Monthly Archives: 三月 2018

2017年安天移动安全年报—起承转合间的方兴未艾与暗流涌动

1 序言

  2017年,全球范围内信息安全状况呈现出了逐渐恶化、不容乐观的严峻趋势:随着互联网所承载的To C服务类型日益增多,以及各类服务的覆盖面和用户粘性日益加深,传统信息安全预警下的“业务数据风险”转嫁到“用户数据风险”的可能性相较先前变得更高,各业务系统中不同类型的的用户数据如用户行为数据、用户特征数据等有可能成为“定时炸弹”,给用户本体带来极大的安全风险。

  过去十年间,诸如iOS,Android,Symbian及WP/WM平台等移动操作系统的出现带动了各类通讯设备由非智能向智能的跨跃性发展,而藉由第三代UMTS/第四代LTE高速蜂窝通信网络为发展信道,又带动了移动互联网及其相关产业的迅猛发展,其中移动商务、移动社交、移动支付等互联网应用飞速占据用户日常生活的方方面面,使得用户与设备间的绑定关系日益增强。

  这一趋势中,中国作为互联网及互联网产业大国,各类经由互联网To C的服务面在全球范围内尚处领先,覆盖到的用户数量极为庞大,尤其以透过移动应用(也即俗称的App)及HTML5手机站点使用服务的用户为主;与此同时,国内互联网公司亦常常扮演互联网新业务实践与业务模式探索的先行角色。因由“业务先行”的探索理念,在这些新业务上线运行过程中,其业务安全、业务数据安全及用户隐私保护等在其他领域较为成熟的安全体系建设则往往无法到位,甚至互联网公司本身就扮演了过度保存并滥用用户隐私数据的角色。这就导致大多数时候,用户一方面使用着为生活带来各类便利的新兴互联网服务,另一方面则面对着来自于多渠道、多种类的信息安全风险而不自知。

  在移动产业发展的巨大变革过程中,信息安全的“攻”与“守”之道往往也是共生并进的。2017年,移动安全和威胁对抗不断迈入新的阶段,而所谓“方兴未艾”与“暗流涌动”,也能够很好地体现于此:

  •针对移动网络,除持续对普通用户信息安全造成影响的传统电信诈骗之外,更衍生出了基于仿冒应用、短信拦截木马、短信蠕虫等针对智能手机用户的精准电信诈骗,且近年来俨然成为一种常态化威胁,新增的受害用户数量不可小觑;

  •近一两年,随着PC端出现诸如WannaCry(魔窟)等目标明确、影响广泛的勒索软件,移动终端也出现影响较广的加密勒索软件、隐私窃取及控制软件等,不仅对用户数据安全造成致命威胁,给用户带来各种形式损失,还可能使用户终端设备沦为僵尸网络节点,遭到攻击者的全盘控制,影响极为严重;

  •部分商业利益或政治因素驱动的移动终端恶意软件(往往以潜伏的APT或类APT形式被发现)出现更为频繁,这些恶意软件往往具备攻击的精确性、战术性及较完善的攻击链逻辑,在考验基于“病毒特征库”启发检出机制及各方情报收集、分析及预警能力的传统威胁对抗模式的同时,可能导致较为重要的商业秘密或较高密级的国家基础设施信息持续性泄漏,且往往在发现时就已造成难以衡量的恶劣影响。

  正如习近平总书记在视察安天集团总部时所指出的一样,“网络安全是国家安全的重要组成部分”,而2017年《中华人民共和国网络安全法》的正式实施,也从国家层面将网络安全的重要性提升到了一个前所未有的高度,信息安全的保障进入有法可依的阶段,网络安全事件的相关处置也有了惩罚依据。在这样的语境之下,无论从用户角度或是第三方安全团队角度来看,任由类似水平的风险暴露在各方面前,都是严峻且难以被接受的。安天移动安全团队面对当前的移动安全对抗形势,坚持“安全技术必须服务客户安全价值”的原则,以对抗新兴恶意威胁为己任,砥砺前行:

  •过去一年中,我们与更多移动终端厂商、移动应用厂商及政企建立了合作,并为其提供成熟的AVL Inside移动安全解决方案,包括恶意代码检测防护、Wi-Fi安全防护、URL安全性检测、支付安全防护、漏洞跟踪修补等服务。基于全面的合作,希望加强和推动更广阔的产业链协作,以移动终端安全为起点,将防护边界延展到包括移动应用商店安全合规性审查、APP安全性评测等环节在内的全程产业链之中;

  •我们在完善原有“Insight 2.0移动威胁情报平台”之外,在当前的安全大数据体系之中融入分析建模及机器学习技术,开发了“Section 9网络安全情报大数据分析平台”,试图基于互联网安全大数据,为专门行业及具备专门需求的客户提供网络安全情报专项调查、情报挖掘及研究能力,旨在提高相关客户对威胁事件的感知、预警、分析、取证、响应和处置能力,以达到尽量提前感知威胁、减少反应延时的目的。

  而这一份《2017年安天移动安全年报》(以下简称《年报》),则主要体现了安天移动安全团队过去一年中对于新兴移动安全威胁的观察、研究及分析思考,以及由安全大数据分析研判得出的安全总体趋势判断、和由各业务条线实际工程项目中归纳总结出的经验。

  安天移动安全团队希望通过《年报》的传播,不仅能够与移动安全行业从业者、移动互联网相关企业及相关专业技术人士分享过去一年移动安全的总体形势,传达团队过去一年的所见、所为及所思,更能够为任何需要或试图了解移动安全现状的用户提供一份令人信服的中立意见。

2 起:基于数据的总体形势分析

  本章节中,将以安天移动安全云端安全监测引擎在过去一年所捕获的各类数据为基础,就各不同关注视角进行筛分统计,并从宏观角度作出初步分析。

2.1 恶意应用数量整体增长趋势

图2-1:2011年-2017年 Android 恶意应用数量增长趋势(单位:个)

  如上图所示,安天移动安全统计了自2011年以来每年度捕获的Android恶意应用样本量,从中可以发现,由于第四代LTE高速蜂窝网络(即俗称4G)在国内的发牌落地商用、基站建设覆盖及高载波聚合(MIMO)等技术的运用,高速蜂窝网络的可用性及用户使用意愿都越来越强,各色应用可承载的服务随网络时延及抖动减小变得更多,各类应用样本通过蜂窝网络传播的可能性也随着网络速度及信号广度的增加而增加,而攻击者敏锐地捕捉到了这些趋势,并加以跟进制作相关恶意应用。故恶意样本量自2014至2017年间均呈现出倍数或近倍数级的年度增长。而另一个导致恶意样本量倍数级增长的原因是,智能手机用户在这一时间区间中亦产生相对爆发式的增长,这是由于国产手机品牌的崛起,导致手机尤其是智能手机单价明显下降,以及以Android为主的移动操作系统本地化(由国内手机厂商主导)日益完善。

