历时两个月,2016年安天移动安全年报于今日发布。我们获得了授权,在此推出极简微信版本,感兴趣的网友,请移步安天官方技术博客,阅读《2016年安天移动安全年报:威胁的全面迁徙》的完整版!(安天从2005年开始,每年年初公布年报,对上一年度网络威胁状况进行总结,对威胁演进趋势做出预测。)
观点和现象
色情应用、流氓推送占比最大,移动用户的资产和数据安全堪忧
2016年移动威胁依然严峻,严重困扰着每个移动用户的资产和数据安全。移动恶意代码作为重要的移动威胁手段,经过近几年的迅猛发展在技术手段上已趋近成熟,并保持着稳定的增长。2016年,恶意代码样本总量在2015年总数的基础上翻了一番,新增恶意代码变种大幅增加,同比增长近40%。与2015年相比,移动威胁在新型恶意代码的演变上保持平稳的线性增长,既有的恶意代码仍在持续的进化与对抗。
图 1 2015年-2016年移动恶意代码增长趋势
2016年恶意代码家族Top10排行中以色情应用、流氓推送为代表的恶意家族所占比重较大,这表明恶意代码开始转向与其他传统的灰色产业链结合的形式谋取利益和生存,由于这类应用大多具有擦边球行为,也给移动威胁的治理带来了很大的附加成本和判定难度。
图 2 2016 年恶意代码家族Top10
从恶意行为类型来看,2016年流氓行为类型的恶意代码同比增长15%,占比高达57%,依然保持在第一位,是最值得关注的恶意行为。资费消耗和恶意扣费类型的恶意代码数量依然较多,排位依然靠前,分列第二位和第三位,这与其能够带来直接的金钱收益有关。
图 3 2015年和2016年恶意代码行为分布图
从上述数据统计可以看出,流氓行为的恶意代码开始大量投入,不断困扰着用户;对用户隐私窃取和诱骗欺诈的攻击也开始加剧;大部分移动互联网产业和普通用户遭受的现实威胁仍然以大量高频的弱威胁为主,这些威胁由于危害程度较弱,存在大量灰色空间,在数据统计中占据了绝对地位。
此外,随着地下产业链的发展,这类弱威胁所依托的“流量模式“或“个人隐私倒卖”的变现路径逐渐完备,低投入高收益的盈利模式已经形成,更进一步地加剧了这类威胁,使其成为普遍现象。
一言不发ROOT你!2016年第四季度恶意代码爆发
攻击者加强Root技术使用
2016年Root型恶意代码家族变种数量增长迅速,新增Root型恶意代码变种为73个,是2015年的3倍多。2016年Root型恶意代码样本数量Q1、Q2季度增长缓慢,Q3、Q4季度迅猛增长,仅Q3季度总量就超过了2015年全年Root型恶意代码样本数量的5倍,可见Root型恶意代码在2016年进入了一个爆发期。
图4 2015年-2016年Root型恶意代码样本增长趋势
攻击者热衷使用开源技术方案
借助开源技术方案带来的技术积累,不仅方便了恶意开发者制作攻击武器,还能够有效的逃避反病毒引擎的检测;此外,还能够有效地减少受害用户对恶意程序的感知能力,起到更好的潜伏和攻击效果,这也是攻击者热衷于使用这类开源技术方案的主要原因。
攻击者利用社工欺诈手段绕过安全权限
2016年9月国外安全厂商“卡巴斯基”公开揭露了一款利用社会工程学的恶意代码。该恶意代码针对安全性较强的Android 6.0版本系统进行攻击,它通过频繁弹出确认权限请求窗口的方法强制绕过系统新增的应用程序覆盖权限和对危险应用程序活动的动态权限请求的安全功能,导致用户的手机陷入恶意代码的控制中。在12月底,出现了伪装成正常应用Chrome,并通过发送Intent诱使用户将其加入白名单这种欺骗手段绕过Doze机制的恶意应用。
2016年移动恶意代码新变种增长迅速,Root型恶意代码无论从数量和功能上都呈现出较为迅猛的增长和进化趋势。使用开源解决方案的恶意代码开始萌芽,恶意开发者对于绕过Android系统新增安全机制的进一步尝试等,这些真实存在的威胁案例从侧面可以反映出移动威胁技术正在持续的进化。
电信诈骗高度体系化,这些短信你一定全都收到过
