首页 > 安全钻研 > 安全传递 > 安全简讯

【汇报分享】卡巴斯基年度汇报系列（一）-2018年移动威胁景观

颁布功夫 2019-04-26

一、年度数字

2018年卡巴斯基尝试室的产品和技术共检测到：

? 5,321,142个恶意装置包
? 151,359个新的移动银行木马

? 60,176个新的移动勒索软件

二、年度趋向

2018年移动用户遭到有史以来最为剧烈的网络攻击。在这一年中，我们不仅观察到新的习染技术（例如DNS劫持攻击），还观察到传布模式的升级（例如SMS垃圾短信）。病毒开发者专一于：

? 旨在绕过检测的Dropper（木马开释器）
? 攻击银行账户
? 可造成侵害的灰色软件（RiskTool）

? 告白软件

2018年，我们发现三个利用移动平台的APT攻击活动，这些攻击活动旨在监督用户，蕴含用户的社交网络谈天。除此之表，本汇报对2018年全球领域内的重要移动威胁事务都有涉及。

2.1 Dropper的崛起

在从前三年中，Dropper已经成为移动犯罪分子的首选兵器。这种恶意法式类似于俄罗斯套娃，它的装配流程越来越流水线化，犯罪分子能够等闲地创建、使用和销售它们。一个Dropper可能服务于多个客户，蕴含勒索软件、银行木马以及告白APP。Dropper作为暗藏原始恶意代码的伎俩，其益处在于：

? 逃避检测。尤其是哈希检测，由于Dropper每次都能够天生一个新的文件哈希值，而内部的恶意软件齐全不变。

? 创建肆意数量的分歧文件。病毒开发者在使用虚伪利用商店进行攻击时会用到这个职能。

只管Dropper并不新鲜，但2018年Q1其攻击数量急剧增长，其中Trojan-Dropper.AndroidOS.Piom家族的贡献最多。这一趋向在Q2及之后的季杜仔所放缓，但总体增长趋向不变。毫无疑难，尚未选取这一技术的犯罪团伙将很快采取行动，或者创建自己的Dropper，或者采办成熟的产品。这种趋向将会影响移动威胁的大图景：移动恶意软件家族的数量变少，但分歧种类的Dropper变多。

2.2 银行木马乘风破浪

2018年银行木马的统计数据极度夺人眼球。2018岁首，不论是在样本数量或是在受攻击的用户数量方面，这种类型的攻击都极度不变。但到了Q2情况急转直下，在木马数量以及受攻击的用户数量方面都创新高。这一情况的性质原因尚不明显，但罪魁祸首是Asacub 和Hqwar木马。前者汗青悠久 – 凭据GA黄金甲数据，犯罪团伙至少运营了三年。Asacub自身是从一个SMS木马演变而来，该木马从一路头就建设了拦截电话和SMS短信以及实现悠久性的工具。后来，木马开发者加强了逻辑，并起头利用SMS短信-社交工程攻击进行大规模分发。在线论坛成为指标手机号码的起源地。接下来，随着受害者造成传布者 – Asacub会向通讯录中的每一个号码都发送自己 – 雪崩式传布起头了。

2018年银行木马不仅仅是在规模方面引人瞩目，其机造同样值得关注。其中一个角度是对Accessibility Services（辅助职能）越来越宽泛的利用。这可能是对新版本Android的一个回应 - 在新版本Android中在银行APP上层叠加垂钓窗口变得越来越难题。另表，这也可能是由于辅助职能使得木马越发固执 – 用户无法自行删除它。并且，犯罪分子还能够利用辅助职能劫持合法的银行APP进行转账。另一个角度则是反动态分析技术；好比说，Rotexy木马会检测沙盒环境。这种行为固然不是新出现的，但值妥贴心的是，结合混合技术，病毒开发者可能会有效绕过利用商店的静态和动态检测。只管沙箱检测在犯罪分子中还未遍及，但这一趋向不成预防，我们偏差于以为这种技术在不久的将来会变得越发复杂。

2.3 告白软件和灰色软件

在整个2018年，这两类APP在装置包数量上面一向位列前三。造成这一趋向的原因有好多，但重要是由于告白软件及针对告白商的攻击是一条相对“安全”的“致富蹊径”。除了一些特例之表（告白软件导致的过热及动怒），这类攻击并不会敌手机主人造成侵害。侵害重要是针对告白商的，由于他们要为机械人（受习染的设备）对告白的点击进行付费。当然，一些告白APP会使得设备的使用履历极差，好比说，受害者必必重点击一堆告白能力发短信。问题在于，初始阶段用户很难发现哪一个APP导致了告白的出现，可能是一个手电筒APP，也可能是一个游戏，而告白是在告白APP之表随机出现的。并且，只有装置了一个此类APP，很快你的手机就会出现大量同类APP，把设备造成一个告白软件的乐园。最坏的情况下，告白APP会把自己写入system目录或出厂设置回滚剧本，导致唯一能够删除它们的步骤是机刷原始固件。