  就统计数据来看,尽管2017年恶意样本数量就增长趋势来说有所放缓,相对2016年而言并未再次产生倍数级的增加,但其近千万量级的绝对数量仍然不可掉以轻心,尤其是随着当前互联网游戏、直播、办公及线下服务等应用的发展成熟,这些应用受到各种形式恶意应用影响的可能性也就越大,需要格外留意。

2.2 影响用户数最多的恶意应用 TOP 10

  安天移动安全团队从2017年云端大数据监测结果中就“恶意应用”进行筛选统计,并对影响用户数最多的10个应用进行用户数量统计,结果如下表(HASH最后5位隐去):

表2-2 2017年影响用户数最多的恶意应用 TOP 10

  影响用户数量最多的恶意应用TOP 10中,7个为伪装或捆绑于游戏应用上的恶意应用(模块),2个为伪装或捆绑于成人色情应用上的恶意应用(模块),而排名第一的属于恶意应用植入木马执行文件过程的中间应用。从其行为上来辨别,其中3个为涉及恶意扣费的恶意应用,5个为涉及隐私窃取的恶意应用,剩余1个涉及系统破坏及1个涉及恶意传播的恶意应用。

  由上表的统计结果,不难发现,无论恶意应用是伪装或捆绑在游戏或是色情应用之上,会安装这些目标应用的用户都符合“不具备可疑应用甄别能力”以及“对相应主题应用较无戒心”的特点,只要攻击者制作一个功能完备的游戏或色情应用,并找到适当的传播方法,结合国内Android应用生态碎片化的特点,就有可能在类似的同类人群(设备)中造成较为广泛的传播及感染;而这些恶意应用的行为类别,无论是恶意扣费或是隐私窃取,相对具备远程控制行为的恶意应用,其往往对系统本身运行速度影响较少,且具备令受害用户“事中难以感知,事后发现时延较长”的特点,将可能给攻击者带来更多的不法利益,一定程度上使得更多的恶意应用变种不断出现。

2.3 恶意应用行为类别分布趋势

图2-3-1:2016、2017年 恶意应用行为类别分项统计图

  安天移动安全针对2016及2017年云端引擎监测捕获到的所有恶意应用的行为进行统计,并按照不同的行为类别进行归类,分析各类恶意行为在监测结果中的占比,如图2-3-1所示。而下表则对各类行为分类进行了详细描述,并且将各类恶意行为在2016年与2017年的占比进行对比:

表2-3-2:恶意应用行为分布占比表(以主要行为或唯一行为区分)

  如上表所示,可发现持续对用户信息安全产生较大影响的TOP 5恶意应用行为包括流氓应用、资费消耗、恶意扣费、隐私窃取类及远程控制;值得一提的是,这五个类别的恶意应用往往具备多个功能模块,例如某一扣费应用往往也可能具备恶意传播的模块,故从占比来看,仅具备诱骗欺诈、系统破坏及恶意传播模块的应用相对较少。在这其中:

  •流氓应用为PC端向移动端持续转移的安全威胁,大多数以“设计无法卸载、难以卸载或无法彻底卸载”持续推广牟利,或是收集少量用户信息(相对“隐私窃取”较不敏感的信息)回传。这一类应用对用户的隐私影响相对较小,但可能影响设备的硬件表现,并影响用户对设备的使用体验。

  •资费消耗指恶意应用会通过自动拨打电话、发送短信、彩信、邮件、频繁连接网络等方式,产生相关业务消费,导致用户资费损失。这一类应用往往会在影响用户对设备使用体验的同时,产生大量资费消耗,可能导致用户设备号码沦为“语音/流量‘肉鸡’(与‘远程控制’对用户设备的控制程度存在区别)”。此外,该类应用还有可能通过流量下载其他控制应用,从而加强对用户设备的控制程度。

  •恶意扣费行为往往属于“黑色产业链”中用户端的环节,即用户设备在安装相关团伙制作的恶意应用后,自动通过短信等模式静默订阅,或是通过前端界面欺骗用户订阅较昂贵的SP服务(实际上并不产生任何服务),而相关团伙通过这些与之合作的SP端公司私下进行利润分配。这一类恶意行为能够确实地给相关团伙带来利益,其恶意应用软件包往往制作较为成熟,其恶意行为较为隐蔽,相关恶意应用数量及恶意模块变种数量也较多。

  •隐私窃取类行为则往往是通过用户安装的应用直接或间接获取用户个人隐私信息(如通讯录,短信收件箱、各聊天工具记录等),并向其服务器进行回传,较易导致任何形式的重要信息泄露,此外通过结合“撞库”等社会工程学攻击手法以及各版本操作系统可能具备的0day(或Nday)漏洞完成攻击,可能导致用户因这一类恶意行为而产生更为严重的损失,需尤其注意。

  •远程控制指在安装了恶意应用的用户不知情的情况下,其设备接受远程控制端指令并进行相关操作,完全成为控制者的“肉鸡”,遭到彻底的控制。值得一提的是,具备这类行为的恶意应用与“隐私窃取”类相似,可能在取得权限的过程中使用一些0day漏洞(如能够取得Root权限的CVE漏洞等),危害较为严重,需尤其注意。

2.4 移动应用及恶意代码加固趋势

  众所周知的,Android应用程序的开发由Java语言主导完成,而Java代码存在较容易被逆向分析的特点,同时由于移动端应用承载服务多样的特殊性,各类服务中往往有一些存在较高安全考量的服务,例如银行、金融及电商客户端等,继而催生了市面上各类的移动应用“加壳”加固技术,自2013年至今,国内安全行业已萌生出数十种商业或免费加壳技术,如360、腾讯、爱加密、梆梆等,同时私有加壳技术亦难以胜数。

  一般而言,加壳技术往往被用于正当用途的商业服务应用,但除了具备价格门槛的商业加壳服务之外,亦有相当数量的免费加壳服务在互联网上被提供,从而遭到各类木马、仿冒等恶意应用的制作者滥用,通过这些免费加壳服务来规避各类基于特征码的杀毒引擎查杀;并且,“脱壳”技术的不断发展,以及近两年各种目的特殊、具备高“免杀”需求的特种木马出现,也催生了加壳技术的进一步发展,尤其是商业加壳技术。

图2-4:2013-2017 移动应用及恶意应用代码加固技术部署趋势示意图

  上图是安天移动安全团队就云端安全引擎在2013至2017各年所捕获到的加壳正常应用样本及加壳后的恶意应用样本(即加壳黑样本)数量进行统计后绘制的趋势示意图。从中我们可以发现,恶意应用对加壳技术的运用在2014年之后就进入较为普遍的状态。在2014-2015年及2015-2016年的两个时间区间内,我们也察觉到了加壳恶意应用绝对数量的快速增长;而2016年至今,我们每年捕获的加壳恶意应用数量均超过了正常应用数量的50%,可以从一个角度说明加壳技术遭到恶意应用使用的广泛性;但同时,由于加壳技术(尤其是私有加壳技术及商业加壳技术)会导致各类杀毒引擎更难对恶意代码进行检出,可能导致一定程度的威胁增加,加之2017年加壳恶意应用的检出数量仍在百万级,检出数量的变化趋势也不容乐观。安天移动安全团队认为,代码加固技术在移动恶意应用上遭到滥用所带来的威胁仍然处在高位,且短时间内将保持这一威胁水平。

