部分仿冒应用自身没有实际功能,实则持续不断向用户推送广告,影响用户的手机使用体验并消耗流量;另外一部分则更为过分,甚至借此实施恶意行为,对用户进行锁屏勒索、私自下载未知应用等一系列高危恶意行为,对用户的个人隐私、财产安全造成严重威胁,广大受害网友直呼防不胜防!

一、抢红包病毒持续感染终端用户

  安天移动安全团队和小米MIUI监控数据显示,仿冒抢红包病毒出现的数量和终端感染量在今年1月份出现巨大的增长。

1.病毒开发者偏爱年轻人的节日

  我们统计了从2016年8月份到2017年2月份仿冒抢红包病毒的数量,发现每逢“年轻人喜爱的节日”,如8月份的七夕节、12月份的圣诞节,当月新增病毒样本的数量相对更多。在临近春节的1月份,新增病毒数量冲顶,而后情人节病毒传播情况也毫不示弱,详细情况如下图所示。 1_副本_副本

图1 2016.8至2017.2每月新增病毒数量变化趋势

2.单月病毒感染事件数最高达36,670次

  新增病毒数量越多往往意味着感染病毒的用户终端数也更多。从2016年8月到2017年2月数据(如下图所示)可以看出,每月病毒感染事件数整体变化趋势与新增病毒数量一致。感染事件数在临近春节的1月份有巨大的涨幅,增长率高达198%,最高月感染事件数达36,670次。 02_副本_副本_副本(2)

图2 2016.8至2017.2每月病毒感染事件数变化趋势

3.病毒感染的重灾区竟是广东!

  《2017微信春节数据报告》显示,广东地区在春节期间一共收发58.4亿个红包,成为全国收发红包数最多的区域。对此,大量仿冒病毒也趁虚而入:据病毒感染事件地区数据显示,广东是仿冒抢红包病毒感染最严重的地区,总感染次数达24,421次。 3 (1)

图3 2016.8~2017. 2病毒感染地区Top 10

二、诡计多端的抢红包病毒

  该类病毒的恶意行为十分多样,我们根据病毒样本数量整理出病毒恶意行为占比,如下图所示。各类别病毒行为中锁屏勒索类占比最大,高达79.42%,是最为常见的病毒行为类型;其次是隐私窃取类,占比16.29%;窃取社交账号类占比相对较小,为2.88%。接下来,我们将对各类型恶意行为进行详细解读。 05

图4 仿冒抢红包病毒恶意行为类型分布

1.锁屏勒索

  该类病毒存在通过强制锁屏对用户实施勒索的行为,一旦启动则立即置顶勒索界面,禁用手机物理按键,造成用户无法正常使用手机。同时病毒在置顶界面上提示用户支付赎金以解锁手机,如下图所示。 6

图5 锁屏勒索界面示例

2.隐私窃取

  该类病毒会窃取用户的隐私信息,窃取隐私信息如下表: b1

  从表中可以看出该类病毒窃取了大量的隐私信息,其中对短信内容的窃取可能导致用户与支付、银行相关的隐私泄露,继而给用户的财产安全造成巨大的威胁。除此之外,本机号码、通讯录、短信等信息泄露后可能会被贩卖到地下信息交易市场,给用户及其联系人带来后续骚扰诈骗的风险。

3.窃取社交账号

  该类病毒伪装成QQ相关的工具,无实际功能,运行时诱导用户输入账号密码并对其进行窃取,造成用户的隐私信息泄露,下图为病毒运行界面示例。 7

图6 窃取社交账号界面示例

4.广告推送

  该类病毒运行时会弹出插屏广告和通知栏广告(如下图所示),极大地影响用户体验。当用户不慎点击广告,则会访问相关的网页或直接下载相关应用,造成用户流量消耗。 08(1)

图7 广告推送界面示例

5.私自下载

  该类病毒运行时联网获取应用下载链接,私自下载应用到指定目录下(如下图所示),给用户造成严重的流量损耗。同时由于下载的大多为不知名应用,应用安全性无法保证,用户的手机将存在极大的安全隐患。 9(1)

图8 私自下载界面示例

三、安全建议

  针对仿冒抢红包病毒,集成AVL移动反病毒引擎的MIUI安全中心已经实现全面查杀。安天AVL移动安全团队和MIUI安全中心提醒您:

  • 1.建议从正规应用市场下载应用,不要从不知名网站、论坛、应用市场下载应用;
  • 2.培养良好的安全意识,定期对手机进行安全扫描;
  • 3.当手机中莫名出现弹窗广告或是私自下载应用的异常情况时,请及时使用杀毒软件扫描手机并对异常软件进行卸载处理。

关于安天移动安全

  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。   

  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside移动反病毒引擎曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。   

  安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与OPPO、VIVO、小米MIUI、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商建立合作,为全球超过6亿终端用户保驾护航。   

  更多信息详见公司官网:www.avlsec.com

  转载请注明来源:http://blog.avlsec.com/?p=4544

更多技术文章,请关注AVL Team官方微信号

AVL-team二维码

2016年安天移动安全年报:威胁的全面迁徙

1 序言

  安天从2005年开始,每年年初公布年报,对上一年度网络威胁状况进行总结,对威胁演进趋势做出预测。早期安天威胁年报以后台病毒样本捕获分析系统的数据统计为主要支撑。而后我们放弃了罗列数据的风格,走向观点型年报,并分成“基础威胁年报”和“移动安全年报”发布。安天移动安全团队在本次年度移动安全报告中继续以观点的方式来组织内容,用威胁的概念表达归纳安全事态的现象和趋势,并新增“反思”和“应对”两个版块,探寻观点和现象背后的原因,提出应对建议。我们希望通过这份年度报告,向移动安全行业从业者、移动互联网相关企业以及大众用户分享和传达我们的所见、所为及所思。同时这也是安天“移动安全年报”第一次先于“基础威胁年报”公开,本年度的安天“基础威胁年报”承载了更多相对系统而沉重的思考,历经了多个版本的修改,将稍后发布。

  2016年,安天移动安全团队面对严峻的移动安全对抗形势,坚持以对抗新兴恶意威胁为己任,砥砺前行。安天移动安全团队研发的移动反病毒引擎(AVL SDK for mobile)防护的手机终端,从年初的两亿部已经发展到年底超过六亿部,安天移动安全团队为手机厂商提供了AVL Inside解决方案,包括了恶意代码检测防护、Wi-Fi安全、URL安全性检测、支付安全、漏洞跟踪修补等体系化的安全模块。安天移动安全团队坚持“安全技术必须服务客户安全价值”的原则,拒绝互联网变现方式。加强和推动更广阔的产业链协作,以移动终端安全为起点,将防护边界延展包括到移动应用商店、APP安全鉴定等在内的整个产业链全程体系中去。安天移动安全团队以国内首个移动威胁情报平台“AVL Insight”为不同行业提供威胁告知、趋势预测、针对性木马深度分析等安全服务,AVL Insight移动威胁情报平台旨在提高银行、政府等大型机构对威胁事件的感知、预警、分析、取证、响应和处置能力,以达到降低IT安全成本,提高资产和信息安全保障的最终目的。

  在这些安全实践中,我们不断调整自身的视角,加深对威胁的认知和理解。过去十年间,以智能手机为端点,以3G/4G等网络为信道,移动互联网迅猛发展,移动商务、移动社交、移动支付等移动应用快速占据生活的方方方面,把人和设备、人和人、设备和设备的距离越拉越近。在这个激动人心的过程中,中国扮演了用户基数增长、新业务实践和新模式探索的火车头角色。移动产业的发展带来巨大变革带来巨大变革的同时,移动安全和威胁对抗,也逐渐进入新的阶段。针对移动网络,更为精准的电信诈骗带来更严重的社会威胁;短信拦截马、短信蠕虫等成为一种常态化的威胁,手机勒索软件也不再是个案,而成为一种业务模式。这些威胁造成一个个日常资产受损案例,为大众所深恶痛绝,也为公共安全敲响警钟。从过去几年的数据对比来看,PC和传统恶意代码的整体规模逐渐下降,威胁事件的数量也在逐年减少,传统威胁和恶意代码逐渐走向了新的模式(例如“勒索模式”)和更高对抗的场景(例如“APT场景”),在这背后则是整个移动威胁的全面迁徙和规模化增长以及爆发。可以说2016年,移动威胁已经成为个人、企业和整个社会都绕不过的一个存在。

  在2015年年报中我们意识到了移动威胁多元化的迹象,因此使用移动威胁全面泛化作为全年的核心观点,这一观点同样延续到2016年,而且不仅仅是泛化而是全面的迁徙和大密度的出现。这也是我们2016年的主题“威胁的全面迁徙”的由来,在背后我们看到的是整个威胁战场和重心的持续发酵和转化的惯性已然成形。与此同时,2016年的移动威胁呈现出了一些新特点:伴随移动的快速发展,企业和组织逐渐引入移动办公和移动政务,终端数据的商业价值日益凸显,移动威胁正在从个人向企业组织迁移;针对移动终端的APT攻击也将随之高发;伴随移动云服务等新兴技术模式的兴起,业务欺诈类的安全问题也开始成为移动安全的关注点;从技术演进上看,Root型恶意代码、勒索软件、色情应用等也在进行快速的技术演进,给技术对抗带来了新的挑战;Android系统需扮演攻防的主要战场,同时iOS、嵌入式Linux以及各种IoT设备也出现新的威胁趋势和特点,增加了移动威胁全局对抗的深度和战线的广度。

  从全球看,移动安全基础设施(终端、系统、网络、网络协议)的设定具有一定的全球普适性,因此面临的威胁在技术形态上具有相通性,全球在移动支付安全、移动应用市场审查、移动企业办公等场景的威胁对抗和防御中,可以考虑以威胁情报为体系进行协同防御。同时也可以看到,中国与其他国家相比,由于移动互联网的后发优势,业务体量更大,环境更复杂,面临的移动威胁形态也更复杂,这一方面使得中国面临着巨量的威胁压力,另一方面也使其积累了大量的具有世界领先水平的对抗经验。

2 观点和现象

2.1 移动威胁规模保持稳定增长

  2016年移动威胁依然严峻,严重困扰着每个移动用户的资产和数据安全。移动恶意代码作为重要的移动威胁手段,经过近几年的迅猛发展在技术手段上已趋近成熟,并保持着稳定的增长。2016年,恶意代码样本总量在2015年总数的基础上翻了一番,新增恶意代码变种大幅增加,同比增长近40%。与2015年相比,移动威胁在新型恶意代码的演变上保持平稳的线性增长,既有的恶意代码仍在持续的进化与对抗。下图以半年为时间周期统计了近两年移动恶意代码数量,从中我们可以看到每半年新增恶意样本在新增总样本中的占比仍呈现逐步上升趋势,可见攻击者仍在继续加大对恶意代码的投入,移动威胁并未受到外界环境的影响,保持着持续稳定增长。 图1_副本

图1 2015年-2016年移动恶意代码增长趋势

  通过2016年恶意代码家族Top10排行(如下图所示),我们可以看到以色情应用、流氓推送为代表的恶意家族所占比重较大,这表明恶意代码开始转向与其他传统的灰色产业链结合的形式谋取利益和生存,由于这类应用大多具有擦边球行为,也给移动威胁的治理带来了很大的附加成本和判定难度。 图2_副本

图2 2016 年恶意代码家族Top10

  从恶意行为类型来看,2016年流氓行为类型的恶意代码同比增长15%,占比高达57%,依然保持在第一位,是最值得关注的恶意行为。资费消耗和恶意扣费类型的恶意代码数量依然较多,排位依然靠前,分列第二位和第三位,这与其能够带来直接的金钱收益有关。 图3_副本

图3 2015年和2016年恶意代码行为分布图

  从上述数据统计可以看出,流氓行为的恶意代码开始大量投入,不断困扰着用户;对用户隐私窃取和诱骗欺诈的攻击也开始加剧;大部分移动互联网产业和普通用户遭受的现实威胁仍然以大量高频的弱威胁为主,这些威胁由于危害程度较弱,存在大量灰色空间,在数据统计中占据了绝对地位。此外,随着地下产业链的发展,这类弱威胁所依托的“流量模式“或“个人隐私倒卖”的变现路径逐渐完备,低投入高收益的盈利模式已经形成,更进一步地加剧了这类威胁,使其成为普遍现象。

2.2 移动威胁技术持续进化

2.2.1 攻击者加强Root技术使用

  Root型恶意代码自带Root功能,利用公开Root工具的提权代码,直接对手机进行Root操作,获取系统最高权限,将恶意代码写入只读文件系统,难以被用户清除,能够顽固存活于受害用户手机。由于其制作有一定难度,不太常在公众视野出现,但一直是一类危害程度严重的威胁。2015年发现的Root型恶意代码家族及变种数为21个,2016年Root型恶意代码家族变种数量增长迅速,新增Root型恶意代码变种为73个,是2015年的3倍多。从下图的统计数据,我们可以看到2016年Root型恶意代码样本数量Q1、Q2季度增长缓慢,Q3、Q4季度迅猛增长,仅Q3季度总量就超过了2015年全年Root型恶意代码样本数量的5倍,可见Root型恶意代码在2016年进入了一个爆发期。

