Kaspersky發布2018年移動端惡意軟體發展趨勢報告

新聞 03-14

前言

與2017年的報告相比，本次報告的統計數據來自卡巴斯基實驗室的所有移動安全解決方案，而不僅僅是卡巴斯基Android版手機殺毒軟體。這意味著，本次報告相比過去會有很多新的觀察點。由於各種卡巴斯基實驗室產品的普及率已經很大了，所以分析範圍及其廣泛，這使得統計基礎的樣本幾乎遍布世界各地，對趨勢的判斷也愈加準確。

本次報告的統計數據

1、檢測到惡意安裝包5321142個；

2、151359個新的移動銀行木馬被檢測到；

3、60176個新的移動勒索軟體被檢測到；

攻擊趨勢分析

2018年，移動設備用戶面臨有史以來最嚴重的網路攻擊。在過去的一年裡，分析人員觀察到了許多新的移動設備攻擊技術(例如DNS劫持)和使傳播方案(例如SMS spam)的增加。總的來說，新的惡意軟體的開發者的注意力都集中在了以下4點：

1. Dropper（Trojan-Dropper），旨在繞過檢測；

2.通過移動設備攻擊銀行賬戶；

3.可被網路犯罪分子用來發起攻擊的應用程序(RiskTool)

4.廣告軟體應用

2018年，分析人員發現了三次旨在監視受害者的移動APT活動，包括在社交網路上閱讀信息。除了這些活動外，本報告還涉及了全年發生的移動威脅的所有重大事件。

Dropper技術的使用力度加大

在過去三年中，採用Dropper技術的木馬已經成為專門從事移動惡意軟體的網路犯罪分子的首選工具。Dropper技術經過簡化，可以很容易的被各種團體創建、使用和銷售。Dropper的開發者中可能會將其用於開發勒索軟體、銀行木馬和顯示廣告的惡意應用程序。Dropper除了被用作隱藏原始惡意代碼，還有其他功能:

1.繞過檢測：Dropper對於繞過基於文件哈希的檢測特別有效，因為它每次都會生成一個新的哈希，而與此同時，惡意軟體內部的位元組卻不會改變。

2.允許創建任意數量的獨特文件：例如，木馬開發者在將他們的攻擊平台偽裝成虛假應用商店時就需要這樣做。

雖然移動Dropper並不是什麼新技術，但在2018年第一季度，分析人員看到使用該技術的惡意軟體的數量急劇上升。其中最大的貢獻來自Trojan-Dropper.AndroidOS.Piom家族。這種猛增的趨勢一直持續到了第二季度，但增速相比第一季度要平穩得多。毫無疑問，未來的攻擊趨勢肯定是這樣的，尚未使用Dropper的惡意軟體要麼創建自己的Dropper，要麼購買現成的Dropper，這一趨勢將影響到未來移動惡意軟體的發展趨勢。

銀行木馬的攻擊勢頭引人注目

2018年有關移動銀行木馬攻擊數量的統計數據引人注目，從年初的統計來看，無論是從發現的樣本數量，還是從受到攻擊的用戶數量來看，這類威脅似乎已經穩定下來了。然而，到第二季度，情況就風雲突變。分析人員檢測到的移動銀行木馬數量和受到攻擊的用戶數量都創下了新紀錄，雖然目前其背後的原因尚不清楚，但很大程度上和Asacub和Hqwar木馬家族有關。Asacub早在2015年就被發現了，中間經過了多次迭代，它最初是從一個簡訊木馬演變而來的，該木馬從一開始就配備了一些繞過技術以及攔截來電和簡訊的功能。2017年中旬，Asacub已經上升為世界上最大的移動銀行木馬形式，在攻擊數量上遠遠超過其他攻擊形式的銀行惡意軟體，包括Svpeng和Faketoken。然而，2018年的銀行木馬不僅在規模上突飛猛進，在攻擊機制上也值得關注。其中就是許多木馬開始使用 Accessibility Services（易訪問性服務）。這可能是未來新版Android的發展方向，新版Android使得攻擊者在銀行應用程序上覆蓋釣魚窗口變得越來越困難，且用戶無法自行刪除它。更重要的是，網路罪犯可以利用易訪問性服務劫持一個完全合法的應用程序，迫使它啟動一個銀行應用程序，直接在受害者的設備上轉賬。除此之外，反檢測技術也出現了，例如，Rotexy木馬會檢查它是否在沙箱中運行。然而，這並不是什麼新的技術，因為分析人員以前就觀察過這種行為。也就是說，需要注意的是，如果惡意軟體開發者設法將他們的木馬病毒滲透到流行的應用程序商店中，再結合混淆，反動態分析技術，在這種情況下，任何預防方案都是檢測到它的。雖然沙箱檢測不能說是網路犯罪分子的普遍做法，但趨勢是明顯的，我相信這種技術在不久的將來會變得非常複雜且普及。