2016年电信诈骗特别是诈骗电话犯罪持续高发,媒体也公开披露过多起涉案金额巨大甚至致人死亡的电话诈骗案件。诈骗短信是电信诈骗当中重要的威胁形态之一,也是移动恶意代码进入用户手机中的重要入口。诈骗短信持续泛滥,伪基站是罪魁祸首,在2015年移动安全年报中提到的短信拦截马威胁的攻击模式在2016年依旧活跃,给受害用户造成了巨大的财产损失。针对电信诈骗的权威数据显示,2015年全国公安机关共立电信诈骗案件59万起,同比上升32.5%,共造成经济损失222亿元。下图展示了四例常见诈骗短信示例。
图6 诈骗短信示例
为提高诈骗的成功率,诈骗者需要搜集各方面的情报。网络电信诈骗情报体系由三大块组成:诈骗目标相关情报、诈骗手法相关情报和资金相关情报。诈骗者通过黑市购买、网络搜索、木马回传等手段对这些情报进行搜集,然后进行筛选、吸收,最后实施诈骗。移动相关的网络电信诈骗已经形成上下游产业链并且高度体系化,甚至分为了4类专业的团伙以进行密切的分工与协作,这在极大程度上助长了移动相关的诈骗泛滥成灾。
图7 电信诈骗产业链
移动威胁正从个人向企业组织迁移
除了大量的个人用户遭受到移动威胁的侵蚀,由于企业对移动威胁的重视程度普遍不足,导致移动威胁造成的企业资产受损的事件近年有上升趋势。其中具有代表性的威胁案例是2016年8月由国外安全厂商首先公开披露的恶意代码“DressCode”,该病毒利用SOCKS代理反弹技术突破内网防火墙限制,窃取内网数据,能够以手机终端作为跳板实现对企业内网的渗透(具体的攻击流程如下图所示)。“DressCode”恶意代码的出现表明移动恶意代码已经具备对企业进行渗透攻击的能力。
图8 DressCode攻击流程图
在另外一个场景中,则是通过篡改DNS实现对企业的渗透和攻击,2016年底在移动平台出现的“Switcher”恶意代码家族能够借助移动终端接入Wi-Fi对连入的路由器DNS服务进行攻击,恶意篡改DNS服务器地址从而实现受害用户网络流量劫持。从其整体的攻击流程和目标来看,移动威胁当前已经具备了对DNS这类网络服务进行恶意利用的能力。
图9 DNS劫持流程图
从前文案例可以看出,移动威胁也正在从个人向企业组织迁移,值得企业安全管理人员关注和预警。
移动终端已成为APT的新战场
截止到2016年末,公开揭露的针对移动终端的APT攻击事件已有十几例,其不仅针对Android平台,也覆盖了iOS、黑莓等其他智能平台。2016年8月,在Pegasus间谍木马攻击一名阿联酋社会活动家的事件中,使用了三个针对iOS的0-day漏洞实现攻击,表明在移动攻击场景下也可以和Cyber APT一样将高级攻击技术应用到APT攻击过程。上述案例表明移动终端已经成为APT组织进行持续化攻击的新战场,并重点以对特定目标人物的情报搜集和信息窃取为目的。
全球移动支付安全正遭受威胁
Android平台2016年在移动金融威胁上新增了Svpeng、GBanker、Gugi、Slocker、FakeBank、Marcher等16个银行木马家族,52个银行木马变种,其中感染量较大的为Svpeng、GBanker、Gugi、Slocker、FakeBank等木马家族。
图10 2016年银行木马家族Top5及感染量
从攻击的目标来看,国内外的银行木马的目的主要是窃取受害用户银行账号、银行账号密码等与银行支付相关的高价值信息。
2016年新增的移动银行木马对全球50多家银行造成了不同程度的影响,其中影响的地域包括了俄罗斯、中国、美国、加拿大、澳大利亚、德国、法国、波兰等国家和地区。从下图可以看出2016年新增的移动银行木马主要针对俄罗斯、中国的移动终端用户。
图11 2016年移动银行木马主要感染区域分布图
隐私泄露成为移动威胁重要帮凶
近年来,针对各类网站系统的脱库、撞库攻击频繁发生,大量用户的高价值隐私数据信息被泄露。隐私的大面积泄露,已经成为移动威胁当中重要的帮凶和支撑性的环节,这个大趋势不可避免会导致移动威胁朝着长尾化、精准化和碎片化的方向发展。隐私泄露已经成为普遍的安全威胁和问题,它助长了移动威胁的增长,并把移动威胁引导向了精准化、碎片化、高价值转化的方向上,使得移动威胁的长尾现象更加显著。这使得每个用户遇到都是高精准的、难以大面积出现、具有普适性的威胁,恶意攻击者不需要通过大面积的攻击来实现价值转化。