图4_副本

图4 2015年-2016年Root型恶意代码样本增长趋势

  2015年Root型恶意代码主要配合恶意广告推广谋取利益,其中最具有代表性的是PermAd1(又称“GhostPush“)家族。从2016年的Root型恶意代码的恶意行为来看主要有以下3类,会对用户造成极大危害:

  • 私自对用户手机提权获取Root权限后静默安装、卸载应用或者将恶意应用推送到系统目录中长期潜伏,使用户无法彻底清除病毒;
  • 利用Root权限运行恶意脚本强行禁用反病毒软件,修改反病毒软件白名单逃避杀毒软件的检测;
  • 利用Root权限对用户手机重要的系统进程(如phone,zygote进程)进行注入造成用户手机功能异常并且在用户无感知的情况下完成私自扣费和隐藏运行恶意代码等行为。

图5_副本

图5 Root型恶意代码功能进化

  2016年攻击者加强了对Root技术的使用,Root型恶意代码不仅在数量上有了大幅度的攀升,在恶意功能上也有了比较明显的进化,具备了与反病毒引擎的对抗能力,对用户造成的影响也在不断的扩大。

  客观的来说,在移动终端上,由于操作系统的设定特点,一定程度上导致了应用安全软件并不具备权限上的优势,往往在与采用了Root技术的恶意代码对抗当中处于下风。也正是从对抗需要的角度出发,安天移动安全团队目前选择了和国内知名移动终端OEM厂商进行合作,希望通过我们的专业安全能力,对其进行赋能,通过协作的方式让移动终端OEM厂商在这场越发不平等的对抗当中尽可能发挥产业位置的优势,重新扭转对抗局面。

2.2.2 攻击者热衷使用开源技术方案

  2016年恶意代码在技术实现上也得到了一定程度的进化,出现了多例恶意利用开源技术方案来实现恶意攻击的新型移动恶意代码。被恶意利用的开源技术方案主要集中在“多开”、“热补丁”和“插件”这3个技术领域。2016年出现的利用这类开源技术的移动威胁从家族和数量上来讲不多,整体来看还属于一个新型恶意攻击形态的萌芽期。 图6_副本

图6 利用开源技术方案恶意代码案例

  借助开源技术方案带来的技术积累,不仅方便了恶意开发者制作攻击武器,还能够有效的逃避反病毒引擎的检测;此外,还能够有效地减少受害用户对恶意程序的感知能力,起到更好的潜伏和攻击效果,这也是攻击者热衷于使用这类开源技术方案的主要原因。

2.2.3 攻击者利用社工欺诈手段绕过安全权限

  Google在Android 6.0及以上的系统版本中推出了众多新特性以增加系统安全性和提升用户体验。其中在安全性方面有所提升的特性主要涉及系统权限、应用间文件共享,而在用户体验方面则引入了Doze机制用于节省系统电量、延长电池使用时间。这些新特性的引入在抑制恶意代码对系统的侵害上发挥了不错的效果。

  2016年9月国外安全厂商“卡巴斯基”公开揭露了一款利用社会工程学的恶意代码[2]。该恶意代码针对安全性较强的Android 6.0版本系统进行攻击,它通过频繁弹出确认权限请求窗口的方法强制绕过系统新增的应用程序覆盖权限和对危险应用程序活动的动态权限请求的安全功能,导致用户的手机陷入恶意代码的控制中。在12月底,出现了伪装成正常应用Chrome,并通过发送Intent诱使用户将其加入白名单这种欺骗手段绕过Doze机制[3]的恶意应用。从Google官方对Android系统安全机制的更新上可以看出Google对于规范Android生态圈的决心和态度,但恶意攻击者并没有因此停下脚步,反而是进一步寻求绕过新增安全机制的技术手段,并已经开始制造出相应的恶意代码。

  2016年移动恶意代码新变种增长迅速,Root型恶意代码无论从数量和功能上都呈现出较为迅猛的增长和进化趋势。使用开源解决方案的恶意代码开始萌芽,恶意开发者对于绕过Android系统新增安全机制的进一步尝试等,这些真实存在的威胁案例从侧面可以反映出移动威胁技术正在持续的进化。

2.3 电信诈骗高度体系化

  电信诈骗通过近几年的不断演变,已经从纯粹的技术威胁演变为移动安全的重要威胁,甚至有成为社会公共威胁的趋势,给人民群众生命财产造成了严重伤害和巨大损失。2016年电信诈骗特别是诈骗电话犯罪持续高发,媒体也公开披露过多起涉案金额巨大甚至致人死亡的电话诈骗案件。

  诈骗短信是电信诈骗当中重要的威胁形态之一,也是移动恶意代码进入用户手机中的重要入口。诈骗短信持续泛滥,伪基站是罪魁祸首,在2015年移动安全年报中提到的短信拦截马威胁的攻击模式在2016年依旧活跃,给受害用户造成了巨大的财产损失。针对电信诈骗的权威数据显示,2015年全国公安机关共立电信诈骗案件59万起,同比上升32.5%,共造成经济损失222亿元[4]。下图展示了四例常见诈骗短信示例。 图7_副本_副本

图7 诈骗短信示例

  电信诈骗形式和手段呈现出多样化的发展趋势。随着互联网的普及和发展,移动相关的电信诈骗开始与互联网结合,从最开始单纯给受害人拨打电话的传统电信诈骗发展成为网络电信诈骗。近年来,随着移动智能终端的迅速发展,网络电信诈骗不断进化,出现利用移动终端恶意代码结合钓鱼攻击来实施电信诈骗的新型技术手段。 图8_副本

图8 电信诈骗进化图

  为提高诈骗的成功率,诈骗者需要搜集各方面的情报。网络电信诈骗情报体系由三大块组成:诈骗目标相关情报、诈骗手法相关情报和资金相关情报。诈骗者通过黑市购买、网络搜索、木马回传等手段对这些情报进行搜集,然后进行筛选、吸收,最后实施诈骗。在移动终端场景,已经出现具备完整诈骗功能的移动恶意代码,例如伪装成“最高人民检察院”的恶意应用,以涉嫌犯罪为由恐吓受害者,并进行电信诈骗。其主要攻击流程如下图所示,详细的技术分析可以参考安天移动安全官方技术博客2016年12月12日发布的《病毒四度升级:安天移动安全揭露一例跨期两年的电信诈骗进化史》[5]分析报告。 图9_副本

图9 移动终端场景的电信诈骗流程图

  移动相关的网络电信诈骗已经形成上下游产业链并且高度体系化,甚至分为了4类专业的团伙以进行密切的分工与协作,这在极大程度上助长了移动相关的诈骗泛滥成灾。 图10_副本

图10 电信诈骗产业链

  电信诈骗给受害用户带来了经济损失和其它严重后果,以其中比较普遍的诈骗电话为例,据公开的研究报告[6]显示,在2016年前3个季度共9个月份中全国平均每月被用户标记的诈骗电话多达1500多万次,诈骗类的电话在骚扰电话中占比高达27%,从量级和占比足以看出移动相关的电信诈骗已经泛滥化。从另外一个角度来看,根据2016年1-9月趋势图中可以看出在2016年3月后诈骗电话数趋于缓和,并在2016年9月,最高人民法院、最高人民检察院、公安部、工业和信息化部、中国人民银行、中国银行业监督管理委员会六部门联合发布《防范和打击电信网络诈骗犯罪的通告》后有下降的趋势。 图11_副本

图11 2016年1-9月诈骗电话标记数每月趋势

2.4 移动威胁正从个人向企业组织迁移

  移动威胁最直接的受害群体是普通个人用户,诈骗电话、钓鱼短信、手机病毒已经成为危害用户手机安全的三类主要威胁。从手机病毒这个层面来看,针对个人用户的移动威胁当前主要是借助于仿冒、恶意植入等技术手段,通过小众的应用市场、论坛,网盘、社交应用群等渠道以及恶意代码自身的推送能力来进行传播,从而进入到受害用户手机,对用户造成危害。

  2016年安天移动安全团队联合合作伙伴对外发布过多篇移动威胁相关的技术分析文章(典型案例节选部分如下表所示),面向个人用户揭露不同类型移动威胁的发展形式以及对用户的危害和影响。从对用户造成的威胁来看,诱骗欺诈、隐私窃取、恶意扣费是个人用户遭受的最主要的三类手机安全威胁。 图12_副本

图12 安天移动安全技术报告节选

  除了大量的个人用户遭受到移动威胁的侵蚀,由于企业对移动威胁的重视程度普遍不足,导致移动威胁造成的企业资产受损的事件近年有上升趋势。其中具有代表性的威胁案例是2016年8月由国外安全厂商首先公开披露的恶意代码“DressCode” [7],该病毒利用SOCKS代理反弹技术突破内网防火墙限制,窃取内网数据,能够以手机终端作为跳板实现对企业内网的渗透(具体的攻击流程如下图所示)。“DressCode”恶意代码的出现表明移动恶意代码已经具备对企业进行渗透攻击的能力。 图13_副本

图13 DressCode攻击流程图

  截止到2016年9月底,这类窃取企业内网信息的恶意应用在数量上已经超过3000,其中有400多款应用曾经上架过Google Play应用市场,部分应用的安装量在10万到50万之间。通过这类统计数据虽然无法直接有效地评估企业遭受的损失,但从侧面上可以反映出移动恶意攻击者已经开始将移动威胁的攻击向企业级场景切换。

  在另外一个场景中,则是通过篡改DNS实现对企业的渗透和攻击,2016年底在移动平台出现的“Switcher”恶意代码家族能够借助移动终端接入Wi-Fi对连入的路由器DNS服务进行攻击[8],恶意篡改DNS服务器地址从而实现受害用户网络流量劫持。 图14

图14 DNS劫持流程图

  “Switcher”主要通过暴力破解登录的方式进入路由器DNS并篡改成恶意的DNS服务器地址,其攻击能力主要依赖于破解字典的强度。当前从“Switcher”自带的字典来看主要以常见的弱密码为主,可见其攻击能力并不是很强,但是从整体的攻击流程和目标来看,移动威胁当前已经具备了对DNS这类网络服务进行恶意利用的能力。

  由于近几年企业在终端安全防护领域的投入和重视度不足, PC勒索软件近两年在企业环境中造成了巨大威胁和资产损失。从前文案例可以看出,就威胁攻击的整个链条而言,个人用户、企业用户以及网络服务供应商等都遭受到了不同程度移动威胁的恶意利用或攻击,移动威胁也正在从个人向企业组织迁移,值得企业安全管理人员关注和预警。

2.5 移动终端已成为APT的新战场

  2013年3月,卡巴斯基披露了首个移动终端上的针对性攻击事件[10],其结合了传统网络攻击下的邮件钓鱼攻击模式和移动终端的木马程序完成对特定目标人物移动设备的攻击和控制。这个事件的公开披露意味着移动威胁的攻击动机已不局限于利用黑色产业链牟取直接的经济利益,在攻击目标群体的选择上也不局限于泛化的移动终端用户。

  截止到2016年末,公开揭露的针对移动终端的APT攻击事件已有十几例,其不仅针对Android平台,也覆盖了iOS、黑莓等其他智能平台。而移动APT事件主要的攻击目的为收集和窃取智能终端上的隐私数据,包括短信、通讯录、定位信息等。其中部分移动APT事件长达数年,例如2016年3月被公开披露的针对印度军方的“Operation C-Major”行动[11]就是从2013年开始持续了3年多的时间。

  2016年8月,在Pegasus间谍木马[12]攻击一名阿联酋社会活动家的事件中,使用了三个针对iOS的0-day漏洞实现攻击,表明在移动攻击场景下也可以和Cyber APT一样将高级攻击技术应用到APT攻击过程。同时也表明移动终端已经成为APT组织进行持续化攻击的新战场,并重点以对特定目标人物的情报搜集和信息窃取为目的。

2.6 全球移动支付安全正遭受威胁

  随着移动互联网和移动支付技术的迅速发展,越来越多的用户使用智能手机、平板电脑等移动终端访问网上银行,进行便捷支付。与此同时,恶意攻击者也在持续加大对移动金融的攻击力度。2015年12月Android银行木马GM Bot的源代码在网上泄露[13],其中包括Bot组件和控制面板的源代码。恶意攻击者能够直接从网络获取到源码并进行修改,快速的制作出大批量的Android银行木马。

  Android平台2016年在移动金融威胁上新增了Svpeng、GBanker、Gugi、Slocker、FakeBank、Marcher等16个银行木马家族,52个银行木马变种,其中感染量较大的为Svpeng、GBanker、Gugi、Slocker、FakeBank等木马家族,如下图所示。 图15_副本

