AVL移動安全團隊統計2014年移動惡意程式碼資料時發現:本年度Android惡意程式碼總量已增至123萬。從歷年惡意程式碼總量的發展趨勢來看,2014年Android惡意程式碼總量的增長幅度沒有延續去年猛增的勢頭,而是突然開始趨近平緩。Android惡意程式碼的傳播速度真的減緩了嗎?
一、摘要
- 2014年,Android惡意程式碼出現兩個傳播高峰:第一個高峰出現在3、4、5月,當時國內某知名應用市場出現了大量捆綁木馬,另一個高峰是由於12月爆發了大量惡意色情應用。
- 2014年,Android惡意程式碼的主要行為依然是惡意扣費。由於簡訊攔截木馬的爆發,導致隱私竊取類惡意程式碼數量增長明顯。
- 2014年,Android惡意程式碼利用各種技術手段躲避手機安全軟體的查殺。
- 2014年,大量廣告應用被植入惡意程式碼,主要用於竊取使用者重要隱私資訊、推送其他惡意應用等,嚴重侵犯使用者利益。
- 2014年,惡意程式碼緊盯手機使用者的網銀支付賬號密碼,手機支付類病毒越來越多。網銀資訊洩露會給使用者造成無法估量的經濟損失。
- 2014年,簡訊攔截木馬大面積爆發。攻擊者通過偽基站傳播釣魚網站,誘導使用者安裝簡訊攔截馬。該木馬主要用於竊取使用者銀行卡資訊,最終實現資金竊取。
- 2014年,惡意色情應用利用其誘惑性引誘使用者下載,安裝後會在後臺不斷推送惡意應用,消耗手機流量、非法賺取推廣費用甚至傳送扣費簡訊,會給使用者造成嚴重經濟損失。
二、Android惡意程式碼數量情況1 總量變化趨勢
AVL移動安全團隊統計2014年移動惡意程式碼資料時發現:本年度Android惡意程式碼總量已增至123萬。從歷年惡意程式碼總量的發展趨勢來看(如圖1),2014年Android惡意程式碼總量的增長幅度沒有延續去年猛增的勢頭,而是突然開始趨近平緩。Android惡意程式碼的傳播速度真的減緩了嗎?
圖1 Android惡意程式碼數量變化情況
2014年,Android惡意程式碼的傳播速度真的減緩了嗎?
分類統計Android惡意程式碼後發現,近兩年FakeInst家族惡意程式碼數量在全年惡意程式碼總量中比重較大(如圖2所示)。2013年,FakeInst家族惡意程式碼數量佔全年總量的43%。到2014年,該比例降到22%,這在一定程度上影響了Android惡意程式碼全年總量的變化趨勢。
圖2 FakeInst家族惡意程式碼佔總量比例情況
因此,為減少該家族惡意程式碼數量對總量趨勢變化的影響,除去FakeInst家族後統計歷年Android惡意程式碼數量(如圖3),我們看到2014年Android惡意程式碼數量依然保持高速增長,增幅並沒有減緩的趨勢。
圖3 歷年Android惡意程式碼數量變化情況(除FakeInst家族)
2 每月數量變化情況
統計近兩年每月Android惡意程式碼數量時發現:每年1、2月的惡意程式碼傳播量均處於低峰;2013年惡意程式碼傳播高峰出現在7、8月,因為當時出現大量利用MasterKey漏洞的惡意程式碼;2014年惡意程式碼傳播出現了兩個高峰:第一個高峰出現在3、4、5月,當時國內某知名應用市場出現了大量捆綁木馬,另一個高峰是由於12月爆發了大量惡意色情應用。
圖4 每月惡意程式碼數量變化情況
三、 Android惡意程式碼詳情分析1 惡意程式碼家族Top10
統計2014年所有惡意程式碼家族,可以發現惡意程式碼數量最多的依然是FakeInst家族,數量超過27萬。相比於2013年,減少了近14萬。從地理位置上來看,該家族惡意程式碼主要存在於俄羅斯,世界其他地方同樣也存在樣本。圖5展示了2014年Android惡意程式碼家族Top10及傳播情況。
圖5 Android惡意程式碼家族Top10
2 偽裝應用名稱Top10
惡意程式碼往往通過偽裝成其他應用,誘導使用者下載安裝。統計2014全年惡意軟體偽裝的應用名稱後發現,大多都是極具誘惑力的色情應用名稱,因此建議使用者不要被低俗內容所誘惑,不要輕易訪問自己不熟悉的視訊網站。圖6展示了2014年惡意軟體偽裝名稱Top10。
圖6 惡意軟體偽裝名稱Top10
3 惡意行為型別分佈
惡意扣費依然是Android惡意程式碼的主要行為,體現出惡意程式碼的趨利性。2014年,由於簡訊攔截木馬的大規模爆發,導致隱私竊取類的惡意程式碼數量增長明顯。攻擊者通過竊取使用者銀行賬戶、密碼等重要隱私資訊,最終給使用者造成資金損失。因此AVL移動安全團隊建議使用者,不要隨意點選簡訊、QQ、微信等聊天工具中發來的連結。
圖7 惡意程式碼行為型別比例情況
4 典型惡意行為特徵
2014年,Android惡意程式碼出現很多新的惡意行為,其中較為典型的惡意行為如下:
