騰訊安全互聯(lián)網(wǎng)黑產(chǎn)報(bào)告：手機(jī)惡意應(yīng)用每日“掘金”超千萬(wàn)

　　7月26日，騰訊安全對(duì)外發(fā)布《2018上半年互聯(lián)網(wǎng)黑產(chǎn)研究報(bào)告》(以下簡(jiǎn)稱(chēng)《報(bào)告》)，通過(guò)騰訊安全聯(lián)合實(shí)驗(yàn)室、騰訊電腦管家、騰訊手機(jī)管家、騰訊云提供的海量大數(shù)據(jù)，全面曝光惡意廣告、手機(jī)應(yīng)用分發(fā)、APP刷量等典型黑色產(chǎn)業(yè)鏈。結(jié)合騰訊安全打擊網(wǎng)絡(luò)黑產(chǎn)實(shí)踐，《報(bào)告》還首度重磅揭秘移動(dòng)端三大新興網(wǎng)絡(luò)攻擊手段，并對(duì)2018下半年移動(dòng)端安全威脅作出預(yù)警。

　　惡意應(yīng)用每日“掘金”超千萬(wàn) 用戶(hù)與開(kāi)發(fā)者利益雙雙受損

　　2018年，伴隨移動(dòng)應(yīng)用的影響力超過(guò)電腦應(yīng)用，主要互聯(lián)網(wǎng)黑產(chǎn)也遷移到手機(jī)平臺(tái)�！秷�(bào)告》顯示，每天互聯(lián)網(wǎng)上約新增2750個(gè)左右的新病毒變種，偽裝成各類(lèi)打色情擦邊球的游戲、聊天交友應(yīng)用誘導(dǎo)用戶(hù)下載安裝。此類(lèi)手機(jī)惡意應(yīng)用每日影響數(shù)百萬(wàn)用戶(hù)，按人均消耗幾十元話(huà)費(fèi)估算，每日掠奪話(huà)費(fèi)金額達(dá)到數(shù)千萬(wàn)。

　　同時(shí)，移動(dòng)端黑產(chǎn)發(fā)展的形勢(shì)與當(dāng)前行業(yè)生態(tài)密切相關(guān)。目前國(guó)內(nèi)為軟件付費(fèi)的習(xí)慣尚待養(yǎng)成，軟件開(kāi)發(fā)者通常通過(guò)廣告流量變現(xiàn)的形式來(lái)獲取收益。一些不法分子瞄準(zhǔn)這點(diǎn)，通過(guò)惡意推送廣告來(lái)加速流量變現(xiàn)。惡意廣告聯(lián)盟推送的廣告內(nèi)容，博眼球、無(wú)下限，時(shí)常推送色情擦邊球應(yīng)用、博彩甚至手機(jī)病毒。根據(jù)騰訊安全反詐騙實(shí)驗(yàn)室監(jiān)測(cè)數(shù)據(jù)，當(dāng)前平均每天新增廣告病毒變種257個(gè)，影響大約676萬(wàn)的巨大用戶(hù)群，其中珠三角、長(zhǎng)三角、京津冀地區(qū)受影響最為嚴(yán)重。

　　在競(jìng)爭(zhēng)激烈的手機(jī)應(yīng)用市場(chǎng)，應(yīng)用付費(fèi)推廣也成為了許多不法分子嚴(yán)重的“商機(jī)”。App刷量黑色產(chǎn)業(yè)鏈經(jīng)歷機(jī)器刷量、眾酬人肉刷量再到開(kāi)始布局木馬自動(dòng)刷量平臺(tái)，技術(shù)手段不斷翻新，不僅對(duì)手機(jī)用戶(hù)造成打擾，還極大地浪費(fèi)了開(kāi)發(fā)者的推廣費(fèi)用。

　　相較于刷量，惡意應(yīng)用分發(fā)行為更為流氓。軟件惡意推廣地下暗流整體規(guī)模在千萬(wàn)級(jí)上下，主要影響中低端手機(jī)用戶(hù)。例如部分手機(jī)使用的是非官方版本系統(tǒng)，用戶(hù)經(jīng)常會(huì)發(fā)現(xiàn)手機(jī)里莫名其妙冒出來(lái)一些應(yīng)用，就是地下軟件黑產(chǎn)的杰作。