图15 2016年银行木马家族Top5及感染量

  从攻击的技术手段和目标来看,国外的银行木马大多都会请求激活设备管理器,使受害用户无法通过正常的应用卸载方式进行卸载,在用户使用金融APP或者Google Play时,该木马会弹出虚假的绑定银行卡界面或者付费界面欺骗用户输入自己的银行账户相关信息(主要包含VISA卡账号、MasterCard的账号和CVV),然后通过短信转发或者远程控制服务器上传的形式完成窃取,部分家族还会对用户接收的短信进行拦截、上传,对用户手机短信功能造成影响。而国内移动金融威胁相关的银行木马,主要通过仿冒国内主流银行APP诱导用户输入账号信息的方式来完成对受害用户银行账号、银行账号密码、银行预留手机号、身份证号码、开户行名称等高价值信息的窃取。

  2016年新增的移动银行木马对全球50多家银行造成了不同程度的影响,其中影响的地域包括了俄罗斯、中国、美国、加拿大、澳大利亚、德国、法国、波兰、土耳其等国家和地区,涉及到有QIWI 、Sberbank、Alfa-Bank、 PayPal、Citibank、Bawag P.S.K.、Bank Austria、Deutsche Bank、ING-DiBa、ING Direct等国际知名银行和支付平台。而国内的移动银行木马攻击的目标主要是建设银行、工商银行、招商银行、农业银行、中国银行、交通银行等国内用户较多的银行。对国内银行木马我们在安天移动安全官方技术博客2016年8月24日发布的Dark Mobile Bank报告[14]中已经做了详细深入的剖析。从下图可以看出2016年新增的移动银行木马主要针对俄罗斯、中国的移动终端用户。 图16_副本

图16 2016年移动银行木马主要感染区域分布图

2.7 隐私泄露成为移动威胁重要帮凶

  2016年各类信息及数据泄露的安全事件依旧层出不穷、愈演愈烈。“徐玉玉”案等电信诈骗事件的报道,也引发了公众的思考,并对个人信息泄露带来的恶劣社会影响有了深刻认识。 图17_副本

图17 2016年部分重大数据泄露事件

  上图列举的只是隐私泄露事件当中的极小部分,近年来,针对各类网站系统的脱库、撞库攻击频繁发生,大量用户的高价值隐私数据信息被泄露。隐私的大面积泄露,已经成为移动威胁当中重要的帮凶和支撑性的环节,这个大趋势不可避免会导致移动威胁朝着长尾化、精准化和碎片化的方向发展。隐私泄露已经成为普遍的安全威胁和问题,它助长了移动威胁的增长,并把移动威胁引导向了精准化、碎片化、高价值转化的方向上,使得移动威胁的长尾现象更加显著。这使得每个用户遇到都是高精准的、难以大面积出现、具有普适性的威胁,恶意攻击者不需要通过大面积的攻击来实现价值转化。

  移动供应链的复杂性和终端服务的碎片化,导致隐私泄露这类移动威胁难以被用户和社会所感知,难以唤起社会普遍的重视。但最终这些重隐私和轻隐私的泄漏,由于其产生的长尾效应最终会对整个移动安全乃至身份安全体系产生巨大影响。

2.8 移动勒索软件种类迅速增长

  移动平台的勒索软件最早于2014年出现在东欧地区,2015年国内开始出现滥用Android系统功能的锁屏类恶意勒索软件,并活跃至今,已经成为了一种成熟的恶意代码攻击模式。对比近2年移动勒索软件数量,我们发现2016年4个季度与2015年同期相比样本数量都有不同程度的倍增,其中第1季度增长了近7倍,可见移动勒索软件在2016年得到了迅猛的发展。 图18_副本

图18 近两年移动勒索软件数量变化情况

  2016年移动勒索软件表现形态主要有三种:软件自身频繁地强制置顶自身页面导致手机无法切换操作界面、私自设置手机PIN锁屏密码导致用户无法解锁手机、屏蔽用户手机虚拟按键或者触摸部分。

  我们对勒索软件影响的地域进行了统计,发现东欧或俄罗斯的占比为54.8%,其次是中国占据了38.65%,英美占据2.95%,中东地区的伊朗占据了3.6%,这表明俄罗斯和中国是2016年移动勒索软件检测和感染率最高的国家。 图19_副本

图19 勒索软件在全球范围内分布情况占比

  在2016年6月份,国外某安全公司发现了勒索软件“Flocker”[15]家族能够感染智能电视。“Flocker”家族的一个变种会伪装成美国网警或者其他的执法机构,当用户不小心运行勒索软件时,界面会以英文提示“你被通缉了,需要交付一定的赎金,赎金是价值200美元的iTunes礼品卡”。智能电视之所以受到攻击者的利用与厂商本身有一定的关系。由于厂商不积极更新系统安全补丁导致大部分的Android智能电视系统都停留在Android 4.4版本以下,容易遭受勒索以及其它移动威胁的攻击。

  当前移动终端的勒索软件虽然在数量上有明显的增长,并同时开始转向对智能电视等设备的攻击,但与PC端相比其攻击对象依旧以普通用户为主,并且在“赎金”要求上相对较低,加之移动终端系统不断更新的系统安全机制能够在一定程度上抵御勒索应用的攻击。从这个角度来看,移动勒索软件对用户的威胁影响相对有限。

2.9 iOS自成体系但并非安全神话

  iOS系统因为其系统封闭性以及安全封闭性,安全生态体系基本依赖Apple自行解决。从2009年到2016年,iOS系统上公开的恶意代码家族一共40多个,其中绝大部分家族的恶意功能依赖于越狱后的iOS系统。从2016年全年来看,iOS系统上公开的恶意代码主要是“AceDeceiver” [16]和“Pegasus”[12]两个家族,它们能够在非越狱iOS 设备上实施恶意行为。因此从iOS的实际威胁现状看,恶意代码的影响力相对受限。

  2016年针对iOS从9.0到10.x版本的系统公开了不少可以利用的漏洞及利用方法[17],其中比较典型的有针对iOS 10.1.1对mach_portal攻击链的利用方法,以及具有较高影响力的针对iOS 9.3.4系统定向攻击窃取阿联酋的一位人权活动家隐私的“三叉戟”漏洞。同时为了提取特定Apple手机的数据,FBI和Apple公司也进行了长达数月的司法纷争。最终通过第三方公司,对手机中的数据进行破解和提取 18。这也侧面反映出,iOS体系中Apple处于绝对的攻防核心地位,控制着所有安全命脉,但是iOS系统并非坚不可摧,在高级漏洞抵御层面并不占据优势。

  根据CVE Details统计的有关移动操作系统的漏洞信息(如下图所示),iOS系统2016年公开漏洞数量为Android的三分之一左右,主要风险集中在拒绝服务、代码执行、堆栈溢出、内存破坏等高危漏洞方面。但考虑到Android系统的碎片化以及开放性,这样的统计数据并不能说明iOS更加安全。 图20_副本

图20 2016年Android和iOS系统漏洞类型及数量对比

  围绕iOS系统的封闭性与安全性之争预计还将持续。但值得深思的是,因为iOS的安全封闭性,安全厂商、政府机构、普通用户等参与者难以建立有效的安全应对机制,虽然Apple在iOS系统漏洞的遏制和响应上具备一些优势和经验,在安全上的投入也取得了一些成绩,但用户在遭遇到新型威胁或高级攻击时即使是专业的安全团队也难以有效地配合跟进并帮助用户解决威胁问题。与Android这类开放的移动操作系统相比,iOS系统由于高封闭的模式在反APT工作以及与高阶对手的竞争中可能处于劣势,并在一定程度上局限了其商务应用的有效发展。

  与iOS相比,Android系统的生态体系更加繁荣,潜在威胁更多,因此也对Android安全提出更高要求,Android系统的开放性和可定制化给安全厂商有效的防御策略提供了积极的支撑作用,能够让安全厂商在移动威胁的防御上大有作为。从Android整个安全体系看,需要通过供应链加强安全协同,从设备、系统、应用、环境等多层面加强漏洞检测、系统加固、安全增强和内置安全引擎等工作,从而最大限度的保障整个安全体系的有效性。

3 反思

3.1 移动威胁检测核心作用有待进一步发挥

  面对移动威胁规模的持续增长、威胁技术持续进化和电信诈骗泛滥等现实威胁状况,恶意代码检测无疑是一种核心安全防御手段。

  下图是全球主流的移动反病毒引擎在2016年11月份AV-TEST[19]的测评中的结果对比图,从中我们可以看到绝大部分厂商的检出率都在90%以上。值得一提的是,近5年来,安天移动安全团队自主研发的AVL移动反病毒引擎在AV-TEST,AV-C等国际权威反病毒认证机构的测评中均以极高的检出率名列前茅。 图21

图21 2016年11月AV-TEST测评成绩

  面对持续爆发的威胁,手机制造商、系统供应商等关键环节需要进一步加强移动威胁检测能力的引入,从系统深层次提供对移动威胁的检测,为用户提供深层次安全防御。

  通过进一步的威胁情报体系建设和产业协同工作,我们也看到移动恶意代码检测能力将会成为一种安全基本能力,通过不同行业和技术领域的不断使用,逐渐展现出超过移动恶意代码检测原有内涵的综合防御效果。

3.2 Android应用市场问题亟待重视

  Android应用市场作为Android应用和用户手机直接连接的重要桥梁,是移动生态环节当中重要的组成部分。Google的官方应用市场Google Play以及国内外的各类应用市场都拥有大量的用户群体,一旦出现恶意代码极有可能会导致大量用户受到威胁。

  2016年安全厂商多次在Google Play应用市场发现恶意代码。出现在Google Play上的恶意代码感染用户多,影响广泛,部分恶意代码能够攻击企业内网,甚至控制受害用户手机进行DDOS攻击。从这些公开的事件来看,单一来源市场加上严格的商家审计,虽然是一种有效的安全思路,但依然不能保证软件供应链是安全的,仍然需要建立起个体用户、手机厂商和企业用户各自的安全边界。 图22_副本

图22 2016年安全厂商在Google Play应用市场发现恶意代码案例节选

  由于无法像Google一样承担巨大的安全审核成本,国内应用市场的安全问题比Google Play更加严重。我们通过对国内的一些应用市场进行定期检测,发现过多例包含有“百脑虫”[20]和“JMedia”[21]等高级恶意代码的应用,相关的应用市场对于这类能够被反病毒引擎检出的恶意应用并没有及时进行下架处理,可见此类安全问题并没有引起足够的关注。

  应用市场和应用分发问题在安全策略和安全防护上没有得到普遍重视。当前的应用市场,包括Google Play这样的一级分发市场、国内的二三级分发市场以及与用户联系最紧密的移动应用市场服务商,对于自身在安全上扮演的角色是不够重视的。国内外应用分发市场都存在上述安全问题,说明应用市场本身的审核机制存在一定的问题。相比而言,Apple应用市场在这方面做的较好,Apple系统闭源、应用下载市场统一、审核流程更加严格,发现恶意App后能够进行及时响应和下架处置,Android的应用市场与Apple的应用市场相比仍有较大的差距。

  2016年Android应用市场频频出现恶意代码并非偶然,从根本上来看是因为Android应用市场的安全问题依然没有得到重视,也没有引入有效的安全检测和防护方案。

3.3 漏洞碎片化未得到有效遏制

  由于Android系统的开源以及定制化造成的Android系统不可控的碎片化,同时也导致了Android系统漏洞的碎片化。根据CVE Details公开的数据显示,在2016年Android系统一共被收录了523个漏洞,其中包含有99个信息泄露相关的漏洞,2015年这类漏洞只有19个。值得注意的是2016年新增了250个可以提升权限的安全漏洞,2015年这类漏洞只有17个,增长超过13倍。

  特别是像DirtyCow[22]和Drammer[23]这类能够影响从Android 1.0及以后几乎所有Android系统版本的通用性漏洞,对用户的伤害性不言而喻。DirtyCow(又称“脏牛漏洞”)是由安全研究员Phil Oester首先发现的。DirtyCow利用Linux内核的内存子系统在处理写时拷贝(Copy-on-Write)时存在的条件竞争漏洞,导致私有只读内存映射可以被破坏。一个低权限的本地用户能够利用此漏洞获取其他只读内存映射的写权限,有可能进一步导致提权漏洞。Drammer漏洞由国外安全公司VUSec发现并公开,是一种针对Android设备的攻击方式,该漏洞利用内存芯片设计上的一个缺陷不断的访问某个位置上的内存,就可能造成相邻的内存进行位翻转,如果攻击者访问足够多次就可以控制它指向内存中特定的高权限空间,从而获取Root权限。 图23_副本

图23 近两年Android系统漏洞类型及数量对比

  当前移动操作系统漏洞的有效利用点依然集中在提升权限漏洞上,还没有扩大到比较复杂的应用和攻击场景。但是,这种局面并没有得到有效的遏制,给整个攻击链的防御上带来了极大的风险和控制难度。2016年出现的大量手机Root型恶意代码充分印证了这一点。