另表一方面，由于一次点击的成本能够忽略不计，因而总是有无限无尽的告白APP出现 – 犯罪分子开发和传布的告白软件越多，他们所能赚的钱就越多。最后，告白APP通常都不关切数据的传输加密，这意味着受害者的信息，蕴含位相信息，都可能在与告白商基础设施的HTTP通讯中露出。

灰色软件的情况略有分歧�；疑砑�2018年的移动威胁中所占的比例最大。在全球领域内，利用内采办一向是一项正常的职能，它通过设备账户关联的银行卡进行，采办流程对用户而言是通明的，并且能够随时取缔�；疑獳PP也蕴含内购职能，可能是游戏中的新关卡，也可能是一张美丽姑娘的照片，但采办流程对用户齐全不通明。在用户不知情的情况下，APP会自动向特定号码发送短信，并接管到相应简直认短信；灰色APP在接管到确认短信后，就会显示付费内容，但这些内容可能是APP开发人员轻易指定的。

这样，海量的灰色软件被用于销售无意思的内容，并且其开发工作还很单一 – 在技术方面，任何新手法式员都能实现发送SMS短信。

没有任何证据批注告白软件和灰色软件的攻击海潮会消退，2019年这一图景很有可能会持续。

2.4 移动矿工大幅增长

2018年，我们观察到移动矿工的攻击数量增长了五倍。这一增长可归因于以下几个成分：

? 移动设备的GPU变得前所未有的强力，这使得它们很适合挖矿。
? 习染移动设备相对容易

? 移动设备无处不在

固然矿工不是最引人瞩主张移动恶意软件，但它们对设备算力的大量亏损很容易被发现。一旦设备主人发现了可疑活动，他们就会采取措施解除习染。因而，为了添补受害者的流失，犯罪分子们部署了新的大规模恶意活动，并加强了它们的反移除机造。

移动矿工在技术上都很谦虚，它们通常是基于现有的跨平台恶意软件代码（例如Linux恶意代码） - 所必要做的工作只是把加密钱币钱包的收款地址植入代码，并把payload打包成一个移动APP。传布蹊径还是典型的垃圾短信等。

只管不能说2018年移动矿工已经将其它移动恶意软件赶下了王座，但也不能说这种威胁不够严沉。若是矿工开发者过于贪心或是代码不美满，该恶意软件可能会对设备电池造成很大侵害，甚至是过热及报废。

三、统计分析

2018年我们共检测到5,321,142个恶意装置包，比2017年削减了409,774个。

只管恶意装置包的数量降落了，但2018年我们检测到的攻击数量增长了一倍：1.165亿次（2017年为6640万次）。

GA黄金甲·(中国区)官方网站

2018年卡巴斯基检测到的移动攻击数量

遭逢攻击的用户数量同样一连了上涨趋向。从2018年1月初到12月末，卡巴斯基共�；ち�9,895,774个分歧的Android用户 – 比2017年增长了774,000个。

GA黄金甲·(中国区)官方网站

2018年遭逢攻击的用户数量

GA黄金甲·(中国区)官方网站

2018年遭逢攻击的用户的地理散布

遭逢恶意软件攻击的移动用户比例最高的国度/地域Top 10

国度/地域*	%**
伊朗	44.24
孟加拉国	42.98
尼日利亚	37.72
印度	36.08
阿尔及利亚	35.06
印度尼西亚	34.84
巴基斯坦	32.62
坦桑尼亚	31.34
肯尼亚	29.72
菲律宾	26.81

*本表格不蕴含汇报期内卡巴斯基移动解决规划用户数量少于2.5万的国度/地域

**该国度/地域所有卡巴斯基移动用户中遭逢攻击的比例

伊朗（44.24％）和孟加拉国（42.98％）持续在前十名中维持当先地位，但伊朗的份额大幅着落了13个百分点。同2017年一样，2018年伊朗传布最宽泛的恶意软件是Trojan.AndroidOS.Hiddapp家族。而在孟加拉国，2017年和2018年最常见的恶意软件是Ewind家族。