2.5 恶意仿冒应用数量增长趋势

  自手机应用软件概念面世以来,“仿冒应用”就是其一直无法回避的问题,也是安全行业各方未能彻底解决的安全问题之一。事实上,当前仍然猖獗的恶意仿冒应用,对各行业客户及其用户都存在着较大的安全威胁,且一条以恶意仿冒应用为中心的“黑色产业链”俨然已经形成,多数仿冒应用往往以伪基站发送的短信(或正规SP发送的垃圾短信)及钓鱼网站作为入口,使用户安装了恶意应用却毫无察觉,以为自己安装的是正版应用;同时,我国境内移动应用传播渠道较为混杂,缺乏Android官方权威应用市场的同时,各类第三方市场数量不可胜数,但这些第三方市场常常缺乏对其提供软件及其来源的安全性、合法性审查,导致市场本身亦成为各类恶意仿冒应用传播的来源。恶意仿冒应用在通过上述渠道被用户安装后,往往会一方面通过高伪装度的UI界面及交互避免被用户发现并卸载,一方面通过其携带的恶意模块或通过应用功能安装的其他木马应用来窃取用户隐私、控制用户设备等。

图2-5:2011-2017 恶意仿冒应用数量增长趋势示意图

  如上图所示,安天移动安全团队对2011年至2017年间恶意仿冒应用新增量的监测结果按月份进行了统计。结果如下:

  •自2016年底开始,每月新捕获的恶意仿冒应用开始突破1000个;

  •2017年全年,平均每月新捕获的恶意仿冒应用数量达到了五位数;

  •全年的高峰发生在2017年3月,该月新捕获的恶意仿冒应用为44651个;

  •当前恶意仿冒应用每月新增量仍然具备波动增加的趋势。

  由于当前由移动设备承载的服务类型越来越多,尤其是互联网办公、政务服务、金融服务等高保密性、高安全性需求的服务亦逐步从传统B/S架构转移到移动端C/S架构,结合当前捕获的每月新增量趋势,安天移动安全认为,恶意仿冒应用应引起各类服务运营商及外部安全公司的高度重视,同时作为普通用户,应加强应用甄别能力与基本的安全意识;针对较重要的服务应用,应尽量从官方网站渠道获取确保安全的应用软件,而不是任何第三方应用市场;同时利用外部杀毒软件及框架级安全软件保护移动设备安全。

2.6 短信拦截木马数量增长趋势

   “短信拦截木马”实质上是一种可以拦截用户短信的木马应用,其往往以模块形式与其他应用捆绑(捆绑的亦可能是其他形式的仿冒应用)发布,它可以控制拦截用户手机中收到的短信,让用户无法实时收到短信,并将用户手机中的短信内容在后台发送到攻击者的手机和邮箱中。这类木马应用一般主要获取用户短信(包括收件箱、发件箱)中包含的个人隐私信息,如用户姓名、手机号、身份证号、银行卡账户、短信验证码、支付密码及各种登录账号和登录密码等,不仅造成个人用户隐私泄露,同时还使攻击者通过盗取的用户信息达到盗刷银行账户、窃取用户财产的目的,从而直接对用户的个人隐私和财产安全产生较严重的威胁。这一类木马应用开发成本往往很低,且代码简易、具有较高的可复用性,导致其容易遭到修改或复制产生新变种,从而将相关的样本总量堆砌到相当庞大的数量级。

图2-6:2014-2017 短信拦截木马数量增长趋势示意图

  如上图所示,安天移动安全团队选取了2014年至2017年各月对短信拦截木马的监测结果进行统计,结果如下:

  •每个月都有超过1000个短信拦截木马(不同变种视为不同的拦截木马应用)被捕获,标志着这一类恶意应用的威胁形势依然严峻;

  •同时,2016年、2017年,短信拦截木马在每年农历春节前后都发生了爆发性的增长,尤其是2017年,1月至3月捕获的短信拦截木马数量是全年其他月份捕获总和的2.5倍;

  •2017年2月新捕获的短信拦截木马为监测以来最多的,为77637个;

  •短信拦截木马每月新增量仍然具备波动上升趋势。

  事实上,农历春节前后往往容易存在较多需要短信验证码的的手机金融交易(如手机转账、支付、取现等),各类用户的短信内容中也较易出现敏感内容(如人际关系、电话号码甚至证件号码等),这一数量的爆发,恰恰说明了攻击者在相关技术成熟后,亦开始以盗刷、窃取为目的的攻击结合社会工程学原理,配合“业务热点时间段”进行有计划的部署;因此,作为对普通用户的警示,应注意对类似“业务热点时间段”所可能产生的较高信息安全风险保有一定防范意识,定期为移动设备,尤其是安装了各类涉及金融及隐私信息处理应用的移动设备进行病毒查杀,同时利用外部杀毒软件及框架级安全软件保护移动设备安全。

3 承:移动安全焦点问题梳理

  本章节中,将通过对当前影响较为显著的移动安全问题进行梳理、分析,并对其在2018年的风险给出发展方向方面的预测,供您参考。

3.1 互联网业务数据风险及影响日益明晰

  近年来,随着信息技术及互联网的快速发展,以及移动通讯设备端高速蜂窝网络(UMTS、LTE)的发展,诸如购物、外卖等各类用户在线下渠道较为明显的服务需求向移动互联网平台转移趋势十分明显,这一些服务往往存在移动客户端与Web/WAP站点共存提供服务的情况,多个“前端”用户界面对应同一“后端”应用系统,较易存在与传统Web安全相关的风险,例如SQL注入、跨站脚本(XSS)、敏感信息泄漏等;而与此同时,也有大量结合其他信息科技领域技术推出的新兴互联网服务面世,例如当前炙手可热的“互联网金融”、“网约车”、“付费帮忙”、“直播”等服务,这一些服务在发展过程中则往往完全摒弃Web界面,使用客户端作为其唯一入口,其中一部分使用标准客户端的编写模式,利用服务端接口与客户端通信,而另外一部分则仍然延续了WAP站点提供服务的思路,利用Webview组件实现各模块页面文件对功能的支撑,或是直接将服务器URI地址编译到客户端中,形成了“伪客户端式”的存在,相对来说存在安全隐患的可能较大。