廣告軟體和潛在的危險軟體

2018年全年，這兩類移動應用程序的安裝包數量都是排在前三位的。造成這一現象的原因有很多，但其中最主要的原因是，廣告軟體和對廣告商的攻擊是網路犯罪分子相對安全的致富手段。這類攻擊不會對移動設備所有者造成損害，除非在一些罕見的情況下，比如部署了具有root訪問許可權的廣告軟體應用程序而導致的設備過熱被燒壞。更為可怕的是，因為廣告是在隨機時間和廣告軟體界面之外顯示的，用戶不知道哪個應用程序導致了這種可怕的後果。安裝一個這樣的惡意的廣告應用程序，就會連帶啟動另外十幾個類似的應用程序，將設備變成廣告殭屍設備。最糟糕的情況是，新出現的廣告軟體將有一個帶有漏洞的模塊，允許它將自己寫入系統目錄或工廠設置回滾腳本。之後，恢復設備運行能力的唯一方法就是搜索固件的出廠版本並通過USB下載。

另外，每條廣告被點擊的次數越多，他們得到的錢就越多。最後，由於廣告軟體模塊通常是在不考慮所傳輸數據的機密性的情況下進行編碼，這意味著對廣告商基礎設施的請求可以在未加密的HTTP流量中發送，並包含有關受害者的任何隱私的信息，包括地理位置。

不過RiskTool軟體的情況略有不同，該軟體在2018年檢測到的所有移動威脅中所佔份額最大。 App內購買長期以來一直以來都備受詬病，該設備被綁定到一個與銀行卡相連的賬戶上。所有流程對用戶都是透明的，並且可以取消購買。例如，RiskTool類型的應用程序還具有一個選項，供用戶購買遊戲中的新關卡或漂亮女孩的照片，但付款對用戶來說完全不透明。應用程序本身會在沒有任何用戶參與的情況下向特殊號碼發送SMS，並收到RiskTool的確認消息。因此，應用程序知道成功付款並顯示購買的內容。但是，所顯示的內容仍由應用程序創建者自行決定。分析人員相信，廣告軟體和risktool類應用程序的泛濫肯定要在2019年大規模爆發。

移動挖礦軟體的數量大幅增加

2018年，分析人員發現使用移動挖礦軟體的攻擊比過去增加了5倍。這種增長可歸因於以下3個因素:

1.移動設備由於自帶的越來越強大的圖形處理器，使它們成為更有效的加密貨幣挖掘工具；

2.移動設備相對容易感染；

3.移動設備無處不在。

挖礦軟體所產生的載荷很容易被設備所有者檢測到，一旦後者懷疑有惡意活動，他們將採取措施。因此，網路犯罪分子正在部署新的大規模挖礦行動。

移動挖礦軟體通常基於現成的跨平台惡意代碼(例如，一個在Linux上運行良好的惡意代碼)，只需插入接收加密貨幣的錢包地址，並將有效載荷封裝在一個具有最小圖形界面的移動應用程序中，移動挖礦軟體就可以通過各種垃圾郵件等典型的方式進行傳播。