移动勒索软件种类迅速增长
对比近2年移动勒索软件数量,我们发现2016年4个季度与2015年同期相比样本数量都有不同程度的倍增,其中第1季度增长了近7倍,可见移动勒索软件在2016年得到了迅猛的发展。
图12 近两年移动勒索软件数量变化情况
我们对勒索软件影响的地域进行了统计,发现东欧或俄罗斯的占比为54.8%,其次是中国占据了38.65%,英美占据2.95%,中东地区的伊朗占据了3.6%,这表明俄罗斯和中国是2016年移动勒索软件检测和感染率最高的国家。
图13 勒索软件在全球范围内分布情况占比
与PC端相比移动终端勒索软件的攻击对象依旧以普通用户为主,并且在“赎金”要求上相对较低,加之移动终端系统不断更新的系统安全机制能够在一定程度上抵御勒索应用的攻击。从这个角度来看,移动勒索软件对用户的威胁影响相对有限。
iOS自成体系但并非安全神话
2016年针对iOS从9.0到10.x版本的系统公开了不少可以利用的漏洞及利用方法,其中比较典型的有针对iOS 10.1.1对mach_portal攻击链的利用方法,以及具有较高影响力的针对iOS 9.3.4系统定向攻击窃取阿联酋的一位人权活动家隐私的“三叉戟”漏洞。同时为了提取特定Apple手机的数据,FBI和Apple公司也进行了长达数月的司法纷争。最终通过第三方公司,对手机中的数据进行破解和提取。这也侧面反映出,iOS体系中Apple处于绝对的攻防核心地位,控制着所有安全命脉,但是iOS系统并非坚不可摧,在高级漏洞抵御层面并不占据优势。
围绕iOS系统的封闭性与安全性之争预计还将持续。但值得深思的是,因为iOS的安全封闭性,安全厂商、政府机构、普通用户等参与者难以建立有效的安全应对机制,虽然Apple在iOS系统漏洞的遏制和响应上具备一些优势和经验,在安全上的投入也取得了一些成绩,但用户在遭遇到新型威胁或高级攻击时即使是专业的安全团队也难以有效地配合跟进并帮助用户解决威胁问题。与Android这类开放的移动操作系统相比,iOS系统由于高封闭的模式在反APT工作以及与高阶对手的竞争中可能处于劣势,并在一定程度上局限了其商务应用的有效发展。
包含有“百脑虫”和“JMedia”等高级恶意代码的应用,相关的应用市场对于这类能够被反病毒引擎检出的恶意应用并没有及时进行下架处理,可见2016年Android应用市场频频出现恶意代码并非偶然,从根本上来看是因为Android应用市场的安全问题依然没有得到重视,也没有引入有效的安全检测和防护方案。
漏洞碎片化未得到有效遏制
由于Android系统的开源以及定制化造成的Android系统不可控的碎片化,同时也导致了Android系统漏洞的碎片化。根据CVE Details公开的数据显示,在2016年Android系统一共被收录了523个漏洞,其中包含有99个信息泄露相关的漏洞,2015年这类漏洞只有19个。值得注意的是2016年新增了250个可以提升权限的安全漏洞,2015年这类漏洞只有17个,增长超过13倍。
图15 近两年Android系统漏洞类型及数量对比
当前移动操作系统漏洞的有效利用点依然集中在提升权限漏洞上,还没有扩大到比较复杂的应用和攻击场景。但是,这种局面并没有得到有效的遏制,给整个攻击链的防御上带来了极大的风险和控制难度。2016年出现的大量手机Root型恶意代码充分印证了这一点。
应对:着重说说个人
个人用户作为移动安全威胁最终危害的主体,对其所面临的移动安全威胁并不具备足够的认识,并具有安全意识弱、情报来源窄、防护手段弱的特点。
基于个人移动安全威胁应对的难点,安天移动安全团队建议个人用户养成日常主动进行安全检测的习惯,同时建立安全的密码管理体系,避免因单点移动威胁造成大规模资金损失的情况。
此外个人用户需要提高对移动安全事件的关注度和敏感度,对与个人关联的威胁事件进行紧急响应,做好事后止损的工作。
预见
移动威胁进入APT时代
APT攻击的一个基本规律是:攻击是否会发生只与目标承载的资产价值和与更重要目标的关联度有关,而与攻击难度无关。这就使当移动设备承载更多资产,当智能终端的使用者也覆盖敏感人群,或他们的亲朋好友时,面向智能终端的设备的APT系统性的产生就成为一种必然。