  事实上,当前互联网所承载的To C(对用户)服务类型日益增加,各类实际业务覆盖面及用户粘性也日益加深,尤其像“分期借贷”、“信用”、“金融”等新兴类目的互联网服务,其涉及的用户数据类型及维度杂糅到前所未有的地步。这不仅使得传统信息安全预警下的”业务数据风险”转嫁到”用户数据风险”的可能性相较先前变得更高,也使得各业务系统中不同类型的的用户数据、用户行为数据及用户特征数据成为了对用户本体造成极大安全风险的”定时炸弹”。

  例如:2017年11月“趣店”网站平台的数据泄漏,虽然事件本身仍然是传统意义上由黑色产业链主导形成的数据泄漏事故,但其平台业务类型较为特殊,导致涉及泄漏事故的数据维度数较多(包含每一用户在多个不相关的业务范畴产生的业务数据,如图中亲属关系及联系方式、“学信网”学历数据、身份信息等),其数据本身价值与泄漏造成的危害均较大,如下图。

图3-1: “趣店”平台数据泄漏部分截图(来自互联网)

  鉴于目前互联网服务相关业务数据的风险已处于较高位,同时其风险可控程度可能由于数据体量扩充(TB级扩充到PB级甚至EB级)、数据架构改变(传统数据存储变更为大数据仓库为中心)等因素而同步降低,安天移动安全团队倾向于认为,2018年类似的风险仍将维持较高或略有升高的水平。

3.2 体系化的电信诈骗手法层出不穷

  针对智能移动终端设备,除去过往频发的传统电信诈骗及2G/3G伪基站诈骗之外,随着近年来第三代UMTS/第四代LTE高速蜂窝通信网络在我国境内的飞速发展,更衍生出了基于仿冒应用、短信拦截木马、短信蠕虫等针对智能手机用户,依托移动端应用进行的精准电信诈骗,其手法“层出不穷”。

  从2017年内的状况来看,类似的精准电信诈骗俨然成为一种常态化威胁,新增的受害用户数字至今仍不可小视,而究其原因,则是攻击者或涉事团伙往往敏锐地根据某一时段或某一领域的热点,精心设计容易吸引受害用户的功能点进行伪装传播,结合短信拦截、短信蠕虫技术,最终形成影响较广的树状传播状况。例如年内多次出现的,针对热门手机游戏“王者荣耀”的恶意仿冒应用,以及伪装为其“外挂”、“攻略”等衍生应用的木马应用,或是针对找寻热搜影视剧资源精心设计的“影视剧下载器”、“网盘资源集合”等,这些应用在选择仿冒主题时即已对目标人群实现了精准过滤(手机游戏玩家、影视剧资源搜索者往往在游戏虚拟财产或额外功能面前抵抗力较弱,且这一类人群往往安全防范意识较差),且攻击者通过精心设计的交互过程,能够恰当地触及用户“痛点”(如安装后赠送“道具”,或是免费“抽奖”、获取“会员”下载“加速”等),使受害者主动安装并遵循木马应用的指引,从而沦为此种精准电信诈骗的受害者;并且,此类木马应用往往附带有短信拦截及短信蠕虫模块,用户设备往往会在受木马应用感染后激活该模块,读取用户通讯录的同时,对木马应用进行基于社会工程学的自动次生传播,传播成功率往往较高。正如下图所示,安天移动安全团队在对一部分短信蠕虫受害用户的感染来源进行抽样统计的过程中发现,熟人次生传播成功的占比甚至达到70%。

图3-2: 短信蠕虫受害用户感染源抽样统计

  考虑到智能移动终端设备用户群体涵盖面极广,其中较大比重的用户安全意识较为淡薄、且缺乏对相关恶意应用的甄别能力,而当前任何形式的反病毒引擎也较难做到“万无一失”,故安天移动安全团队倾向于认为,基于仿冒应用、短信拦截木马、短信蠕虫的精准电信诈骗在2018年仍然会是较大的安全威胁来源。

3.3 传销诈骗“互联网化”趋势不可忽视

  随着第四代LTE高速蜂窝网络(即俗称4G)发展带来的线下服务移动互联网化,原有线下渠道的一些负面问题也在移动互联网平台上日益凸显且不容忽视,而那些“互联网化”后与传销诈骗高度类似的行为,在其中占据了一定份额。

  出于这类恶劣行为对公共安全及社会长治久安可能带来的潜在负面影响,安天移动安全团队在2017年底编写了《2017我国移动端传销诈骗类威胁态势分析报告》(详见http://blog.avlsec.com/2017/12/5083/paper/)。就团队在报告形成过程中的初步分析能够发现,截止2017年底,仍然有大量可能涉及传销及相关诈骗活动的团伙以各种形式在我国互联网上活跃,其中,又以移动端应用及专题网站(包含PC端及为移动端优化过的子站点)为甚,其受害用户范围较广,数量较多,造成了十分恶劣的影响。

图3-3-1 2017年Q4疑似“互联网传销诈骗”影响用户数分省统计(单位:位)

  这些类型的应用及网站,往往通过以下几种方式进行传播:

  •线上群组推广传播,如QQ群、微信群等;

  •线上平台推广传播,如微博、贴吧、各类专题论坛甚至手游内聊天系统等;

  •线下熟人间推广传播;

  •线下推广传播,如地铁公交站要求扫码,公共场合小广告贴条等。

图3-3-2 各级政府部门多次对类似风险发布警示

  尽管近年来公安机关及相关政府部门不断加大对各类传销行为,尤其是涉及互联网的新式传销诈骗行为打击整顿的力度,并向公众频繁发布警示,但每年仍有大量受害用户遭受数字总和惊人的各色互联网传销骗局。与此同时,传销诈骗团伙的诈骗手段亦在不断升级,不仅将传统基于商品的传销手法照搬到了互联网上,更是融合了近年来诸如虚拟货币、手机游戏、在线兼职、“微商”等容易使一般用户产生兴趣继而毫无戒心上当受骗的领域。

  对于一般用户来说,只有对这些较为新型的诈骗手段具备理性及感性认识,才能够在遭遇此类诈骗事件时具备辨别能力;而无论传统传销还是互联网传销,其核心受害人群一般都不具备或较少具备这样的能力,一旦互联网传销诈骗团伙利用时下火热、常见的关键词作为其传销诈骗行为的外壳进行包装(如虚拟币、电商返利、“玩游戏赚钱”、国家“一带一路”等,而实质上仍是变种的“庞氏骗局”),这一类核心受害人群将毫无疑问地上钩。鉴于此,安天移动安全团队认为,不仅2017年传销诈骗“互联网化”的趋势不可忽视,2018年这一类活动仍然会为部分普通移动用户带来安全隐患,需要多方力量进行共同防御和对抗。

3.4 “共享”服务大潮下的安全风险触目惊心

图3-4:时下火热的各类“共享”服务

  2015年被社会各界公认为是中国“共享经济”的元年。自2015年至今,以出行(如早期的Uber人民优步、滴滴顺风车以及时下的共享分时用车)、租赁(如共享办公位、共享睡眠舱,又如共享充电宝、共享车位等)、人力(如市内跑腿服务、物流众包等)等领域为代表的共享经济在全国各地落地生根,高速发展。享受到便利的同时,其实各类“共享”服务与用户信息安全之间却有着难以忽视的安全问题,而其中隐藏的安全风险更是触目惊心。