3.4 移动威胁的体系化应对尚需时日

  2016年11月,我国正式出台了《中华人民共和国网络安全法》,从法律法规层面加强了对安全体系化建设的指导。从网络安全建设来看,全天候的态势感知才能发现威胁并应对威胁,这就需要积极开展对各种关键基础设施的安全防护和保障。从早期出现在国外的能够拦截欧洲国家相关银行支付验证码的Zitmo木马家族,到FakeInst“吸费”木马在俄罗斯及东欧地区的广泛传播,再到近几年国内电信诈骗等威胁的泛滥,我们一方面看到的是国家、行业、企业、个人积极开展安全防护和对抗,在一定程度上遏制了相关威胁的不断泛滥。另一方面,也可以看到由于缺少全局数据和情报支持,缺少对全局安全威胁的及时感知能力,对威胁的遏制效果并不理想。目前可以看到,大部分移动服务供应商和用户对移动安全的重视仍然停留在威胁预警早期阶段,对移动威胁的广度和深度关注不足。可见体系化防御不是一朝一夕之事,只有尽早尽快落实相关的体系化建设,才能真正有效地感知和防御相关安全威胁。 图24_副本

图24 短信拦截马数量变化情况

3.5 全球移动安全协作共识有待达成

  在移动通信和移动互联网领域,与国外相比,国内已经呈现同步乃至超前的发展态势。从移动应用来看,社交、电商、支付、出行等各种紧贴用户生活的行业需求在移动端逐渐成型;从应用生态链条来看,国内MIUI、阿里云、百度手机助手、腾讯应用宝、360手机助手等应用商店与Google Play、 App Store等应用分发体系相呼应;从全球范围来看,以华为、OPPO、VIVO、小米等为代表的众多本土优秀手机终端品牌强势崛起,并在国际市场中占据愈加重要的位置;从系统供应链来看,ARM、高通、三星等厂商仍然占据主流地位,但也可以看到国内厂商通过自主研发、海外并购等方式逐渐进入IC设计和制造的优秀行列。

  在这种背景下,传统的样本交换体系愈加难以满足如今移动威胁应对的需求,全球性的安全共识需要加强 。传统网络领域,由于产生时间较早,基础模式设计缺少安全考量,安全体系难以有效协同,增加了不同组织之间摩擦的风险。在移动安全领域,可以通过威胁情报共享体系的设计,让全球拥有共同的威胁描述语言,加强面对威胁的协同抵抗和防御能力,并增强全球安全共识。这个过程有赖于安全行业自身的努力和移动产业整体的规划,也需要国家、国际组织的倡导和推动。

4 应对

4.1 监管者

  从习近平总书记4.19讲话提出“树立正确网络安全观” “安全发展同步推进”到《中华人民共和国网络安全法》正式表决通过,国家增加了多项促进网络安全的措施,推进了网络安全的发展。这些指示和立法推动,无疑给包括移动安全在内的网络安全领域提供了顶层设计指导。

  安全领域建设离不开合理的立法和标准的指导。在完善网络法律法规的同时,监管部门应同时对互联网相关的法律法规进行大力宣传,培养网民的法制观念,提高防范意识,并提倡规范办网、文明用网,推动全民共同维护移动安全环境,从根源上有效遏制移动威胁。

  在体系建设上,应积极建立和落实移动互联网整体安全态势感知和预警体系,实现对移动安全领域全局态势的感知,加强对威胁情况的预警;加大对移动互联网基础设施的安全防御体系建设,提升对关键基础设施包括移动设备供应链、网络服务商、应用提供商等的安全督导;加强移动安全在网络安全全局体系中的角色和比重,对新型安全威胁给予必要的关注,争取通过防治结合的手段在威胁发展的早期予以扑灭。

  在行业协作和技术手段引进上,以技术和管理结合来治理移动威胁问题。积极推动和引导安全企业提供更好的技术手段,参与行业安全的共同治理。以移动“钓鱼”和移动诈骗这类威胁应对为例,多部门联合打击“钓鱼网站”,引导相关部门、企业建立联合的“反钓鱼”,“反欺诈”平台并形成互动对接和信息共享机制。实现官方“打钓” 与非官方“打钓”的优势互补,达到快速、及时的应对和处置效果。鼓励更多的移动互联网企业加入来促进联合平台的发展。同时,还应加强运营商、金融机构等行业与执法机关的合作与联动。

4.2 安全企业

  移动安全领域作为安全领域中一块相对较新的领域,经过了6年多的行业发展,逐渐成为安全领域的重要组成部分。在恶意威胁检测等核心技术领域,一大批安全企业持续加强投入,不断应对新型恶意代码、新型漏洞和新型攻击手段的挑战。在安全管理等泛安全领域,逐渐形成了设备管理、应用管理、用户管理等多层次的安全管理方案,安全加密、安全加固等方案也在移动安全领域被广泛使用。通过近几年的努力,诸多安全技术已经运用到移动领域,为用户创造了较大的安全价值。

  但正如前文反思,移动安全领域的诸多技术还需要进一步和个人的安全需求、企业组织的业务和数据安全需求相结合,才能让安全能力真正满足用户的安全诉求,最大程度的对抗安全威胁。目前在相对热门的威胁情报服务领域,安天移动安全自主研发了全球首个AVL Insight移动威胁情报服务平台,借助10年的移动威胁知识库积累、6亿多终端的覆盖,形成了定制化移动威胁情报的输出能力。我们坚持认为威胁情报需要与客户的真实安全诉求相结合,为客户提供符合其需要的、高价值、定制化的威胁情报。

  随着移动安全重要性的日益提升,安全企业之间应借助威胁情报、产业合作等方式形成行业整体的安全协作和应对姿态,共同打击移动安全威胁。同时通过更多的产业合作,与职能部门、移动供应链、企业和个人用户等建立更加深入的合作和信任关系,共同维护移动安全环境。

4.3 供应链

  从2012年到2016年移动安全威胁发展轨迹来看,攻击者对移动供应链从早期的App应用拓展到了如今的芯片、系统、网络等多个层面,移动安全威胁的乌云早已笼罩了整个移动供应链的上空。

  从移动领域的自身特点来看,供应链安全是一个值得特别关注的问题。三星Note 7安全事件虽然不是一个信息安全问题,但其安全模型值得深思。韩国产品安全监管机构“技术标准局”对受损的Note 7的分析发现,Note 7手机爆炸是因为电池问题而引发的。电池存在设计缺陷,即阳极凸起。该突起导致分离层破裂,并接触阴极材料,然后起火[24]。该事件最大的威胁在于移动设备的特性,导致类似安全威胁会对人、航空等周边环境造成危害。供应链的安全威胁可能经由移动设备进一步扩散。

  供应链不同层次的移动威胁呈现不同的特点,整体来看,越底层威胁能力越强、事后处置链条越长、最终防御效果越差。从威胁防护来看,供应链不同层次厂商基于自身威胁特性建立针对性的防护方案。芯片和系统级的安全防护方案已经得到厂商的重视和采纳,并在实际生产中起到有效的防护效果。移动网络服务供应商作为供应链中重要的支撑环节,需要加强对于移动网络服务这类基础设施的防护能力,同时提高对于恶意利用移动网络服务行为的监测和处置能力。移动互联网服务供应商应结合自身业务特点,加强安全审查和管控,防范移动威胁对用户造成的损害。

  供应链和服务提供商,可考虑通过对威胁展开前置防御和针对性防御,及早的在供应链和服务各环节引入安全解决方案,包括但不限于威胁检测、行为拦截和阻断、漏洞检测和补丁技术、系统加固和数据加密和网络检测等。通过安全解决方案的前置、早置,最大限度的辐射整个供应链环节,降低整体安全防御成本,提升整个供应链的安全性和安全效率。

4.4 个人

  随着黑产从业者攻击策略和武器的进步,个人用户面临的移动安全威胁呈现频率逐渐上升、维度日益丰富、攻击愈加定制化的趋势,同时攻击的危害从早期的小金额话费扣除、流量损耗逐渐演变为目前的大金额现金损失、金融相关隐私泄露,移动终端用户的安全状况十分恶劣。

  个人用户作为移动安全威胁最终危害的主体,对其所面临的移动安全威胁并不具备足够的认识,并具有安全意识弱、情报来源窄、防护手段弱的特点。基于个人移动安全威胁应对的难点,安天移动安全团队建议个人用户养成日常主动进行安全检测的习惯,同时建立安全的密码管理体系,避免因单点移动威胁造成大规模资金损失的情况。此外个人用户需要提高对移动安全事件的关注度和敏感度,对与个人关联的威胁事件进行紧急响应,做好事后止损的工作。

4.5 企业

  随着移动办公、移动服务等业务的加强,各类企业、厂商在移动威胁的整体对应上,需要全面加强企业整体安全防控中对于移动安全的重视。

  针对IT安全,要逐步将移动设备带来的威胁应对纳入企业安全威胁防控体系中,预防移动设备对原有企业IT安全带来的冲击。针对应用层风险加强应用管控,加强对正常应用的仿冒审查,加强对应用隐私泄漏的防范。针对系统层风险,加强系统权限管理,引入行为异常监测,防范未知安全风险。针对网络层风险,加强传统网络威胁向移动威胁的迁移,预防潜在的移动安全高级威胁。

  需要特别说明的是,目前有不少企业的对外服务和核心业务主要以移动互联网为场景,目前这类企业遭受的移动威胁的影响也颇为严重,建议结合移动终端身份识别、移动终端环境安全检测以及积极建设面向业务的风控系统持续加强威胁对抗和响应能力。

5 预见

5.1 移动威胁进入APT时代

  APT攻击的一个基本规律是:攻击是否会发生只与目标承载的资产价值和与更重要目标的关联度有关,而与攻击难度无关。这就使得当移动设备承载更多资产,当智能终端的使用者覆盖敏感人群或他们的亲朋好友时,面向智能终端的设备的APT系统性的产生就成为一种必然。

  在移动互联网时代,移动智能终端已经高度映射和展现人的重要资产信息和身份信息,其中在移动终端上存储的短信、通讯录、照片、IM工具的聊天语音记录信息等等能够高度表现和描述人的身份、职务、社交圈、日常生活等信息,所以针对移动智能终端的攻击威胁是能够具备高度目标指向性的。在过去,诸如移动拦截马之类的威胁攻击都重点以手机用户的短信、手机联系人列表为窃取对象,并在地下黑色产业链形成了庞大的和身份高度映射的社工知识库,其中包括了姓名、手机号码、职务、日常信息、活动区域轨迹以及其社会关系,从而为移动APT攻击的前置准备和更精准的投放手段提供了极高的战术价值,并且对于整个APT战役的前置阶段来说,对攻击的重点目标人物或组织的情报收集和持久化监控也是具有高度战术意义的。

  除此之外,移动设备同时还具备极高的便携性和跨网域的穿透能力。从2016年出现的一些不同动机的攻击技术,包括DressCode[7]通过移动设备形成对内网的攻击渗透能力和Switcher通过对终端所在网络的网关设备的攻击从而形成对网络的劫持能力,预示着通过移动设备作为攻击跳板,可以实现对企业内网、物联网甚至基础设施的攻击。

  移动威胁会综合移动的高级攻击技术、移动互联网络的战略意义以及针对重点目标的战术价值为APT攻击组织提供更加丰富的攻击能力、攻击资源和战术思路。

5.2 隐私泄露导致移动威胁进一步加深

  随着物联网、智慧城市的推进,摄像头、手机、可穿戴设备等智能硬件的普及,以及关系到大众民生的各种信息系统的互联互通,人们的生活方式都会网络化,所有主体的信息都会数字化,与此同时移动终端系统、物联网系统不断的被挖掘出高危漏洞,信息和数据泄露事件短期内看不到下降的趋势,个人隐私相关的数据泄露也将导致网络攻击威胁泛滥并且进一步的加深。

  隐私泄露和移动攻击的泛滥和融合还会进一步加深,带来普遍的欺诈泛滥、威胁碎片的长尾化,对整个移动威胁的商业价值带来的长远影响。

  对于这一问题,安天将在后续发布的“基础威胁年报”给予更多解读。

5.3 企业级场景的移动威胁会大量出现

  当前面向个人的欺诈出现垂直化的增长、碎片化的攻击,显示恶意攻击者开始往垂直化和高价值方向的挖掘和转型。企业由于承载大量高价值信息和资产必然是恶意攻击者转型中瞄准的重要目标。

  2016年出现了以移动应用作为中间跳板尝试对内网进行渗透,窃取内网的重要信息的恶意代码,同时,在年底出现了篡改用户手机连接的Wi-Fi路由器DNS进行流量劫持的移动恶意代码。移动终端、Wi-Fi路由都是当前针对企业场景攻击的重要的支撑点,当前大多企业对于移动威胁的检测和防御并没有引入有效的解决方案。从移动威胁的发展趋势来看,基于移动终端设备或应用的跳板攻击倾向性非常明显,将移动终端、应用当成关键的攻击载体,在不同场景下配合实施更有力的攻击是一种行之有效的思路。伴随着各种BYOD设备在企业办公中开始普及并广泛使用,2017年移动威胁在企业级场景中可能会出现一定规模的增长。