在移动互联网时代,移动智能终端已经高度映射和展现人的重要资产信息和身份信息,除此之外,移动设备同时还具备极高的便携性和跨网域的穿透能力。从2016年出现的一些不同动机的攻击技术,预示着通过移动设备作为攻击跳板,可以实现对企业内网、物联网甚至基础设施的攻击。移动威胁会综合移动的高级攻击技术、移动互联网络的战略意义以及针对重点目标的战术价值为APT攻击组织提供更加丰富的攻击能力、攻击资源和战术思路。
隐私泄露导致移动威胁进一步加深
随着物联网、智慧城市的推进,摄像头、手机、可穿戴设备等智能硬件的普及,以及关系到大众民生的各种信息系统的互联互通,人们的生活方式都会网络化,所有主体的信息都会数字化,与此同时移动终端系统、物联网系统不断的被挖掘出高危漏洞,信息和数据泄露事件短期内看不到下降的趋势。
隐私泄露和移动攻击的泛滥和融合还会进一步加深,带来普遍的欺诈泛滥、威胁碎片的长尾化,对整个移动威胁的商业价值带来的长远影响。对于这一问题,安天将在后续发布的“基础威胁年报”给予更多解读。
企业级场景的移动威胁会大量出现
2016年出现了以移动应用作为中间跳板尝试对内网进行渗透,窃取内网的重要信息的恶意代码,同时,在年底出现了篡改用户手机连接的Wi-Fi路由器DNS进行流量劫持的移动恶意代码。移动终端、Wi-Fi路由都是当前针对企业场景攻击的重要的支撑点,当前大多企业对于移动威胁的检测和防御并没有引入有效的解决方案。从移动威胁的发展趋势来看,基于移动终端设备或应用的跳板攻击倾向性非常明显,伴随着各种BYOD设备在企业办公中开始普及并广泛使用,2017年移动威胁在企业级场景中可能会出现一定规模的增长。
移动勒索应用或将持续进化和迁移
2017年移动勒索软件可能会向3个方向进化:与其它恶意攻击方式结合、通过蠕虫形式让勒索软件进行大面积传播、结合远程控制指令对更加精确性的攻击。Android端的勒索软件会包含PC端勒索程序或者携带物联网恶意软件,进行跨平台发展,尝试感染PC或者智能设备。攻击者信息更加匿名。此外,类似PC端的勒索软件恶意勒索时使用比特币作为货币,通过匿名网络支付比特币这种形态会向Android平台迁移。
业务欺诈威胁损害凸显
2016年的“3.15晚会”上,“刷单”等网络黑灰产进入公众视野。恶意“刷单”主要使用机器大规模的自动完成垃圾注册和登录,通过大量的恶意账号、手机号码、IP地址进行虚假交易,通过刷信用,买家套现等技术手段来套取利润。“刷单”产业链已经逐步职业化、专业化,在虚假交易产业链上,上下游分工明确,分工涉及手机服务商的验证、快递公司甚至欺诈团伙。互联网企业遭受的业务欺诈威胁问题已经开始凸显出来。
六、总结
我们坚信领先的安全技术能够转化为坚实的用户安全价值。我们将为用户提供更加有效的安全威胁情报,帮助用户掌握和感知威胁态势,同时为用户提供更加精准的安全解决方案,用领先的移动威胁检测和安全防护产品和服务,保护更多的用户。
附典型的移动威胁事件时间轴
点击左下角阅读原文,查看完整版年报!
安天移动安全公司
安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。
安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报大数据平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。
安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与OPPO、VIVO、小米MIUI、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商建立合作,为全球超过6亿终端用户保驾护航。
更多信息详见公司官网:www.avlsec.com
电话: 027-8768-8199
邮箱: cooperation@avlsec.com
更多技术文章,尽请关注AVLTeam官方微信