尼日利亚（37.72％）从2017年的第五名攀升至2018年的第三名；最常见的告白软件是Ocikq、Agent和MobiDash家族。

3.1 移动恶意软件的类型散布

GA黄金甲·(中国区)官方网站

2017-2018年，移动威胁的类型散布

在2018年我们检测到的所有移动威胁中，勒索软件（1.12%）的大势是最为乐观的，它们的份额急剧着落了8.67个百分点。间谍软件（1.07%）的情况也差不多，它们的份额着落了3.55个百分点。与2017年相比，告白软件（8.46%）的份额同样有所降落。

Dropper是一个显著的例表，其份额从8.63%险些翻倍，达17.21%。这种增长反映出犯罪分子利用Dropper打包各类payload的嗜好：不论是银行木马，还是勒索软件、告白软件，等等。这一趋向看起来将在2019年持续下去。

不幸的是，同Dropper一样，针对金融行业的银行木马威胁也险些翻了一番 – 从1.54％增长至2.84％。

令人惊讶的是，SMS短信木马（6.20%）在前五名中挤得一席之地。这种即将消亡的威胁只在少数几个国度中肆虐，但其份额与2017年相比仍旧有所增长。只管讨论这类威胁的沉新崛起为时过早，但在您的移动设备上取缔付费订阅仍旧很有必要。

同2017年一样，2018年灰色软件仍旧维持活跃，它们不仅再夺榜首（52.06%），其份额甚至略有增长。

移动恶意软件Top20

下表不蕴含任何潜在有害软件，例如灰色软件和告白软件。

Verdict（特点词）	%*
DangerousObject.Multi.Generic	68.28
Trojan.AndroidOS.Boogr.gsh	10.67
Trojan-Banker.AndroidOS.Asacub.a	6.55
Trojan-Banker.AndroidOS.Asacub.snt	5.19
Trojan-Dropper.AndroidOS.Hqwar.ba	3.78
Trojan-Dropper.AndroidOS.Lezok.p	3.06
Trojan-Banker.AndroidOS.Asacub.ce	2.98
Trojan-Dropper.AndroidOS.Hqwar.gen	2.96
Trojan-Banker.AndroidOS.Asacub.ci	2.95
Trojan-Banker.AndroidOS.Svpeng.q	2.87
Trojan-Dropper.AndroidOS.Hqwar.bb	2.77
Trojan-Banker.AndroidOS.Asacub.cg	2.31
Trojan.AndroidOS.Triada.dl	1.99
Trojan-Dropper.AndroidOS.Hqwar.i	1.84
Trojan-Dropper.AndroidOS.Piom.kc	1.61
Exploit.AndroidOS.Lotoor.be	1.39
Trojan.AndroidOS.Agent.rx	1.32
Trojan-Banker.AndroidOS.Agent.dq	1.31
Trojan-Dropper.AndroidOS.Lezok.b	1.22
Trojan.AndroidOS.Dvmap.a	1.14

*遭逢该类型的恶意软件攻击的用户占所有遭逢攻击的用户的比例

纵观2018年，移动恶意软件Top20中的榜首与前几年一样依然是DangerousObject.Multi.Generic（68.28%）。

第二名是Trojan.AndroidOS.Boogr.gsh（10.67％）。

第三、第四、第七和第九名都被Trojan-Banker.AndroidOS.Asacub家族的成员所占据。该家族也是2018年的重要金融威胁之一。

第五和第八名是Dropper家族Trojan-Dropper.AndroidOS.Hqwar。该家族蕴含金融威胁及告白软件等多种分歧的恶意软件。

老面庞Trojan-Banker.AndroidOS.Svpeng.q（2.87%）也还在前十名中占据一席之地，该木马曾是2016年的最常见银行木马。该木马通过垂钓窗口窃取银行卡信息，还攻击SMS短信银行系统。

必须提到的是第13名Trojan.AndroidOS.Triada.dl（1.99%）和第20名Trojan.AndroidOS.Dvmap.a（1.44%），这两个木马使用超等用户的权限来执行恶意活动，因而极为危险。具体来说，它们将组件搁置在用户只拥有读权限的系统区域，使得自己无法被通例系统工具删除。

3.2 移动银行木马

2018年，我们共检测到151,359个移动银行木马的装置包，是2017年的1.6倍。

GA黄金甲·(中国区)官方网站

2018年卡巴斯基检测到的移动银行木马装置包数量

在监测移动银行木马的活动时，我们发现这类恶意软件攻击数量上出现了一个巨大的飞跃。这种增长在以前从来没有出现过。增长肇始于2018年5月，并在9月达到顶峰。罪魁祸首是Asacub和Hqwar家族，这两个家族的成员以创纪录的频率进行传布。