5.4 移动勒索应用或将持续进化和迁移

  针对勒索软件,Google在Android 6.0和7.0版本的系统中进行了安全性改进,现阶段的移动勒索软件当中使用到的技术手段在未来可能会逐步退出舞台。只要用户更新到最新的Android 系统,即可在很大程度上抵御勒索软件产生的威胁。Google从系统源头上阻止了勒索软件的发展但是无法阻止恶意攻击者对攻击技术的进化升级。2017年移动勒索软件可能会向3个方向进化:与其它恶意攻击方式结合、通过蠕虫形式让勒索软件进行大面积传播、结合远程控制指令对更加精确性的攻击。Android端的勒索软件会包含PC端勒索程序或者携带物联网恶意软件,进行跨平台发展,尝试感染PC或者智能设备。攻击者信息更加匿名,此外,类似PC端的勒索软件恶意勒索时使用比特币作为货币,通过匿名网络支付比特币这种形态会向Android平台迁移。

5.5 业务欺诈威胁损害凸显

  2016年的“3.15晚会”上,“刷单”等网络黑灰产进入公众视野。从今年公开报道的一些案例来看,“刷单”已经对电商行业、O2O平台、运营商以及各类商家的业务造成了一些影响,同时也对相关企业造成较大的经济损失。

图25_副本

图25 业务欺诈案例

  2016年在移动终端出现了不少“刷榜”、“刷单”类的恶意程序,也在一定程度上促长了“刷单”这类业务欺诈给企业带来的危害。

  2016年7月出现了一类恶意推广刷榜的移动恶意代码“刷榜僵尸”[25]。该病毒在设备锁屏时对其进行Root,Root成功后向系统目录植入“刷榜僵尸”病毒,“刷榜僵尸”对指定应用在Google Play商店上进行恶意刷量,同时还会诱骗用户安装“下载者”病毒,“下载者”病毒会在设备屏幕亮起状态下弹出广告页面,若用户触碰广告页面,推广的应用将会自动安装运行。

  2016年双十一之际,腾讯手机管家查获5款病毒刷单APP[26]。这批恶意应用属于外挂类软件,启动后会申请手机root权限,让卖家根据需要设置宝贝搜索,如关键字、浏览器、掌柜ID等,以及浏览时间、货比三家等浏览设置,同时还被植入其它类型的恶意病毒。

  以上只是公开的“薅羊毛”案例当中的极少数代表案例,恶意“刷单”主要使用机器大规模的自动完成垃圾注册和登录,通过大量的恶意账号、手机号码、IP地址进行虚假交易,通过刷信用,买家套现等技术手段来套取利润。“刷单”产业链已经逐步职业化、专业化,在虚假交易产业链上,上下游分工明确,分工涉及手机服务商的验证、快递公司甚至欺诈团伙。互联网企业遭受的业务欺诈威胁问题已经开始凸显出来。

6 总结

  过去几年,是中国移动网络产业高速领跑发展的时代。以移动支付、移动社交、移动商务等为代表的移动互联网应用水平已经走到世界前列,移动基础设施建设也正经历高速发展和更新换代的阶段,中国自主品牌的手机产量也已经跃居全球第一,中国手机品牌正在获得全球用户认可。伴随着中国移动产业和应用的高速发展,移动威胁快速滋长。巨大的用户基数、较高的应用水平、全新的业务探索都必然导致中国用户面临的移动安全威胁风险规模前所未有,手段持续泛化演化,模式关联复杂深远,受损范围广阔深远。我国移动产业的发展速度和覆盖广度已经决定了在移动安全体系的整体推进上我们已经没有可以全面师法的对象,也已经没有必要跟着硅谷的所谓创新实践亦步亦趋。我们一方面需要加强全球移动安全共识和协作,一方面更需要走出自己的科学化、体系化移动安全发展道路。

  在2015年年报中,我们提出面对威胁精确化和离散化的现状,进一步加强用户侧对威胁的感知能力,可能是安全厂商的必由之路。通过威胁情报的分析、加工和分享,从而对威胁进行准确定性、定位、定量,来满足和解决特定用户群体所面对的特定安全威胁,提供对用户比较有效,甚至一劳永逸式的解决方案,这样的体系或许是未来的发展方向。过去的一年,我们继续致力于移动安全领域,加强对移动领域威胁的观察、感知、分析、追溯、处置和反思,持续以体系化的方式加强与移动威胁的对抗。这份年报也是我们持续观察和感知过程中的一些所见、所为和所思。

  移动互联网在过去一年仍然面临着恶意应用的持续威胁,新增威胁继续涌现,威胁手段持续进化,攻击者加强仿冒、社工欺诈、勒索手段、权限冒用、开源组件恶意利用等攻击手段的使用。同时存量威胁依然泛滥,电信诈骗拦截马、扣费、流氓、色情等威胁仍在持续演化和进化。这些恶意应用威胁在当前整个传播链条监管尚不十分完善的安全防护背景下,依然会造成巨大的安全风险和资产损失,大多时候只能依靠普通用户的自我安全意识提升来抵御威胁。面对这些威胁,在威胁检测,工程化对抗和基于海量数据的威胁情报作业上,我们已经有了比较充分的准备,能够在威胁早期甚至威胁出现之前形成可防御的能力,但这些能力手段,与我国庞大的网络资产规模和用户体量相比,还有赖于通过和产业、用户的进一步联动更好的发挥作用,同时仍需要持续地与市场需求、商业规律结合以找到自身独特的价值和生存空间。

  移动互联网系统也正经历着快速发展,网络制式、操作系统在短短几年间,发生多次代际升级和版本更新。沙盒、权限等安全机制的持续引入一定程度上对原有安全体系起到了增强作用,但由于威胁方式和手段的复杂多样,种类繁多,很多原有威胁手段依然有效,并进一步利用系统和网络的新特性新功能进行自我演进,比如传统恶作剧手段逐渐升级为勒索威胁、0-day甚至N-day漏洞攻击依然有效。从系统层面看,更多的还是依赖于更完善、全面、有效的整体安全规划和体系建设。在这个过程中需要系统规划和建设者与安全厂商密切协作,在系统的设计、实践中引入多种检测、防护、加固和阻断等安全手段和机制,在系统的使用中持续不断进行检测、阻断和升级完善。同时由于不同版本、地域、模式带来的碎片化问题,我们也在积极地通过归一化和定制化相结合、数据驱动和手段创新相适应的理念完善系统安全手段。

  移动设备与传统设备的一个关键的不同是信息承载的类型和价值——移动设备上有着与人更直接关联的数据信息。在互联网、通信网、物联网甚至工控网不断连接和融合的时代,不论是移动设备、移动系统、移动应用中对个人信息的泄漏,还是来自个人PC、企业组织内部信息系统、互联网服务信息等渠道的个人信息泄漏,这些数据和信息流最终都有可能经由黑色产业链对移动安全中的个人和组织造成威胁。因此对移动安全而言,进一步加强信息流中的安全监管和防范非常必要。通过对短信钓鱼、应用隐私泄漏、网络隐私泄漏、电信诈骗等威胁检测手段和管控制度的加强,可以在移动终端这个信息流的最终环节起到有效的威胁防范作用,这对个人隐私安全乃至移动APT防御都将大有裨益。

  移动安全体系的构建离不开移动产业供应链体系的协同。在供应链的设计、制造、销售、使用、回收等各个过程中,都有可能被引入安全威胁。每个环节被引入的安全威胁既有可能造成自身的安全损失,也有可能进一步造成其他环节的安全损失。因此通过芯片、设备、系统、应用、服务、网络等供应链中的各个环节加强安全手段,一方面可以有效对抗自身环节面对的安全威胁,另一方面也可以对其他环节的安全威胁起到防范作用。从威胁防护来看,安全厂商应该积极参与供应链的防护,为供应链中不同层次不同角色厂商提供基于威胁特性的针对性防护方案。针对芯片、系统等应该引入具有基础防御作用的安全方案,加强全局安全体系辐射作用;针对服务、网络等关键信息基础设施,应该加强对自身安全和信息流的防护,提供稳定安全的基础服务体系;针对应用、个人等,应该面向更具象的威胁提供检测和防护能力;通过不同环节的安全协作,增强整个供应链体系及其全生命周期的安全性,提升移动生态体系安全。

  由于安全威胁的复杂性,安全体系建设的艰巨性,这份报告中的部分观点可能并不成熟,但我们会持续在移动安全领域耕耘,为更加安全的移动安全环境贡献自己的力量。在这个过程中,我们不仅会坚持对关键、基础、共性、领先技术手段的持续创新,也会更加积极的开展产业协作,同信息流和供应链中的所有角色一起建设更加完善的移动安全体系。

  通过这些协作,我们坚信领先的安全技术能够转化为坚实的用户安全价值。我们将为用户提供更加有效的安全威胁情报,帮助用户掌握和感知威胁态势,同时为用户提供更加精准的安全解决方案,用领先的移动威胁检测和安全防护产品和服务,保护更多的用户。

7 典型的移动威胁事件时间轴

时间轴_副本

图26 2016典型的移动威胁事件表

附录一:参考资料

1提权广告件PermAd分析报告 http://blog.avlyun.com/?p=2228

2利用社会工程学绕过Android安全机制的银行木马 https://securelist.com/blog/mobile/75971/banking-trojan-gugi-evolves-to-bypass-android-6-protection/

3 Android Doze机制与木马的绕过方式 http://bobao.360.cn/learning/detail/3328.html

4 2015年电信诈骗损失高达222亿 打击犯罪需要各方合力 http://science.china.com.cn/2016-10/03/content_9070699.htm

5 病毒四度升级:安天AVL Team揭露一例跨期两年的电信诈骗进化史 http://blog.avlsec.com/?p=4248

6 腾讯移动安全实验室2016年第三季度手机安全报告 http://slab.qq.com/news/authority/1520.html

7 DressCode以手机终端作为跳板实现对企业内网渗透 http://blog.trendmicro.com/trendlabs-security-intelligence/dresscode-potential-impact-enterprises/

8 switcher对移动终端通过Wi-Fi接入的路由器进行暴力破解登录并实现流量劫持 https://securelist.com/blog/mobile/76969/switcher-android-joins-the-attack-the-router-club/

9 图片来源:Switcher攻击流程图 https://securelist.com/blog/mobile/76969/switcher-android-joins-the-attack-the-router-club/

10 首个移动终端上的针对性攻击事件 https://securelist.com/blog/incidents/35552/android-trojan-found-in-targeted-attack-58/

11 针对印度军方的“Operation C-Major”行动 http://blog.trendmicro.com/trendlabs-security-intelligence/operation-c-major-actors-also-used-android-blackberry-mobile-spyware-targets/

12 针对iOS设备的APT攻击 https://citizenlab.org/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/

13 Android银行木马GM Bot源码已泄露,可免费在线下载 http://bobao.360.cn/news/detail/2846.html

14 针对移动银行和金融支付的持续黑产行动披露 http://blog.avlsec.com/2016/04/3006/darkmobilebank/

15 Flocker移动勒索软件感染智能电视 http://blog.trendmicro.com/trendlabs-security-intelligence/flocker-ransomware-crosses-smart-tv/

16 第一个利用Apple DRM设计漏洞的iOS木马 http://researchcenter.paloaltonetworks.com/2016/03/acedeceiver-first-ios-trojan-exploiting-apple-drm-design-flaws-to-infect-any-ios-device/

17 2016年iOS公开可利用漏洞总结 https://jaq.alibaba.com/community/art/show?articleid=687

18 第三方公司解锁iPhone http://thehackernews.com/2016/03/unlock-terrorist-iPhone.html

19 AVTEST官网 https://www.av-test.org/en/antivirus/mobile-devices/android/

20 百脑虫”手机病毒分析报告 http://blogs.360.cn/360mobile/2016/01/06/analysis_of_bainaochong/

21 手机游戏之殇:被仿冒的不只是Pokemon Go http://blog.avlsec.com/2016/07/3381/pokemon-go/

22 脏牛漏洞 https://dirtycow.ninja/

23 Drammer漏洞 https://www.vusec.net/projects/drammer/

24 韩监管机构认可Note 7爆炸原因 都是电池惹的祸 http://tech.sina.com.cn/t/2017-02-06/doc-ifyafcyw0422049.shtml

25 拥有300万安装量的应用是如何恶意推广刷榜的? http://jaq.alibaba.com/community/art/show?spm=a313e.7916646.25000002.3.yG54pv&articleid=408

26 腾讯手机管家查获5款病毒刷单APP https://m.qq.com/security_lab/news_detail_382.html

附录二:关于安天移动安全

  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。

  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside移动反病毒引擎曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。