- 通過瘋狂截圖來獲取聊天資訊、簡訊內容等,以竊取使用者隱私資訊;
- 利用手機殭屍網路“挖礦”——CoinKrypt家族木馬;
- 通過手機架設Web伺服器,竊取使用者隱私,反向連結的行為更加隱蔽——Gandspy家族木馬;
- 將移動裝置加密鎖屏後,對使用者進行勒索——simplelock家族;
- 偽造關機,實際上在後臺竊聽——shutdownhack家族木馬;
- 惡意刷Google Play榜的“刷榜客”殭屍木馬;
- XX神器爆發後,簡訊蠕蟲氾濫。
四、 Android惡意程式碼技術新趨勢1 Rootkit和Bootkit攻擊技術
2014年,採用Rootkit攻擊技術的木馬有:長老木馬、PoisonCake家族等;Android平臺上首個採用Bootkit技術的木馬:Oldboot(中文名:不死木馬)。這些木馬雖然目前只能通過ROM植入方式來傳播,需要Root許可權才能查殺。但是移動安全廠商也不可掉以輕心,需要努力建立更為強大移動惡意程式碼對抗方案。
2 程式語言多樣化
Android應用支援多種開發語言,除常規的Java與C/++,還有易語言、VB、C#、HTML5等。2014年開始捕獲到使用易語言和C#開發的惡意應用,其中易語言開發的惡意程式碼應用已超過200餘個。
3 惡意軟體加殼技術
2014年,更多惡意軟體採用加殼技術躲避安全軟體的查殺。2013年到2014年僅一年時間,加殼惡意軟體數量就增長了約18倍(如圖8所示)。
圖8 加殼惡意軟體數量增長趨勢
到目前為止,AVL移動安全團隊共發現20餘種Android應用加殼方案。圖9中統計了被惡意軟體使用最多的十大加殼方案。
圖9 惡意軟體加殼技術Top10
值得注意的是,使用DexProtect和apkprotect加殼技術的惡意軟體佔比極高(如圖10所示),很可能是專門為惡意程式碼開發的加殼方案。
圖10 使用加殼技術的惡意軟體比例情況
五、典型惡意軟體發展現狀1 惡意廣告應用愈加火熱
據AVL移動安全團隊統計數字表明,近兩年惡意廣告數量增幅較大(如圖11所示)。使用者每安裝三個APP,其中至少有一個包含了廣告。
圖11 惡意廣告APP數量變化趨勢
從惡意行為來看,惡意廣告件的趨利性更加明顯。通過竊取重要隱私資訊、頻繁推送廣告、靜默下載安裝其他應用、攔截簡訊等方式非法牟利。
2 手機支付軟體暗藏風險
2014年是移動購物強勁爆發的一年。各大網上商城的移動支付金額大幅增長。移動支付業務的暴增,繁榮了移動支付市場,同時也引來了捆綁支付外掛的惡意軟體。根據AVL移動安全團隊統計資料表明,相比於2013年,2014年被植入支付外掛的惡意應用數量猛增近8倍。圖12展示了含支付外掛的惡意應用的傳播情況。
圖12 含惡意支付外掛的應用數量情況
3 簡訊攔截木馬盜取資金
2013年5月,AVL移動安全團隊持續監測到了一類高活躍高危害的簡訊攔截型別木馬,並在2014年1月開始大面積爆發。到目前為止共捕獲近4萬餘簡訊攔截木馬。圖13為簡訊攔截木馬每月數量情況。
圖13 簡訊攔截木馬傳播情況
目前比較常見的一種簡訊攔截木馬行為是:通過偽基站傳送偽造釣魚網站地址,使用者訪問釣魚網站後,欺騙使用者輸入個人資訊並誘導使用者下載安裝簡訊攔截木馬,最後使用者線上轉賬時通過攔截木馬將網銀驗證碼攔截轉發到攻擊者手機上,實現資金竊取。圖14展示了簡訊攔截木馬的攻擊模式。
圖14 簡訊攔截木馬攻擊模型
據統計,簡訊攔截木馬一般會偽裝成中國移動相關的應用名稱,誘導使用者下載安裝。當前偽基站只能針對2G網路,中國移動的2G使用者基數最為龐大,因此簡訊攔截馬主要是攻擊使用中國移動2G網路的手機使用者。圖15統計了簡訊攔截木馬偽裝應用名稱Top10。
圖15 攔截馬偽裝應用Top10
4 惡意色情應用誘惑升級
2014年,AVL移動安全團隊捕獲色情應用超過10萬個,其中惡意色情應用佔比高達65%。圖16展示了2014年每月捕獲的色情應用及惡意色情應用的數量變化趨勢,可以看出此類應用數量呈現出爆發式增長。
圖16 惡意色情應用捕獲情況
惡意色情應用主要利用低俗內容引誘使用者下載,安裝後會在後臺不斷推送惡意應用,消耗手機流量、非法賺取推廣費用甚至傳送扣費簡訊,逐步形成一條通過惡意推廣和惡意扣費進行非法牟利的灰色利益鏈。
圖17 惡意色情應用灰色利益鏈
六、 安全建議
面對愈加複雜的移動應用環境,AVL移動安全團隊建議廣大使用者:
- 不要連線陌生的Wifi,它們有可能是黑客設定的陷阱。
- 切勿被低俗內容所誘惑,不要輕易訪問自己不熟悉的視訊網站;
- 切勿隨意點選簡訊、QQ、微信等聊天工具中發來的連結;
- 在使用手機支付功能時,應清楚認識到手機支付過程中可能存在的安全威脅,並盡力避免風險。