GA黄金甲·(中国区)官方网站

2017-2018年移动银行木马的攻击数量

GA黄金甲·(中国区)官方网站

2018年遭逢移动银行木马攻击的用户地理散布

遭逢移动银行木马攻击的用户比例最高的国度/地域Top10

国度/地域*	%**
俄罗斯	2.32
南非	1.27
美国	0.82
澳大利亚	0.71
亚美尼亚	0.51
波兰	0.46
摩尔多瓦	0.44
吉尔吉斯斯坦	0.43
阿塞拜疆	0.43
格鲁吉亚	0.42

*本表格不蕴含汇报期内卡巴斯基移动解决规划用户数量少于2.5万的国度/地域

**该国度/地域所有卡巴斯基移动用户中遭逢银行木马攻击的用户比例

与2017年一样，第一名还是俄罗斯，该国度2.32%的移动用户遭到银行木马攻击。最常见的家族是Asacub、Svpeng和Agent。

第二名是南非（1.27％），该国度最为活跃的银行木马家族是Agent。美国用户（0.82％）最常遇到的则是Svpeng和Asacub家族的成员。

总体来说，2018年最常见的移动银行木马家族是Asacub，在所有遭逢银行木马攻击的移动用户中，62.5%的用户遇到的是该家族的成员。

3.3 移动勒索软件

不思考通过Dropper或Downloader传布的勒索软件，移动勒索软件的攻击数量在2018年Q1出现了大幅降落。原因是犯罪分子此刻普遍使用两阶段攻击，通过Dropper来分发这些恶意法式。2018年整年我们共检测到60,176个勒索软件装置包，比2017年削减了9倍。

GA黄金甲·(中国区)官方网站

2018年卡巴斯基检测到的移动勒索软件装置包的数量

2018年上半年移动勒索软件的攻击数量呈降落趋向，但到了6月份出现了一个急剧增长，约增长至3.5倍。

GA黄金甲·(中国区)官方网站

2017-2018年，移动勒索软件的攻击数量

2018年，卡巴斯基尝试室的产品共为150个国度的80,638位用户提供了移动勒索软件防护。

GA黄金甲·(中国区)官方网站

2018年，遭逢移动勒索软件攻击的用户地理散布

遭逢移动勒索软件攻击的用户比例最高的国度/地域Top10

国度/地域*	%**
美国	1.42
哈萨克斯坦	0.53
意大利	0.50
波兰	0.49
比利时	0.37
爱尔兰	0.36
澳大利亚	0.28
罗马尼亚	0.27
德国	0.26
瑞士	0.22

*本表格不蕴含汇报期内卡巴斯基移动解决规划用户数量少于2.5万的国度/地域

**该国度/地域所有卡巴斯基移动用户中遭逢移动勒索软件攻击的用户比例

美国陆续第二年排名榜首，1.42%的用户遭到攻击。与2017年一样，2018年最常见的勒索软件家族是Trojan-Ransom.AndroidOS.Svpeng 。

第二名是哈萨克斯坦（0.53%），该国度最活跃的勒索软件家族是Trojan-Ransom.AndroidOS.Small和Trojan-Ransom.AndroidOS.Rkor。后者与其它勒索软件不太一样，它会向受害者展示一张不美观图片，而后责怪受害者查阅犯法内容。

事实上，正如它的忠告信息宣称的那样，该木马不会网络任何幼我数据或中断设备的运行，但要从受习染的设备删除它也不容易。

四、结论

七年来，移动威胁不休演变，不仅是在新变种的数量和技术上不休发展，并且有更多的方式从移动设备中获取经济利益及高价值信息。2018年的数据批注，某些恶意软件会在一段沉静期过后迎来发作，2018年的例子是银行木马家族Asacub，而2019年或许是勒索软件的反扑海潮。

申明：本汇报中的统计数据起源于卡巴斯基的移动安全解决规划（Android版手机杀毒软件及其它），因而与2017年同期统计的数据可能有所分歧。由于卡巴斯基产品的使用率及覆盖领域的增长，这些统计数据越发靠得住，也加强了对威胁景观的洞察。总的来说，我们在统计数据时使用的产品越多，我们对移动威胁景观的洞察也就越正确。

原文链接：https://securelist.com/mobile-malware-evolution-2018/89689/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

【汇报分享】卡巴斯基年度汇报系列（一）-2018年移动威胁景观

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线