　　網(wǎng)絡(luò)攻擊出現(xiàn)三大新興手段：加固技術(shù)、云加載和入侵供應(yīng)鏈

　　結(jié)合騰訊安全反病毒黑產(chǎn)的實(shí)踐，《報(bào)告》還首次披露移動(dòng)端病毒三大新興攻擊手段：加固技術(shù)、云加載和入侵供應(yīng)鏈。據(jù)騰訊安全反詐騙實(shí)驗(yàn)室的監(jiān)測(cè)數(shù)據(jù)顯示，進(jìn)入2018年以來(lái)，利用知名加固解決方案保護(hù)自身惡意代碼的病毒應(yīng)用快速增加，并以社工欺詐類(lèi)、惡意廣告類(lèi)、色情類(lèi)、勒索類(lèi)等對(duì)抗更激烈的病毒家族變現(xiàn)最為明顯。

　　除了加固技術(shù)以外，惡意軟件的開(kāi)發(fā)者還傾向于使用將惡意代碼隱藏在云服務(wù)器并采用云端控制的方式下發(fā)惡意功能。云加載技術(shù)目前已經(jīng)更新到3.0版本，該版本框架病毒開(kāi)發(fā)者不僅可以通過(guò)地域、運(yùn)營(yíng)商、機(jī)型、設(shè)備等維度限制感染用戶(hù)群，還能利用VA等虛擬加載技術(shù)徹底剝離惡意代碼，普通安全廠商很難再捕獲到病毒的惡意行為。

　　此外，針對(duì)供應(yīng)鏈的攻擊事件增多，攻擊的深度和廣度的延伸也給移動(dòng)安全廠商帶來(lái)了更大的挑戰(zhàn)。針對(duì)供應(yīng)鏈下游(分發(fā)環(huán)節(jié))攻擊的安全事件占據(jù)了供應(yīng)鏈攻擊的大頭，受影響用戶(hù)數(shù)多在百萬(wàn)級(jí)別;第三方SDK安全事件和廠商預(yù)留后門(mén)也是Android供應(yīng)鏈中頻發(fā)的安全事件，這類(lèi)攻擊大多采用了白簽名繞過(guò)查殺體系的機(jī)制，影響用戶(hù)數(shù)遠(yuǎn)超一般的漏洞利用類(lèi)攻擊。今年4月中旬，騰訊TRP-AI反病毒引擎捕獲惡意SDK“寄生推”，感染300余款知名應(yīng)用，潛在影響用戶(hù)數(shù)超過(guò)2000萬(wàn)。騰訊TRP-AI反病毒引擎首次引入基于APP行為特征的動(dòng)態(tài)檢測(cè)，結(jié)合AI深度學(xué)習(xí)，能夠及時(shí)發(fā)現(xiàn)病毒惡意代碼云控加載，有效對(duì)抗隱蔽性病毒攻擊。

　　伴隨移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，黑產(chǎn)攻擊技術(shù)日益完善，移動(dòng)端安全風(fēng)險(xiǎn)持續(xù)升高�！秷�(bào)告》同時(shí)對(duì)下半年移動(dòng)端安全形勢(shì)做出預(yù)測(cè)，指出攜帶巨量個(gè)人和組織數(shù)據(jù)的智能手機(jī)成重大隱患，移動(dòng)端APT攻擊威脅持續(xù)上升;惡意應(yīng)用檢測(cè)與反檢測(cè)對(duì)抗將愈發(fā)激烈，安全攻防進(jìn)入焦灼局勢(shì)。此外，黑產(chǎn)團(tuán)伙嘗試?yán)�用手機(jī)平臺(tái)生產(chǎn)電子貨幣，多個(gè)官方應(yīng)用市場(chǎng)被爆出存在挖礦惡意代碼，或預(yù)示著下半年移動(dòng)挖礦應(yīng)用將呈現(xiàn)爆發(fā)態(tài)勢(shì)，值得用戶(hù)保持警惕。