  安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与OPPO、VIVO、小米MIUI、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商建立合作,为全球超过6亿终端用户保驾护航。

  更多信息详见公司官网:www.avlsec.com

附录三:关于安天

  安天从反病毒引擎研发团队起步,目前已发展成为以安天实验室为总部,以企业安全公司、移动安全公司为两翼的集团化安全企业。安天始终坚持以安全保障用户价值为企业信仰,崇尚自主研发创新,在安全检测引擎、移动安全、网络协议分析还原、动态分析、终端防护、虚拟化安全等方面形成了全能力链布局。安天的监控预警能力覆盖全国、产品与服务辐射多个国家。安天将大数据分析、安全可视化等方面的技术与产品体系有效结合,以海量样本自动化分析平台延展工程师团队作业能力、缩短产品响应周期。结合多年积累的海量安全威胁知识库,综合应用大数据分析、安全可视化等方面经验,推出了应对高级持续性威胁(APT)和面向大规模网络与关键基础设施的态势感知与监控预警解决方案。

  全球近百家著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、超过六亿部手机提供安全防护。安天移动检测引擎是全球首个获得AV-TEST年度奖项的中国产品。 安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。

  安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案。

  安天实验室更多信息请访问: http://www.antiy.com(中文) http://www.antiy.net (英文)

  安天企业安全公司更多信息请访问: http://www.antiy.cn

  安天移动安全公司(AVL TEAM)更多信息请访问: http://www.avlsec.com

  转载请注明来源:http://blog.avlsec.com/?p=4474

更多技术文章,请关注AVL Team官方微信号

AVL-team二维码

安天移动安全&中国电信云堤联合报告《Dark Mobile Bank之钓鱼篇》

一、威胁趋势

在信息安全链条中,技术、管理等因素极大威胁着信息安全,而人为因素则是其中最为薄弱的一个环节。正是基于这一点,越来越多的黑客转向利用人的弱点即社会工程学方法来实施网络攻击。利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势。

网络钓鱼是社会工程学的一种形式,也是信息安全威胁中最久远、最常见的一种攻击方式。网络钓鱼历史悠久,其主要发展历程可以归纳如下:

  • 网钓技术最早于1987年问世
  • 首次使用“网钓”(phishing)这个术语是在1996年。该词是英文单词钓鱼(fishing)的变种之一,大概是受到“飞客”(phreaking)一词的影响,意味着放钱钓鱼以“钓”取受害人财务数据和密码
  • 2000年,通讯信息诈骗由台湾从沿海逐渐向内地发展,并迅速在国内发展蔓延
  • 2002年,著名黑客凯文·米特尼克推出一本关于社会工程学的畅销书,名为《欺骗的艺术》(The Art of Deception)
  • 2004年1月26日,美国联邦贸易委员会提交了涉嫌网钓者的第一次起诉
  • 2012年9月,中国首例入刑的“伪基站”案件出现
  • 2013年5月,短信拦截木马利用伪基站传播开始在全国范围内爆发
  • 2016年8月,罗庄徐玉玉通讯信息诈骗猝死案发生,引发社会关注

在电商购物、移动支付盛行的今天,网络钓鱼也发生了新的变化,不仅有传统的网站欺骗,还发展出移动平台钓鱼的新方式。相对于传统诈骗,移动平台的钓鱼手段更加恶劣,带来的经济损失也更为惨重。

作为移动威胁的一部分,移动钓鱼攻击已成为手机用户的重要威胁。经过三年多的发展变化,移动钓鱼攻击的技术及手段更加成熟。移动威胁最直接的受害群体是普通的个人用户,诈骗电话、钓鱼短信、手机病毒已经成为危害用户手机安全的主要威胁,其中针对个人用户的移动威胁当前主要是借助于伪基站钓鱼短信传播恶意代码;同时通讯信息诈骗犯罪持续高发,媒体也公开披露过多起致人死亡或涉案金额巨大的电话诈骗案件。

2016年,网站系统的脱库、撞库攻击频繁发生,各类信息及数据泄露的安全事件依旧层出不穷,且愈演愈烈。黑产之手已经延伸到普通百姓生活,用户的隐私和信息早已公然成为贩卖品,在黑市上肆无忌惮地买卖。个人隐私数据经过地下产业链的贩卖渠道,最后形成了各种地下社工库,信息和数据泄露事件不断上升。

随着移动互联网的快速增长和发展,移动广告、游戏和各类 O2O平台的迅猛发展,加之移动互联网企业以及监管部门在应对企业业务欺诈上的投入和打击力度不足,移动互联网企业在类似“刷单”,“刷榜”,“刷流量”,“刷日活”等“薅羊毛”类的业务欺诈的风险会进一步增长和扩大。

可以预见的是,在之后数年移动网络安全依然不容乐观,隐私泄露和移动攻击的泛滥和融合还会进一步加深,带来欺诈泛滥成灾,导致网络攻击威胁泛滥并进一步的加深。

二、威胁分析

如今,“网络钓鱼”非法活动已经不局限于网络方式,还会结合通讯信息诈骗等方式进行辅助攻击。比如泛滥成灾的“垃圾短信”和”诈骗电话“。部分诈骗短信以急迫的口吻要求用户对虚有的已消费“商品”进行买单,或者以熟悉的朋友、亲人的身份来要求用户提供帐号和密码。严格地说,它们都属于“网络钓鱼”的范畴。 经过长期的发展,网络钓鱼的手段非常多并相当复杂。归纳起来,大致有以下八种: 1_副本

在实际网络攻击过程中,以上攻击类型并不是独立存在,各自为营的,而是多种手段配合进行。

通常来说,我们将这8种攻击手段划分为两类,一类是传统钓鱼,包括钓鱼邮件、钓鱼网站、通讯信息诈骗、网购钓鱼;另一类是移动钓鱼,包括利用短信、恶意代码、WiFi钓鱼和针对iPhone手机钓鱼。接下来,我们将对这两类攻击手段进行详细分析。

2.1 传统钓鱼在移动平台更新迭代

传统的网络钓鱼攻击在PC时代就已经广泛流行,主要是通过电子邮件、钓鱼网站发送虚假广告等方式引诱用户提供身份证号、电话号码、网银账号、密码等敏感信息,另外还包括通讯信息诈骗、网上购物钓鱼等。随着移动互联网时代的到来,传统钓鱼也在新平台发生了新的变化。

2.1.1 钓鱼邮件表现萎靡

电子邮件出现在70年代,长久以来也早已成为诈骗者和黑产从业人员渗透人们生活和工作的利器,给个人甚至组织机构都造成了严重的安全威胁。大致来说,钓鱼邮件可以分为以下三个类别:链接钓鱼邮件、附件钓鱼邮件和仿冒邮件。

1、 链接钓鱼邮件

链接钓鱼邮件多以嵌入钓鱼链接的欺诈邮件引诱用户,如黑客发送大量欺诈性邮件,以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码。

2、 附件钓鱼邮件

附件钓鱼邮件会诱导收信人下载带有病毒的附件,附件类型包括Html网页文件、Exe/Scr文件、Doc文件、Excel文件、PDF文件等。在大量披露的APT攻击中,攻击者经常使用含有漏洞利用代码的Office、PDF文档作为攻击载荷对目标进行钓鱼攻击。

3、 仿冒邮件

40多年前,电子邮件创造之初,设计和协议使用上并没有考虑安全性,没有制作任何验证用户身份真实性的措施,只要稍作处理,发件人就可以伪装成任何身份给任何人发送邮件,因此邮件很容易被冒充或仿冒,这类邮件也是识别难度、追踪难度最高的邮件钓鱼攻击方式。

如今,一方面由于电子邮件太过古老,落后的技术和不适宜的用户体验使其正面临大量普通用户的丧失;另一方面,在移动时代里随着社交工具的流行,电子邮件也已经失去了其赖以生存的天然土壤,因此传统的邮件钓鱼在移动平台整体表现萎靡。

2.1.2 网站钓鱼结合伪基站成为重灾区

在当前我国的互联网环境下,传统钓鱼网站最常见的攻击方法有两种:一种是假冒中奖的钓鱼网站,主要特征是以中奖为诱饵,欺骗用户汇款或诱导用户填写真实的身份信息和账号信息等;另一种则是假冒网上银行、网上证券网站等,诱导用户登录并输入账号密码等信息,进而通过真正的网上银行、网上证券系统等盗取资金。

随着移动时代的到来,以及媒体对恶意钓鱼攻击的持续报道,传统的钓鱼攻击逐渐被网民熟识,简单的信息诱骗和相似网站内容的欺骗已经很难成功实现钓鱼攻击了。在这种情形下,攻击者使用钓鱼攻击的手法也发生了演变,最明显地是出现了大量的适配手机界面的钓鱼网站。下图为建设银行、招商银行和工商银行的手机钓鱼网站界面,无论从内容上还是形式上都与正规银行网站极为相似。 2_副本

此外,针对移动平台的网站钓鱼也由原来的简单信息欺骗、中奖诱惑等单一性的钓鱼欺诈,转变为目前流行的伪基站传播钓鱼网站挂马的形式。这类钓鱼网站利用伪基站仿冒官方短信号码如10086、95533传播钓鱼网站,用户往往无法判断出短信的真伪,从而点击访问钓鱼网站,而网站通常都是高仿官网页面,主要用于诱导用户下载仿冒的客户端应用程序。

在此类攻击中,银行网站一直是钓鱼网站的重灾区。为有效对抗钓鱼网站,中国电信云堤和安天实验室长期以来对互联网络的钓鱼站点进行了持续监控。下图展示了2016年钓鱼网站数量的变化情况。 3_副本

其中,2016年仿冒应用Top10 如下图所示: 4_副本

从图中可以看出,受影响程度占比最重的部分均为国内知名度很高、用户范围广泛的大型银行和运营商,也都是伪基站经常仿冒身份传播的钓鱼网站内容。

2.1.3 通讯信息诈骗持续升温

2016年通讯信息诈骗案件呈持续高发态势,比如震惊社会的徐玉玉通讯信息诈骗案、清华老师被诈骗1760万等案件,其资金损失数额巨大,甚至伤及人命。因此通讯信息诈骗引发了社会各界的广泛关注。

通讯信息诈骗大部分为广撒网钓鱼,成功概率低,但由于人数基数大,总有人上当。但是当攻击者掌握了受害者的真实信息,如姓名、公司的职位、邮箱、银行账户等重要隐私信息,这在一定程度上大大提高了钓鱼攻击的成功率。

攻击手段上,“情景构建”类钓鱼攻击在最近几年比较流行。例如“明天到我办公室来一趟”或”钱打我这个账号上“;又如最近爆发的徐玉玉案。这种“场景构建”的前提是需要获取受害人一定的事实信息。精细化攻击通常需要预备好特定的攻击剧本,同时也需要一定的运气,最典型的场景就是谎称公安、检察院、法院工作人员实施诈骗。

随着移动互联网的高速发展,通讯信息诈骗手段也随之发生了相应的变化。 AVL Team就曾披露过一系列结合Android恶意代码的通讯信息诈骗攻击,该攻击通过在受害者手机上显示一张伪造的最高人民检察院发布的电子凭证,恐吓受害者因涉嫌犯罪需要接受调查,如下图所示。 5_副本

防范意识薄弱的受害者可能会直接相信对方,但即便被害人具备足够的防范意识,诈骗者依然有办法逼其就范,他们会劫持受害者手机的报警电话,在被害者拨打110确认时,电话那头依然是诈骗者,环环相扣,使受害者信以为真,最终落入攻击者圈套。下图为相关代码片段截图: 6_副本

2.1.4 网购钓鱼重在隐私泄露

据CNNIC发布的第38次《中国互联网络发展状况统计报告》显示,截至2016年6月,我国网络购物用户规模达到4.48 亿。网络购物为快节奏的都市生活提供了极大的便利,但人们在享受这种便捷生活的同时,也面临着个人信息泄露以及相应的网购钓鱼攻击的风险。

早期攻击者常常利用虚假的购物信息进行诈骗,一般是通过在知名的大型购物网站上发布虚假的商品销售信息,并以所谓“超低价”、“免税”、“走私货”、“慈善义卖”等名义出售各种产品为由诱骗受害者掉进诈骗陷阱。由于网上交易大多是异地交易,需要线上汇款,攻击者一般要求消费者先付部分款项,再以各种理由诱骗消费者支付余款或者其他各类名目的款项,攻击者得到钱款或被识破,就立即销声匿迹。