  迄今为止,大多数的共享服务为使用户体验更加快速便捷,基本都使用了手机客户端作为其服务的唯一承载形式,也即“用户必须下载安装,并使用手机客户端来使用共享服务”,且其中大部分服务均采取“手机号验证注册并登录->用户凭借证件(或人脸识别等)实名认证->扫码使用共享服务”的业务逻辑。为了一观其各环节之间的风险,我们将在每一环节列出两点常见但又容易被忽视的安全问题。

  • 手机号验证注册环节:

  1. 用户使用的手机号可能是他人曾经使用并认证过的,可能导致实质上的用户敏感信息泄漏,信息易被用作社会工程学攻击用途;且后使用的用户被默认拥有合法访问该信息的权限,难以追溯、查证影响及扩散范围;

  2. 用户使用手机号码获取验证短信,但用户手机本身可能受到伪基站影响,或是由于运营商的其他业务(例如移动系统中曾出现过的“短信保管箱”业务)、手机厂商内置短信分析框架等因素导致验证码泄漏,使得他人能够获得用户账号使用权限,导致用户实质权益受损。

  • 用户凭借证件实名认证环节:

  1. 用户实名上传了证件照片,但由于使用了公共Wi-Fi网络,或是网络环境下的路由器遭攻击者攻破,导致MITM(中间人攻击)产生,无水印的证件照片泄漏,造成用户敏感信息泄漏,且可能因为证件清晰照片泄漏导致严重的次生损害;

  2. 用户人脸特征信息(或指纹、虹膜等,统称为生物特征信息)为不可变更的唯一认证因子,服务运营商对其进行采集后并没有进行妥善的加密保存,导致用户生物特征信息泄漏,仍然会对用户安全导致严重的次生损害。

  • 扫码使用共享服务环节:

  1. 假设使用共享用车,若该二维码遭他人恶意覆盖钓鱼二维码且未被运营团队识别还原,用户扫描恶意二维码后极可能进入诱导付款的钓鱼网站,遭受钓鱼网站诈骗,从而产生金钱上的损失或是登录凭据的泄漏;

  2. 扫码同时,许多共享服务客户端必须请求用户相机、麦克风及蓝牙权限,若权限遭到某些形式的利用,在后台以一定频率拍摄照片或录音(曾有过相关移动端案例),同时服务提供商出于信息收集的目的,以一定频率调用客户设备进行周边蓝牙设备扫描,以确定其周边服务的覆盖程度。如此行为将导致用户敏感信息泄漏,同时也会加快用户设备电量消耗,影响用户设备续航。

  正如分环节所述,这些类型的安全风险若放在其他形式的互联网服务提供过程中,往往会被认为是不可思议的,但由于共享经济包含的服务类型增长速度过快,各类服务快速迭代过程中也难以产生太多安全考量的缘故,上述安全风险却确实地存在于一些“共享”服务之中,不可谓不触目惊心。考虑到使用“共享”服务的大多数普通用户不具备对类似安全问题的发现能力,能够提前、快速、彻底解决类似安全问题的服务提供商属于极少数,而当前大多数形式的手机安全软件也并未针对其中每一类风险作出有效的提前预警及拦截,故安天移动安全团队倾向于认为,“共享”服务隐藏的安全风险,及其给用户带来的安全隐患,将会在未来较长一段时间内作为用户信息安全的一大重要威胁源。

3.5 Apple iOS“信息安全铜墙铁壁”地位不保

  在智能手机操作系统出现初期,Apple iOS系统即被认为具备较强的安全性:Apple在iOS设计时便建立了一个完整的多层系统,确保其硬件和软件生态系统的同时,亦通过Sandbox(沙箱)运行机制保护iOS用户免受不必要的威胁。这使得在iOS与Android最初竞争应用市场份额时,许多开发者由于用户对iOS的“更认可”而优先开发iOS应用,甚至仅开发iOS独占应用,同时也使得用户对iOS本身及Apple后期提供的云服务抱以较大的信任。迄今为止,iOS下的iTunes Store(官方应用市场)渠道相对Android下的Play Store而言,其份额与盈利均可谓“独占鳌头”。

  但近年来,由于频发的各类0day漏洞(例如CVE-2017-13860等)、专门针对iOS的商业木马(例如Pegasus)、致命的业务逻辑设置(大批量iPhone遭到iCloud账户锁定勒索)、以及非官方供应链污染事件(XCodeGhost)先后遭到披露,并实证有大量受影响用户,iOS俨然已经从“最安全的手机操作系统”走下神坛;并且由于iOS及其运行设备(iPhone、iPad)在权限控制及安全策略设定上,较之Android等其他智能手机操作系统要严格许多,一些原本可以利用第三方应用、框架及补丁加以预防、解决的安全问题,在iOS上却只能等待官方补丁修复及第三方应用升级,用户自己无法进行任何应急处置,实际使得iOS系统面对着一个较为被动的安全局面。

  下图即是俄罗斯技术论坛上网友披露的iOS安全问题,其能够通过技术手段发现iPhone备份中存储在Keychain(安全钥匙串)中,包括4年前使用手机时的日志,而这些信息本不应该被保存。

图3-5 iOS Keychain中被国外技术论坛破解的冗余隐私记载

  鉴于国内较为敏感的行业、部门、机构等近年来提倡使用国产移动通讯设备且成效显著,Apple iOS所产生的系列安全问题,连带造成国家层面的安全影响相对会小一些;但普通移动端用户中,苹果用户占比仍然能够占据前5名(2016年数据显示iPhone在我国国内市场份额约在9%-10%),从我国国内庞大的移动用户基数来看,一旦爆发影响版本较多的安全漏洞,同样会造成极广的用户影响面,隐私泄漏等问题同样无法避免。因此,安天移动安全团队认为,尽管近段时间尚未出现影响面较广,影响性质较恶劣的iOS安全事件(0day漏洞等形式),iOS安全尚处良好状况。但不可忽视的是,iOS领域的安全漏洞、安全事件感知机制以及“感知——处置”机制相比Android平台仍然尚处初期阶段,需要进一步研究及关注。

4 转:移动安全态势走向预测

  本章节将主要介绍团队对2018年移动安全态势的展望,并对其中可能出现的新安全问题及安全热点分别进行描述及趋势判断,供您参考。

4.1 境内移动应用传播渠道安全隐患不可小视

  自进入2010年,以iOS、Android为代表的智能手机系统开始在全球范围发展并逐渐普及以来,软件生态就成为了决定某一系统/平台能否良性发展并持久存活的重要因素;而“非官方渠道传播,安全性未知的”软件安装包,则一直和PC端的恶意破解软件、仿冒捆绑应用相类似,占据了其对应平台安全威胁的较大部分来源。