統計數據

在2018年，分析人員檢測到5321142個惡意移動安裝包，比去年減少409774個。儘管有所下降，但2018年使用惡意移動軟體的攻擊數量增加了一倍:1.165億次(2017年為6640萬次)。

受到攻擊的用戶數量也在繼續上升。從2018年1月初到12月底，卡巴斯基實驗室讓9895774名安卓用戶免受了攻擊，比2017年增加了77.4萬人。

受攻擊用戶地理分布如下：

受手機惡意軟體攻擊的用戶（排名前十的國家）：

*：在本報告所述期間，卡巴斯基實驗室移動解決方案的活躍用戶少於2.5萬的國家被排除在該評級之外。

**：在該國受到攻擊的用戶占該國卡巴斯基實驗室移動解決方案所有用戶的百分比。

伊朗(44.24%)和孟加拉(42.98%)排在前兩位，但在伊朗，受感染設備的比例顯著下降了13個百分點。與2017年一樣，伊朗最普遍的惡意軟體是Trojan.AndroidOS.Hiddapp家族。而在孟加拉國， Ewind家族的廣告軟體程序最為常見。

奈及利亞(37.72%)的排名從2017年的第五位攀升至第三位，最常見的廣告軟體程序來自Ocikq、Agent和MobiDash家族。

在2018年檢測到的所有威脅中，移動勒索軟體木馬(1.12%)的上升趨勢最小，其市場份額大幅下降了8.67%。間諜軟體 (1.07%)的情況也類似，其市場份額下降了3.55%。

只有Trojan-Dropper是個明顯的例外，它的份額幾乎翻了一番，從8.63％增加到17.21％。這一增長反映了網路犯罪分子使用移動Dropper封裝各種有效載荷的趨勢：銀行木馬、勒索軟體、廣告軟體等等。

和Trojan-Dropper一樣，來自移動銀行的金融威脅也幾乎翻了一番，從1.54%增加到了2.84%。

令人驚訝的是，SMS 木馬(6.20%)在檢測到的對象數量上排名前五。這種瀕臨滅絕的威脅只在少數幾個國家很常見，但這並沒有阻止其份額在2018年的增長。儘管目前還沒有關於這以攻擊趨勢的討論，但禁用移動設備上的付費訂閱仍然非常有必要。

RiskTool在2018年和2017年一樣活躍，位於榜首位置(52.06%)，甚至比2017年還略有增長。

排名前20位的手機惡意軟體

下面的惡意軟體評級不包括潛在的不需要的軟體，如RiskTool和AdWare。

*：被該類型惡意軟體攻擊的所有用戶占被攻擊用戶總數的比例。

和往年一樣，2018年手機惡意軟體排名第一位的是DangerousObject.Multi.Generic（68.28％），

排名第二的是Trojan.AndroidOS.Boogr.gsh (10.67%)，第三、第四、第七和第九分別是Trojan-Banker.AndroidOS.Asacub家族的惡意軟體，這是2018年的主要財務威脅。

排名第五和第八的是Trojan-Dropper.AndroidOS.Hqwar家族的惡意軟體，它們可以包含各種與金融威脅和廣告軟體相關的惡意軟體。

前10大威脅還包括Trojan-Banker.AndroidOS.Svpeng.q（2.87％），這是2016年最常見的移動銀行木馬。該木馬使用網路釣魚窗口竊取銀行卡數據，還攻擊簡訊銀行系統。

特別值得注意的是排名第13位和第20位的惡意軟體，分別是Trojan.AndroidOS.Triada.dl（1.99％）和Trojan.AndroidOS.Dvmap.a（1.44％）。這兩個木馬非常危險，因為它們使用超級用戶許可權來執行惡意活動。特別是，它們會將惡意模塊放置在設備的系統區域中，用戶只能讀取該組件，因此無法使用常規系統工具將其刪除。

移動銀行木馬

2018年，分析人員檢測到151359個木馬程序安裝包，是2017一年的1.6倍。