随着网购的成熟,虚假信息诈骗已经难以有效实施攻击,取而代之的是大量的因隐私泄露而导致的网购诈骗,比如快递公司员工泄露用户姓名电话地址;黑客入侵快递公司数据库、破解卖家和买家常用账号密码、窃取大量用户消费交易记录等,此类用户重要隐私信息都会被攻击者用于实施网购钓鱼攻击。最为常见的网购诈骗案件通常发生在消费者网购付款成功后的一两天内,消费者会接到自称是网店客服的电话,称由于淘宝系统正在升级导致订单失效,需要先退款再购买,并能准确说出消费者购买的商品名称、收货地址、电话以及所有订单信息。由于诈骗者所述信息准确,消费者通常不会怀疑,并会打开对方发来的伪造的退款链接,并按提示输入银行卡号、密码、手机号及短信验证码等信息,最终导致资金被盗。

2.2 移动钓鱼数量持续攀升

由于移动平台的特殊性,移动终端的钓鱼方式也比传统钓鱼增加了一些新特征,其中最典型的就是攻击者通过伪基站伪装成10086等发送钓鱼短信,而移动平台的钓鱼数量也在持续攀升。

2.2.1 伪基站短信钓鱼爆发

通过短信发送钓鱼信息的攻击方式由来已久,手机用户以往只需要识别发送号码即可轻易防范。但自从伪基站攻击全面爆发后,攻击者可以使用伪基站伪装成任意号码如:任意银行的短信服务号来发送通知短信,这些号码具有极强的迷惑性,普通用户根本无法分辨,给用户带来了极大的安全威胁。

目前流行的伪基站都属于GSM协议,由于国内以GSM等协议为主要载体的用户群体数量仍然庞大。因此在短期内以伪基站为传播渠道、诈骗短信为载体的威胁仍将持续泛滥。

下图统计了2016年1月至12月钓鱼短信的类型分布。从中可以看到中奖诈骗类钓鱼攻击占比接近30%,其次则是恶意代码、银行钓鱼、澳门博彩、微商淘宝等占据大半,最后则是少量的社工诈骗和Apple ID钓鱼。 7_副本

钓鱼短信攻击目标明确,攻击方式固定,简单来说,有以下几种类型: 8_副本

2.2.2 利用恶意代码钓鱼是主力

随着Android和iOS系统的发展,攻击者利用恶意代码进行攻击已经成为移动钓鱼的主要威胁之一。

2.2.2.1 短信拦截木马持续发酵

短信拦截木马威胁从2013年开始爆发并持续发酵。到2015年,短信拦截木马类威胁事件数量呈现明显增长,到2016年开始呈现高速爆发的趋势,而在年中由于G20峰会等管制严格出现一段低谷,到2016年年底继续爆发。如下图所示: 9_副本

近几年,短信拦截木马类威胁事件已经形成一套非常固定的攻击模式。 10_副本

短信拦截木马攻击模式:

  • 主要通过伪基站投放伪装成商户、银行等号码发送的钓鱼欺诈短信;
  • 以短链接或者仿冒的网址诱骗受害者打开钓鱼网站;
  • 钓鱼网站诱骗受害者填写部分个人信息并窃取;
  • 诱导受害者下载安装木马程序;
  • 木马程序以发送短信或者发送邮件的方式窃取短信内容,并最终窃取受害者的在线金融资产。

关于短信拦截木马地下产业,AVL Team曾在《针对移动银行和金融支付的持续黑产行动披露——Dark Mobile Bank跟踪分析报告》中指出,短信拦截木马的威胁活动最早出现于2013年5月,进行了接近3年的持续有效的大规模威胁和攻击,涉及人员可能接近十万人规模,并形成了分工明确的产业体系。在过去接近3年的持续攻击中,短信拦截木马攻击影响范围在1亿人以上,其中累积超过100万用户不幸被感染和控制,地下产业链的整体规模应该在接近百亿的规模,影响的资产危害面接近千亿规模。

具体来说,拦截木马总体威胁如图所示: 11_副本_副本

2.2.2.2 仿冒已成恶意代码标配

为了提高欺诈和钓鱼攻击的成功率,攻击者采用了大量的伪装和仿冒技术,通过仿冒正版的钓鱼移动应用程序,进而截获、捕捉用户输入数据,非法入侵用户互联网账户系统。

攻击者开发的仿冒APP主要伪装成农业银行、建设银行、招商银行、交通银行、工商银行等银行名称或图标,其中还有一部分木马程序会直接伪装成银联安全证书或者银行控件的应用名称。 12_副本

根据移动威胁情报平台应用数据,通过检索仿冒“银行”程序名的恶意应用发现,自12月份以来,感染用户达到1546人。统计仿冒的银行应用程序名TOP10如下: 13_副本

该类攻击手段通常为直接仿冒应用登陆界面窃取银行账户数据,和通过劫持登陆界面窃取银行账户数据两种方式。

相对于单纯的仿冒银行应用界面来说,通过劫持登陆窗口的方式目的性更强。劫持登录窗口主要是通过攻击银行应用来窃取银行账户数据。在界面仿冒上多以HTML来布局,这种攻击手段更加灵活隐蔽(该攻击手段适用于:安卓系统版本低于5.0)。 14_副本

2.2.2.3 利用漏洞欺诈难以防范

攻击者通过利用系统漏洞的恶意代码也可以导致钓鱼欺诈。

比如2012年北卡罗来纳州州立大学研究员发现了一个存在于Android 平台的“短信欺诈”漏洞,该漏洞可以允许应用在Android平台上进行短信伪装。通过利用该漏洞,攻击者可以私自篡改短信内容并实施诈骗。该漏洞对Android 4.1以下版本均有影响,由于短信欺诈漏洞属于Android系统漏洞,几乎影响了所有其他三方手机厂商。

相对Android系统漏洞来说,大量存在漏洞的APP也会导致用户遭受钓鱼攻击,如APP如果没有做防钓鱼劫持措施,此APP就会被攻击者利用,通过劫持应用程序的登录界面,获取用户的账号和密码,导致用户账号信息的泄露。

iOS平台同样存在此类风险。例如攻击者在未越狱的iPhone 6上进行钓鱼攻击并盗取Apple ID的密码,利用该漏洞恶意代码可以在其他应用包括App Store中弹出来伪造的与正规应用一模一样的登录框,所以用户很难察觉,用户会习惯性输入Apple ID的密码,最终导致帐号被盗。

2.2.2.4 移动APT攻击崛起

随着移动终端的智能化和普及,移动智能终端将更多地承载不同人群的工作和生活,更多的高价值信息都将附着于移动智能终端,移动平台也早已成为了APT攻击的重点目标。

APT,即高级持续性威胁,一般是国家间或国际公司间为了特定目标,由顶级黑客组织发起的持续攻击,鱼叉式钓鱼攻击是APT攻击者的首要攻击向量。鱼叉式网络钓鱼主要是向是公司内部的个人或团体发送看似真实的电子邮件。邮件附录多含有隐私窃取的恶意代码,甚至包含office、pdf等0day漏洞的利用。

2016年3月,多家安全厂商披露了一个以印度军方或政府人员为攻击目标的攻击组织,这个组织除了具备对PC平台的针对性攻击行为的能力,还发起了针对移动平台的攻击活动,使用了包括Android以及BlackBerry平台的攻击木马程序,并重点以收集和窃取攻击目标的身份信息和隐私数据为目的,此次针对移动平台的攻击采用结合社会工程学的钓鱼网站及仿冒APP挂马等方式进行攻击投放。

2016年8月Citizen Lab公布了一起名为“三叉戟”(Trident)的移动APT事件,报告称是对阿联酋人权活动人士进行的定向攻击,该工具由以色列公司NSO Group 开发并为政府所用,利用3 个iPhone 0day实现通过访问网页来完成攻击武器的植入和潜伏,可以有效刺破iOS的安全机制,抵达内核,完全控制手机,能在用户完全无法毫无察觉的情况下窃取设备上所有隐私数据。这是在移动平台最为典型的APT攻击事件,也是苹果历史上第一次公开披露的针对iOS的APT 0day攻击,而该攻击正是通过发送短信钓鱼引诱受害者访问某恶意站点进行攻击的。

2017年或将进入移动APT元年,移动APT由过去协同Cyber攻击逐渐转向独立前置性的攻击和前奏,基于移动军火商和改用商用间谍木马依旧会作为重点的攻击武器,移动APT会继续围绕监听和数据窃取为目的,针对高价值人群以及特殊行业的定向攻击开始真正崛起。

2.2.3 WiFi钓鱼影响扩大

2015年央视3.15晚会曝光了黑客如何在公共场所利用“钓鱼WiFi”窃取用户隐私数据,最终导致财产损失的黑幕。触目惊心的现场演示让许多人对公共WiFi上网安全产生恐慌,也让WiFi钓鱼这一攻击方式开始广为人知。

许多商家、机场等通常会为客户提供免费的WiFi接入服务,消费者通常也会为节省流量而接入其中。免费WiFi给消费者提供了便利,对于攻击者而言却是绝佳的攻击场景。其中最简单的攻击场景是提供一个名字与商家类似的免费WiFi接入点,吸引网民接入。一旦连接到黑客设定的WiFi热点,用户上网的所有数据包,都会经过黑客设备转发,这些信息会被截留下来分析,没有加密的通信数据就可以直接被查看。

除了使用免费WIFI钓鱼之外,攻击者还可以破解家用无线路由器,接手控制无线路由器管理后台,进而对家庭WiFi执行隐私监听、植入广告或恶意代码、网络劫持到钓鱼网站等攻击。

WiFi钓鱼属于中间人攻击,主要通过劫持受害者流量进行恶意行为。具体来说有以下几种:

  • 窃取隐私。通过黑客提供的WiFi上网时,用户上网的所有痕迹都会被监听,比如新闻、相册、浏览朋友圈、刷微博、逛淘宝等。
  • 网站劫持。攻击者可以将用户正在访问的网站劫持到精心构造的仿冒网站,从而获取用户提交的帐号密码等隐私信息,这种情况就极可能产生直接的经济损失。
  • 身份冒用。当受害者掉进WiFi陷阱后登录微博账号,攻击者可以直接劫持访问令牌,不需要得到帐号密码即可直接用受害者的身份登录微博,进而执行钓鱼攻击。
  • 流氓广告。攻击者劫持通信后,可以给受害者访问的所有网站植入广告。
  • 植入木马。攻击者劫持流量后,当用户下载安装app时,攻击者可将APP替换为精心构造的恶意代码,从而达到植入木马的目的。

2.2.4 iPhone钓鱼产业呈现

苹果用户的Apple ID是苹果全套服务的核心账户,贯穿于iCloud、iTunes Store、App Store等服务。其中iCloud是苹果的云服务,实时保证用户苹果设备上的文档、照片、联系人等资料同步;提供与朋友分享照片、日历、地理位置等的接口;还能用来找回丢失的iOS设备。故而针对iPhone的钓鱼攻击也基本都是围绕着Apple ID进行的。常见的iPhone钓鱼有以下几种情况:

  • 伪造Apple相关网站,通过伪基站等方式广泛发送钓鱼信息,进而窃取受害者的iCloud账号密码,最终远程锁定受害者设备进行勒索。
  • 用户iPhone丢失或被盗,流入二手市场,黑客从设备获取到用户iCloud账号和手机号码等信息,从而有目标的投放伪造Apple相关网站,钓鱼窃取用户的iCloud密码最终解锁用户设备。
  • 在获取到受害者的iCloud前提下,利用iOS的iMessage、日历推送、照片共享等功能给用户推送大量的垃圾信息或钓鱼信息。

15_副本

2.2.4.1 iPhone勒索威胁加深

移动平台的勒索,主要分为Android平台的恶意代码勒索和iOS平台的iCloud钓鱼勒索,Android平台的勒索件通常表现为恶意锁屏和加密磁盘文件;而iOS平台的勒索则是基于Apple的iCloud账号进行的。

由于Apple的安全机制,当用户的Apple ID被盗取后,若其被盗取账户密码与邮箱密码一致,那么基本上就能很轻易的将受害者的设备锁上,被锁后通常只能联系苹果客服同时出示购买证明才有可能将其解锁还原,否则就只能乖乖地缴纳赎金,换取设备的解锁口令。

除了锁定勒索之外,还有如好莱坞女星iCloud被暴力破解后其上传至iCloud账户的艳照泄露而遭到勒索的案例发生。

以iCloud勒索攻击流程为例,其数据流转以及获利情况分析如下: 16_副本

第一类是钓鱼网站开发者,通过向他人提供钓鱼网站服务器、服务器空间获利。

第二类是钓鱼网站使用者,他们通过钓鱼网站搭建自己的钓鱼平台,通过受害人发送钓鱼链接的方式,获取受害人苹果ID及密码,再将账户和密码出售给敲诈勒索人员获益。

第三类是敲诈勒索人员,该类人从钓鱼网站或者通过社工库撞库等方式获取到受害者ID密码后,登陆iCloud官网,远程锁定受害人使用的苹果设备,使其无法使用而敲诈勒索获利;