  这其中,iOS设计之初即包括了由iTunes Store(苹果官方软件市场)主导的软件生态链,且禁止大部分外部应用安装(除企业应用、部分用途的测试应用外,要求较为严苛),较为有效地规避了应用传播渠道带来的安全隐患;但Android系统则较为不同,由于Google Play Store官方市场受政策及监管原因无法在国内运营,我国境内正规出售的Android移动终端大多不包含Google官方框架及其应用市场,而是选择境内各互联网公司建立的应用市场进行预装替代,以便用户下载符合国内监管要求的应用使用。上述事实实际上折射出两个较为严重的问题:

  •国内第三方应用市场仅是开发者提交传播应用的渠道平台,即便遵循国家网信办(中央网络安全和信息化领导小组办公室)《移动互联网应用程序信息服务管理规定》将开发者“实名”后,仍未能保证实名开发者上传提交的应用是安全的,而平台本身往往也不具备监管能力,或者仅具备对一般恶意应用扫描检测能力,许多编写较为精巧的仿冒应用往往能够“瞒天过海”上架正规应用市场,且越知名、越权威的应用市场出现类似问题时,受影响的用户数量级亦愈加庞大;

  •与此同时,国内应用市场碎片化十分严重,仅较为知名的应用市场都有约二十家,更遑论通过搜索引擎关键字推广的各家小型应用市场,其中又有针对智能移动终端及智能电视应用的细分,几乎处在无法胜数的数量级:这很好地折射出了任何平台应用生态碎片化一定会产生的安全状况:大应用市场下载的应用“大多数安全”,小应用市场下载的应用“很大可能存在安全隐患”,并且,国内许多小应用市场惯用的“高速下载器客户端”本身很大可能就是会给用户信息安全带来隐患的木马后门应用。

图4-1 某下载站提供,安全性未知的“百度云高速下载器”与“市场高速下载器”

  此种状况亦属于国内Android移动应用生态建设初期至今的“历史遗留问题”,迄今为止,出于各应用商店的商业利益考量,也不可能存在从外部将应用分发渠道统一,或强行减少分发渠道数量,以便于监测管理的可能(事实上,Android第三方分发渠道在境外亦存在类似问题,但因Google Play官方应用市场占据较大份额,其影响相较国内为小),较为“治标”的方法无疑是在设备上安装第三方安全软件及杀毒软件,但这又对各安全厂商的安全框架、杀毒引擎技术及云端样本库、特征库的运营提出了高标准的要求,同样无法在短期内“治本”。故安天移动安全倾向于认为,短期内,我国境内移动应用传播渠道的“历史遗留问题”仍然会给用户信息安全带来一定程度的威胁,不能够掉以轻心。

4.2 移动终端硬件及系统漏洞影响仍将不断发酵

  2017年至今,各行业运用较为普遍的操作系统软件(包括但不限于PC端Windows,Mac OS,Linux及移动端Apple iOS,Android等常见操作系统)接连爆出严重的系统内核级0day漏洞,其中Windows涉及多版本“通杀”提权漏洞,而苹果Mac OS及其移动端Apple iOS则分别有root权限漏洞及多个UNIX底层漏洞被曝光,其系统安全“神话”就此不再。同时,近日遭到Google公司Project Zero团队曝光的处理器内核Spectre(幽灵)、Meltdown(熔毁)先天架构设计缺陷漏洞,几乎影响1995年之后包括Intel,AMD,Qualcomm,ARM等绝大多数主流处理器,作为硬件底层漏洞也具备极大的影响范围与严重性。

图4-2 境外科技媒体介绍Spectre时使用了“Nearly All”的说法

  考虑到硬件底层漏洞及操作系统内核级漏洞并非任何常规防御措施,或通常的漏洞挖掘人员及手段能在短时间内提前感知、发现并处置的,结合硬件处理器技术(尤其是移动端使用的嵌入式处理器)计算能力与架构方式不断发展,而其承载的操作系统软件复杂性也日益增长,安天移动安全团队倾向于认为,2018年,与硬件底层及系统内核相关的信息安全威胁仍然会继续发酵,需要密切关注。

4.3 数据及隐私安全问题将在移动终端广泛呈现

  当前,随着移动终端类型及绝对数量的不断增多,以及“大数据时代”的移动应用所承载服务类型及数量的不断增长,移动终端所产生并接触的业务数据类型已经相当可观(例如用户行为数据、用户点击数据及用户习惯数据等)。与此同时,由于智能手机系统本身具备的功能数据及各类指纹数据较为充分(如MAC地址、手机串号、互联网IP地址等),而系统的权限控制机制常令第三方“有机可乘”,国内互联网服务提供商往往通过各种手段“或明或暗”地收集这些“可能与用户隐私高度相关”的数据,并进行各种模式、商业化或非商业化的分析、交换、出售及利用。由于移动终端用户的绝对数量本已较多且仍在大幅增长,加之移动互联网本身具备“弱边界”的特点,导致类似行为对单一用户的影响面必定较广,当前用户业务数据及其隐私数据的风险无疑处在了较高的位置,相对传统互联网而言,具备显而易见的更高风险度。

  由于我国的数据及大数据相关产业相对欧美等发达国家出现较晚,许多数据相关产业发展和数据应用以相对粗犷的方式游走于现行法律法规的边缘,部分“擦边”行为即便给用户带来了显而易见的数据及隐私风险,可依据并处罚的相关法律条文却仍然较少。因此,类似的问题不断产生,且在未来的一段时间里广泛呈现于各方面前,在当前的移动互联网产业及移动安全产业角度,是并无法完全地有效规避的。而经欧美各国实施验证,且行之有效的解决方式,即相关部门出台与数据及隐私相关的法律法规,并以之对移动互联网厂商在移动终端的行为加以有效约束,例如:

  •2012年2月美国商务部颁布的《消费者隐私权法案》,其中从个人权利、透明度、尊重背景、安全、访问与准确性、限定范围收集、说明责任这七个方面规定了消费者“应在这些方面受到保护”;

  •2016年4月欧盟通过《一般数据保护条例》(General Data Protection Regulation,GDPR),该条例不仅明确了用户个人数据受到条例保护,也在实施范围、数据许可、主体权利、数据泄露处理及“默认隐私保护”等方面做出了十分严格的规定,并规定了违法机构或公司的最高罚款额“将是其全球营业额的4%或2000万欧元”。

  针对数据及隐私安全问题,国内外状况如出一辙,美国商务部在2010年曾发布的一份报告——《互联网经济中的商业数据隐私与创新:动态政策框架》中所说:“没有强制性的自主规范是不充分的,要恢复消费者的信任,尤其是在对个人信息进行收集、利用的经营者层出不穷的现在,我们迫切需要一部隐私权法案。”