第四类是二手手机收购人员,此类人员自称二手机收购者,获取到丢失和被盗抢的手机后,通过钓鱼方式获取苹果ID账户密码而解锁设备,进行二次销售。

2.2.4.2 澳门博彩泛滥成灾

有不少iPhone用户都曾在日历以及照片共享中收到过一些莫名的垃圾广告,由于iOS的iMessage、日历推送、照片共享等分享功能可以在已知对方iCloud账号的前提下以几乎无成本的方式给用户推送信息,而这些都是常规功能,且都是默认开启的。因此催生了利用这些共享功能进行营销的黑产,其中最为典型的是澳门博彩,这类网站通常通过博彩获利或者其本身就是一个进行信息窃取或诈骗的钓鱼网站。 17_副本

对于此类流氓推送信息,用户可以采取措施如下:

  • 修改iCloud邮箱为未泄露的全新邮箱
  • 设置—iCloud—日历—关闭日历同步
  • 设置—iCloud—照片—关闭iCloud照片共享

2.3 隐私泄露为钓鱼攻击重要帮凶

2016年针对网站系统的脱库、撞库攻击频繁发生,各类信息及数据泄露的安全事件依旧层出不穷,且越演越烈。个人信息泄露对社会生活的影响也通过“徐玉玉”事件让公众有了深刻的认识。而无论传统PC还是移动平台,隐私的大面积泄露,已经成为网络钓鱼威胁当中重要的帮凶和支撑性的环节。 18_副本

由于用户隐私信息的重要性,大量地下产业从业者以此获利,而且形成了一条分工明确、操作专业的完整的利益链条。黑色产业链不仅完成了对数据的原始积累,更开始通过大数据计算等方式对数据进行加工和非法利用。

黑客非法获取用户隐私信息,然后会联系相关的培训机构或诈骗团伙,把手上的数据转卖到下游。这里面还有大量二道贩子的存在,在中间赚取差价。而下游这些团队,有专人负责诈骗的话术编写培训、线上通过第三方支付平台洗钱、线下ATM机提款等。

以下列举日常生活中最为常见的隐私泄露场景,无论个人用户还是相关企业、政府部门都应对此类情况有所防范:

2.3.1 防不胜防的被动泄露

1、恶意代码

移动平台恶意代码的主要行为,体现出恶意代码的趋利性。Android平台短信拦截木马的泛滥直接导致隐私窃取类的恶意代码数量增长明显,攻击者通过窃取用户银行账户、密码等重要隐私信息,最终给用户造成资金损失,并且大部分攻击在获得银行用户账户资料后,还会进行出售倒卖。而移动APT攻击更是围绕监听和数据窃取为目的,针对高价值人群以及特殊行业进行定向攻击。

2、购房信息

近年来,各类手机骚扰信息令用户不胜其烦,其中数量最多的是卖房、装修和房贷信息。 不少新房业主都应该有这样的经历,刚刚买房电话即被“打爆”,不胜其扰。

房产业主的信息很受一些投资公司、装修公司、房地产中介的“青睐”,且能接触到购房信息的工作人员有很多,从开发商、销售、银行、物业、中介、房管局、装修公司等每一个环节都可能造成泄露,可谓防不胜防。

3、教育机构

徐玉玉案件是教育机构的隐私泄露最为典型的案例,诈骗分子不但知道她的电话号码,还知道她要上大学、知道她获得了助学金。可以看出,诈骗分子掌握了受害者的精准信息,而这种“精准”正是源于个人信息的泄露。

个人信息泄露的渠道主要有三种:一是接触到数据的工作人员人为泄密,二是黑客入侵获取数据,三是提供服务的第三方获取数据后泄密。

通讯信息诈骗,“诈”出了相关部门和电信运营商的监管漏洞,也“诈”出了个人信息泄露问题。防范通讯信息诈骗要根除其背后的黑色链条,一方面要加强对通讯信息诈骗行为的监管与追责,另一方面要整治个人信息泄露及倒卖行为。

4、网购

电商平台,一直是数据泄漏的重灾区之一。

2014年年初,支付宝被爆20G用户资料泄漏。后经调查,此次泄漏是“内部作案”:支付宝前技术员工李某,利用职务之便,多次在公司后台下载用户资料。这20G资料,包括用户个人的实名、手机、电子邮箱、家庭住址、消费记录等,相当精准。

2015年,京东就被曝出大量用户隐私信息泄露,多名用户被骗走数额不等的钱财,总损失达数百万。直到一年后,京东才公布调查结果,称是因为出现“内鬼”。所谓的“内鬼”,是3位物流人员,通过物流流程,掌握了用户姓名、电话、地址、何时下单、所购货物等信息,总数据达到9313条。

不久前,黑市又曾出现疑似京东12G的数据包开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。

5、其他三方网站APP

2015年2月,国外媒体披露,优步(Uber)5万名司机的个人信息被不知名的第三方人士获取,包括社保码、司机相片、车辆登记号等信息;4月,遍布19个省份的社保系统相关信息泄露达5279.4万条,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息;9月,部分支付宝用户发现帐号异地登陆,实为撞库所致,虽然支付宝对资金有保护,但依然给用户造成困扰;10月,网易邮箱的泄露,导致大量iPhone用户遭到远程锁定勒索的威胁。

数据的泄露往往很难确认是“内鬼”还是“黑客盗取”,不论是内鬼作祟还是黑客攻击,无非都是利益驱动。这些泄露的数据,最终以各种方式,成为不法分子获利的工具。

对于电商或其他三方平台而言,加强内部管理、检测修补系统漏洞防范黑客攻击、及时止损并提醒用户修改账号密码以避免用户再次受伤,保护用户隐私信息任重而道。

2.3.2 社交过程中主动泄露

不少“重度社交网站”用户,往往都喜欢在微博、朋友圈等发各种照片,这也会暴露种种隐私信息、人际关系、时间地点等。

在美剧《疑犯追踪》中,有一个名为“Machine”的系统,“Machine”通过收集整理来自社交网站信息、政府部门里的个人身份信息、遍布全国的视频公用和私人摄像头的监控录像、电话的信息,以找到恐怖袭击嫌疑人,并在其行动之前将其抓获破解。其中社交网络是其获取信息的重要来源之一。

虽然目前来说,“Machine”还算是科幻设备。但是它所涉及到的技术其实都已可以实现,如人工智能技术、大规模数据处理、图像识别技术等等。

You are being watched,在这个早已没有隐私的时代,尽量减少一点对个人隐私的泄露也是一种自我保护。

三、应对建议

近年来,随着钓鱼攻击的手段日益复杂,事件持续高发,让广大企业和许多受骗者蒙受了巨大损失,严重影响人民群众财产安全感。

从建立23个部门和单位参加的部际联席会议,到健全涉通讯信息诈骗犯罪侦查工作机制;从深化跨境跨区域警务合作,到建立电话通报阻断及被钓鱼资金快速止付机制。可以说反钓鱼、防诈骗已成为各级政府和企业在安全领域的重点工作之一。作为反钓鱼技术研发与服务提供商,中国电信云堤与安天移动安全针对国家监管机构、运营商、银行和公众用户在应对钓鱼风险时,提出如下建议:

3.1 监管机构

  1. 国家和行业“反钓鱼、防诈骗”监管机构部牵头组织相关单位与“中国反钓鱼网站联盟”的互动对接和信息共享机制。实现官方“打钓” 与非官方“打钓”的优势互补,达到快速、及时的效果。

  2. 集中整治用于非法采集银行卡信息的钓鱼网站、恶意程序(APP),对拒不整改或者违法情节严重的互联网站,依法吊销相关电信经营许可或注销网站备案。

  3. 加强运营商、金融机构等行业、企业与公安机关的合作联动,在行业监管部门的统一指挥下,坚持技术手段、规范管理与防诈骗宣传三位一体,多措并举,持续深入开展防范打击通讯信息诈骗工作,为维护客户的合法权益作出贡献。

  4. 完善网络法律法规打击网络钓鱼犯罪,并大力宣传有关互联网方面的法律法规,培养公众用户的法制观念,提高防范意识,不给钓鱼网站的建立制造便利。

3.2 运营商

  1. 进一步落实实名制、特服号码的严格管理、网络异常预警等措施。同时,加快移动通信基站的升级,加速4G网络的普及,在用户通信信道上彻底规避2G伪基站的侵扰。

  2. 从网络层面增强对威胁寄生渠道的监测和阻断,建立并完善恶意代码监测及拦截,通过域名甄别、网络数据分析等技术手段在DNS入口和网络侧及时切断钓鱼网站的访问,并对公众用户提供有关通信信息诈骗的及时预警,降低网络钓鱼的成功率,有效打击网络诈骗行为。

  3. 通过深度的网络数据分析挖掘,为金融企业实施精准风控提供有益输入。

3.3 银行金融机构

  1. 识别可疑账号,依法关停一批发布银行卡信息非法买卖交易的网站和网络账号,清理网上非法买卖银行卡信息的有害信息。

  2. 加强在线支付认证安全,研发新的认证方式,避免因手机短信动态密码被恶意代码泄露而导致用户资产损失。

  3. 及时鉴别诈骗行为,为客户的资金安全设置防骗门槛。当不同地方银行账号短时间内向同一银行账号密集汇款时,及时弹出提示预警框,提醒客户防诈骗甚至中止转账汇款,并引导客户向有关部门查询核实。

  4. 加强社会公众安全使用银行卡的宣传教育,实现银行卡风险宣传教育的常态化和持续化。

3.4 消费者

当前,在面对钓鱼等社会工程学入侵时,作为消费者的公众用户的防御手段和防护意识都相对单一和薄弱。要想避免成为钓鱼诈骗的受害者,一定要加强安全防范意识,提高安全防范技术水平,首先在提高防范意识方面:

在受钓鱼网站欺骗后要第一时间报警,任何攻击的手段都会留下蛛丝马迹,及早报案,是保护自己权益的最好手段。

提高安全意识,养成良好安全习惯,同时建立安全的密码管理体系,避免因短板移动威胁造成大规模资金损失的情况。

提高对移动安全事件的关注度和敏感度,对与个人关联的事件进行紧急响应,做好事后止损的工作。

另外,在防范措施方面公众用户应重点关注几个方面:

1.防范垃圾邮件:

  • 通常情况下,任何政府、企业都不会以邮件或者链接方式让用户提供用户名和密码;
  • 钓鱼邮件里提供的链接地址域名需注意甄别;
  • 不随意打开不明来源的邮件附件和点击邮件正文中的可疑网址链接,不要随意打开内容可疑的邮件附件(Word/PDF/zip/rar等)

2.防范wifi钓鱼:

  • 在不使用WiFi连接时,关闭手机无线网卡。
  • 在访问或者使用带有交易性质的网银或电商应用时,应尽量使用运营商提供的2G、3G、4G数据上网,避免使用公共WiFi,不在公共WiFi环境下载安全软件。
  • 安装手机安全软件,拦截可能的手机病毒和钓鱼网站攻击。

3.安装防病毒系统和网络防火墙系统:

  • 多数反病毒软件都具有对包括间谍软件、木马程序的查杀功能
  • 防火墙系统监视着系统的网络连接,能够杜绝部分攻击意图并及时报警提醒用户注意

4.及时给操作系统和应用系统打补丁,避免黑客利用漏洞人侵电脑,减少潜在威胁。

5.从主观意识上提高警惕性,提高自身的安全技术:

  • 要注意核对网址的真实性,注意网站域名以及https等信息
  • 要养成良好的使用习惯,不要轻易访问陌生网站、黄色网站和有黑客嫌疑的网站
  • 拒绝下载安装不明来历的软件
  • 拒绝可疑的邮件
  • 网购时及时退出交易程序,做好交易记录及时核对等等。

参考URL

  • http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201608/P020160803367337470363.pdf
  • http://www.freebuf.com/vuls/78595.html
  • http://blog.trendmicro.com/trendlabs-security-intelligence/operation-c-major-actors-also-used-android-blackberry-mobile-spyware-targets/
  • https://citizenlab.org/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/
  • http://blog.avlsec.com/2016/04/3006/darkmobilebank/

关于中国电信云堤

“云堤”是中国电信集团推出的网络安全产品服务品牌,由中国电信网络安全产品运营中心总体负责品牌运营和旗下产品研发。中国电信网络安全产品运营中心成立于2015年1月,是中国电信集团旗下基于运营商网络能力研发并运营网络安全产品及服务的创新机构。目前,“云堤”下辖:云堤-抗D、 云堤-域名无忧、云堤-反钓鱼、云堤-网站安全专家等多款安全服务产品。

2015年以来,“云堤”获得了多个行业领域的权威技术奖项和表彰,并为“G20杭州峰会”、“世界互联网大会”等重大活动提供了系列安全服务。目前,“云堤”已为超过2000家的国内外重要政企客户提供全面、优质的网络安全服务。

关于安天移动安全

安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。

安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报大数据平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。

安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与OPPO、VIVO、小米MIUI、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外50多家知名厂商建立合作,为全球6亿终端用户保驾护航。

转载请注明来源:http://blog.avlsec.com/?p=4445

更多技术文章,请关注AVL Team官方微信号 AVL-team二维码