  无独有偶,在2017年,最高人民法院和最高人民检察院曾出台《关于打击倒卖公民隐私数据的办法》,对隐私泄露类犯罪行为进行专项打击指示;2017年6月,《中华人民共和国网络安全法》的正式实施,为我国互联网用户数据及隐私安全的保护开了一个好头。不过,若想完全规避并“根治”这一领域的安全问题,“立法”本身固然具备里程碑级的重要性,也需要包括国家有关部门、安全行业、互联网行业等多方面在未来较长一段时间通过某些方式进行协作,从而从各个维度对用户数据及隐私安全形成“全周期”的切实保障。

4.4 特征明确的精准APT将考验传统安全防御体系

  近年来,部分商业利益或政治因素驱动的移动终端恶意软件(往往以潜伏的APT或类APT形式被发现)更为频繁出现,其精确打击、具备战术性及攻击链逻辑的特点符合“网络战“定义,考验了传统基于“病毒特征库”启发检出机制及各方情报收集、分析及预警能力的同时,可能导致较为重要的商业秘密或较高密级的国家基础设施信息等遭到持续泄漏,且往往发现时可能已造成一定难以估量且难以补救的恶劣影响。

  例如2017年内活动较为频繁的Lazarus(可能具备朝鲜网军背景的黑客组织)、APT28(具备俄罗斯网军背景的黑客组织)、APT34(伊朗背景黑客组织)等,根据部分证据推测,上述黑客组织在2017年内都曾经或曾经试图以某些形式发动过对政治倾向对立面国家的APT或类APT攻击。

图4-4: Lazarus黑客组织近年来针对(过)的目标国家和地区一览(图片来自卡巴斯基实验室)

  鉴于源于或目的为相关敏感方向(朝鲜半岛、中东地区)的攻击事件及组织在近两到三年的活跃程度往往超过各方预期,且其部署攻击事件的手法往往具备严谨的战术思维,结合相关敏感地区的政治局势发展方向以及我国周边的地缘政治状况,安天移动安全团队倾向于认为,“网络战”式的APT攻击或类APT攻击形势将在2018年显得更为严峻

  与此同时,当前任何形式的移动终端(包括但不限于智能手机、平板电脑、嵌入式终端等)在许多行业的生产经营活动各环节得到了大范围普及应用,这些设备接触业务数据的敏感度与频次往往都较高,且部分设备存在许多常被忽视的安全问题,例如:

  •利用相关硬件模块直接通过传统网络架构接入企业内部办公网络(如通过运营商定制化APN虚拟链路实现移动接入的设备等);

  •在缺乏必要安全措施的状况下承载企业内部系统重要登陆凭据(如使用了硬件证书校验,但未通过指/声纹、令牌等形式进行双因子“实人”认证的内部办公应用等);

  •用于办公的移动终端设备存在针对性的“定制”后门(如大批量定制的嵌入式设备投放在办公场景使用,但本身硬件/软件中具备恶性且难以发现的后门模块)。

  正如上述案例所示,部分用于办公的移动终端由于安全认知、厂商技术或采购成本等方面限制,在本身硬件设备(如硬件模块安全程度)及各环节软件应用(如设备操作系统不具备相关安全防御模块,或缺乏针对外部攻击的发现及反制能力等)缺乏审计的同时,相关停留在理论及技术层面的安全标准也未能足够产生与各行业业务逻辑及其实现模块相结合的最佳实践,同时其设备基数相对传统办公计算机数量往往较大,且可控性较低,较易为企业或组织带来难以发现且影响恶劣的安全隐患。尽管在一般企业安全应用场景下,所应用的技术可能已经足够保证企业内部生产业务安全,但对较大规模的商业实体而言,其生产活动的各环节之间存在类似与移动终端相关的安全细节问题,无疑是外部攻击者,尤其是具备策划并发动APT级攻击的攻击组织十分乐意看到的。有鉴于此,安天移动安全团队倾向于认为,在将来较长的一段时间中,针对各类商业实体,如大型互联网公司、金融实体及跨国公司等高价值目标的APT攻击趋势也应引起足够重视。

4.5 移动终端安全屹立“风口”,IoT及车联网“粉墨登场”

  近一两年,移动终端上也出现了影响较广的加密勒索软件、隐私窃取及控制软件等,不仅对用户数据直接“致命”,给用户带来各种形式损失,还可能致使用户终端设备沦为僵尸网络节点,遭到攻击者的全盘控制以及丧失各方面隐私,影响极为恶劣。

  例如2017年年中开始出现的“一键生成”移动端加密勒索木马工具,又如针对IoT(物联网)设备的Mirai蠕虫变种,这二者皆在2017年内出现频繁,对较大数量用户造成影响,且影响范围极广。

  事实上,不仅传统智能移动终端(智能手机、平板电脑)用户数量从近两到三年的数据反映出保持稳固增长的态势,新兴的IoT(如智能POS机、智能穿戴设备、智能家居设备等)甚至车联网设备数量(如Tesla Autopilot,Cadillac Super Cruise等)亦在2017年内呈现了急剧增长的趋势,而相关的安全基线、安全标准以及最佳实践往往未模式化且较为缺乏的;同时由于技术应用领域较新,许多攻击手法亦未能提前被设备研发团队预判得知并适当防御,相关案例2017年亦已屡见不鲜,如外媒报道的中国安全研究员成功“黑入”特斯拉事件。

图4-5:外媒报道中国安全研究员成功“黑入”特斯拉

  结合IoT及车联网设备的发展态势及预测,安天移动安全团队倾向于认为,2018年,类似的加密勒索及深度控制利用不仅会在传统智能移动终端领域活跃,也同样会在安全防御更为薄弱的IoT及车联网领域出现甚至频发。

5 合:结语

  过去几年,我国移动网络相关产业进入了高速领跑发展期,不仅在各类通信业、互联网业及互联网服务等方面全面领先欧洲、美洲发达国家,自主品牌的手机产业也蓬勃发展,诸如华为、OPPO等品牌凭借更精细的本地化系统及高性价比占领了国内市场领先地位,同时近亿级的出货量也已跃居全球第一。

  伴随着产业、服务与相关应用的高速发展,移动威胁近些年来的快速增长也是显而易见,有目共睹的。与新千年以来的传统互联网服务具备最大不同的是,移动互联网及相关服务具备较强的弱边界及快速迭代的特性,这导致了恶意应用将会持续造成威胁,而新的威胁点及利用手段也必然会不断涌现。并不像传统互联网架构中一般,使用安全设备及安全软件即可基本“一劳永逸”,保证用户及服务提供商的安全,移动终端作为服务承载端,与用户的粘性(即设备与用户的绑定关系)前所未有的强,容易遭到安全威胁的数据种类及内容详尽程度,也是传统互联网从未面对过的。如此语境下的各色威胁,面临着安全重视度不足、外部监管尚不十分完善、安全事业各参与方“各自作战”的状况,依然常常为用户及服务提供商带来巨大的潜在安全风险与相关资产的实质性损失。

  正如本《年报》副标题所提到的“起承转合间的方兴未艾与暗流涌动”一般,用户与互联网服务所共存的每一天正犹如“起承转合”,而其间既有移动安全领域新技术的“方兴未艾”,亦有对立面上攻击技术、黑色产业链等各方面的“暗流涌动”。纵观全局,移动安全在2018年的整体态势仍然不容乐观。事实上,面对“暗流涌动”的各类移动威胁,在威胁检测,工程化对抗和基于海量数据的威胁情报“感知——处置”各环节间,安天移动安全团队已经有了比较充分的积累及相关能力储备,能够在威胁存在早期,甚至威胁出现之前形成可防御的能力;但单一团队的能力与我国庞大网络黑产和移动威胁相比,确可谓是“螳臂当车”。若想要扩大这种能力的影响范围,为国内互联网安全环境注入切实的“正能量”,确实仍需思考如何与各参与角色的进一步联动,以更好的发挥优势作用;同时仍需持续研究如何将技术与市场需求、商业规律结合,以确定技术的价值定位,保证团队及厂商的生存空间。这种能力并非是朝夕之间能够具备的,理想中的“联动”体系也并非是任意一方努力即可达成的目标。

  过去的2017年,安天移动安全团队持续致力于移动安全领域,加强对移动领域威胁的观察、感知、分析、追溯、处置、研究,并试图以体系化的方式加强与移动威胁的对抗。这份《年报》,也旨在表述团队过去一年的所见、所为及所思,并为任何需要或试图了解移动安全现状的用户提供一份令人信服的中立意见。由于移动安全威胁态势的复杂性,以及团队知识水平必然存在的限度,这份报告中的部分观点可能并不成熟;但我们会持续在移动安全领域耕耘,为更加安全的移动安全环境贡献出自己微薄的力量。安天移动安全团队将本着对关键、基础、共性、领先技术手段的持续创新,更加积极的开展产业协作,并与信息流和供应链中的所有角色一起建设更加完善的移动安全体系,以更好地将领先的安全技术转化为坚实的用户安全价值。

 更多信息详见公司官网:http://www.avlsec.com   

 转载请注明来源:http://blog.avlsec.com/?p=5150

更多技术文章,请关注安天移动安全官方微信号

安天移动安全发布恶意广告软件RottenSys深度分析报告

一、事件背景

  2018年3月14日,国外安全厂商Checkpoint发布报告,声称自2016年来近500万手机设备感染了名为RottenSys的恶意代码,并且指出包括华为、OPPO、vivo、魅族、金立等在内的国产手机设备被感染。随后国内科技媒体进行也了广泛的翻译和转载。鉴于此,安天移动安全进行了深入的分析。

二、样本基本信息

  典型样本信息如下:

  恶意行为描述:

  该程序包含风险代码,可在后台私自下载恶意插件并静默安装,进行远程控制命令以及对用户手机进行root,从而频繁推送广告并进行应用分发。消耗用户流量资费,影响用户体验。

三、详细分析

  安天移动安全分析得出,该恶意软件家族进行了明显的技术升级,进行了较强的技术对抗。攻击手段主要分两个阶段:第一阶段只是单纯的私自下载恶意广告插件,推送广告;第二阶段植入了提权功能,可加载提权代码、获取root权限、执行lua脚本,形成僵尸网络,同时还抹去了文件生成时间和进行文件拆分,以防止分析人员进行深入关联。

  攻击流程示意图如下:

  恶意代码文件结构如下图所示:

  获取root方案的地址为www.uuyttrtf.com:880 ,注册证邮箱为haitaozhou15@gmail.com,注册时间为2016年7月(这与安天移动安全捕获和查杀该样本的时间保持一致)。恶意代码上传设备信息获取root方案之后,将不断进行尝试,一旦获取root权限,则继续从该网址获取lua脚本,并且进行执行,生成僵尸网络,以及根据指令进行下一步的恶意行为。此外,我们进行了深度关联分析,得到其家族部分CC如下:

  从中我们可以看到该恶意代码的工作准备从2016年初就开始进行,到2016年9月,整个黑色产业团伙处于尝试阶段,仅进行域名注册、恶意代码植入等前期准备工作,并没有大规模的进行恶意攻击,此后开始逐步感染并形成了两次感染高峰。具体事件时间轴如下图所示。

四、安天解读

  该恶意软件家族整体生存周期较长,自2016年1月,其背后的黑产团伙便开始注册域名并准备相应的攻击活动。从数据上来看,该恶意软件家族累积感染量达到百万级别,受害面较广。不过,以安天移动安全为代表的安全厂商在病毒出现初期就已具备检测能力,并且安天移动安全已与国内主流手机厂商在移动终端病毒检测与防护方面进行合作,国内主流手机厂商均具备对该恶意软件的检测和防护能力。

  同时该恶意软件家族活跃和对抗周期较长,所谓的“感染500万”台设备并不是在短期完成的,其时间跨度接近两年,通过安天移动安全的终端监控情况来看,总体的设备感染量级达到百万级别。同时我们在手机出厂ROM和应用市场渠道中并未发现大规模感染数据,这说明主要问题出现在手机销售流通环节。

  渠道中的刷机和非法预装是智能手机行业面临的较大挑战,各大手机厂商及安全公司综合运营技术、管理、法律等手段加强对渠道的管理,并且在2017年,泰尔实验室、OEM厂商、安全厂商等联合成立移动安全联盟(MSA),以联合各方力量,加强移动终端安全,共同保护消费者权益。

  最后,我们在此希望海外相关安全机构能够更加公正、客观、严谨地描述中国移动产业的安全状况,切勿夸大事实,造成消费者恐慌。

企业简介

  武汉安天信息技术有限责任公司成立于2010年,是专注于移动互联网安全技术与安全产品研发的高科技企业。公司在上海、成都和美国硅谷设有技术研发分支机构,是全球顶级移动安全方案提供商。   

  2014年,公司自主研发的移动反病毒引擎产品,以全年最高平均检出率荣获AV-TEST全球“移动设备最佳防护”奖,成为首获此项国际大奖的亚洲安全厂商,实现了中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。   

  2015年,在国际知名安全软件测评机构AV-C的年度移动安全产品测评中,公司的AVL移动反病毒引擎产品凭借全年100%的病毒检测率,成为2015年排名第一的安全产品。   

  公司凭借突出的技术研发能力、数据捕获能力和应急响应能力,长期为国家互联网应急中心、泰尔终端实验室等国家监管部门提供强有力的移动互联网安全支撑,目前已成为国内移动安全响应体系的重要企业节点;并与国内外主流芯片厂商、移动终端厂商、移动应用厂商建立了长期战略合作关系,为全球超过10亿终端用户保驾护航。   

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5154

更多技术文章,请关注AVL Team官方微信号