主要觀點(diǎn)

　　2020年奇安信威脅情報(bào)中心累計(jì)截獲Android平臺(tái)新增網(wǎng)銀盜號木馬樣本約20萬個(gè)，針對全球金融行業(yè)的攻擊依然是攻擊者的主要目標(biāo)之一。

　　從全球范圍來看，移動(dòng)互聯(lián)網(wǎng)的安全治理相對薄弱，特別是網(wǎng)銀盜號木馬依然泛濫，呈現(xiàn)出種類繁多、手段多樣等特點(diǎn)，對用戶財(cái)產(chǎn)威脅嚴(yán)重。而相比之下，國內(nèi)的移動(dòng)互聯(lián)網(wǎng)安全治理更有成效，整體安全環(huán)境明顯好于全球，特別是網(wǎng)銀盜號木馬等傳統(tǒng)移動(dòng)安全威脅，在國內(nèi)已經(jīng)比較少見。

　　2020年，AdbMiner挖礦木馬家族攻擊活躍，在全球范圍內(nèi)攻陷數(shù)以萬計(jì)的物聯(lián)網(wǎng)設(shè)備，國內(nèi)被攻陷的物聯(lián)網(wǎng)設(shè)備數(shù)量也接近千級。鑒于物聯(lián)網(wǎng)設(shè)備越來越多，物聯(lián)網(wǎng)安全事件對物聯(lián)網(wǎng)的設(shè)備的影響量也越來越廣。

　　由于物聯(lián)網(wǎng)設(shè)備也普遍以Android系統(tǒng)為基礎(chǔ)，且物聯(lián)網(wǎng)設(shè)備的安全防護(hù)水平普遍不及智能手機(jī)，因此，隨著用戶身邊的物聯(lián)網(wǎng)設(shè)備越來越多，物聯(lián)網(wǎng)設(shè)備被攻陷的風(fēng)險(xiǎn)也在日益增加。針對Android系統(tǒng)的安全研究，必須把物聯(lián)網(wǎng)設(shè)備考慮在內(nèi)。

　　2020年國內(nèi)依然有多條黑色產(chǎn)業(yè)鏈持續(xù)活躍，對用戶的隱私、財(cái)產(chǎn)安全威脅嚴(yán)重。其中，山寨網(wǎng)貸、裸聊勒索、誘惑視頻、刷量廣告、黑卡、群控、棋牌私彩最為突出。

　　摘    要

　　2020年奇安信威脅情報(bào)中心累計(jì)截獲Android平臺(tái)新增惡意程序樣本230萬個(gè)，平均每天截獲新增惡意程序樣本6301個(gè)。其中，惡意扣費(fèi)類占34.9%、資費(fèi)消耗類占24.2%、流氓行為類占22.8%、隱私竊取類占12.3%、誘騙欺詐類占4.3%、遠(yuǎn)程控制類占1.5%。

　　2020年國外出現(xiàn)眾多針對金融行業(yè)的網(wǎng)銀盜號木馬，而國內(nèi)出現(xiàn)少量的網(wǎng)銀盜號木馬對用戶資產(chǎn)造成威脅。

　　2020年老牌挖礦家族AdbMiner針對物聯(lián)網(wǎng)設(shè)備的攻擊活動(dòng)比較活躍，木馬通過特定端口持續(xù)感染不安全的物聯(lián)網(wǎng)設(shè)備實(shí)施挖礦來獲取收益。有關(guān)監(jiān)管機(jī)構(gòu)通過微信公眾號發(fā)布預(yù)警消息，警示充電寶木馬再次來襲。

　　2020年山寨網(wǎng)貸黑產(chǎn)通過偽冒正規(guī)網(wǎng)貸APP對民眾資產(chǎn)以及個(gè)人信息造成嚴(yán)重威脅。

　　2020年裸聊勒索黑產(chǎn)利用社會(huì)工程學(xué)引誘男性受害者下載安裝裸聊木馬并引誘其進(jìn)行裸聊，然后通過木馬竊取受害者裸聊視頻并對受害者進(jìn)行威脅恐嚇來獲取錢財(cái)。

　　2020年誘惑視頻木馬通過偽冒色情APP引誘用戶購買VIP來騙取錢財(cái)，但并不提供任何完整色情視頻。

　　2020年刷量廣告黑產(chǎn)通過對熱門APP二次改包的方式來注入廣告模塊并將廣告收益人指向自己。

　　2020年新型黑卡產(chǎn)業(yè)通過木馬遠(yuǎn)程控制受害者設(shè)備的方式，將受害者的設(shè)備作為自己的基礎(chǔ)設(shè)施來向下游黑產(chǎn)人員售賣服務(wù)進(jìn)行收益。

　　2020年群控黑產(chǎn)繼續(xù)發(fā)展，通過最新云控來登錄大量虛假賬戶，然后通過注冊水軍等多種方式獲取收益。

　　2020年棋牌私彩黑產(chǎn)繼續(xù)通過盜版視頻推廣、群推廣等多種渠道推廣木馬程序，引誘受害者進(jìn)行賭博并通過木馬程序控制賭博結(jié)果來騙取受害者錢財(cái)。

　　關(guān)鍵詞： 移動(dòng)安全、金融、流量、網(wǎng)銀盜號木馬、黑色產(chǎn)業(yè)鏈、挖礦、物聯(lián)網(wǎng)設(shè)備

　　第一章     Android平臺(tái)惡意樣本分析

　　2020年奇安信威脅情報(bào)中心累計(jì)截獲Android平臺(tái)新增惡意程序樣本230萬個(gè)，平均每天截獲新增惡意程序樣本6301個(gè)。2020年全年共有三個(gè)月爆發(fā)較大規(guī)模的新增惡意程序樣本，分別是位于上半年的4月（34.6萬個(gè)），下半年的10月（43.6萬個(gè)）和11月（45.2萬個(gè)），累計(jì)共占全年新增惡意程序樣本的53.7%。其中在爆發(fā)最高峰的10月和11月，這兩個(gè)月的惡意樣本占比高達(dá)70%以上，是最低峰6月的4倍。2020年Android平臺(tái)各月新增木馬數(shù)量見下圖。

　　2020年移動(dòng)端惡意樣本類型主要為惡意扣費(fèi)（占全年移動(dòng)端惡意樣本的34.9%），其次是資費(fèi)消耗（占比24.2%）、流氓行為（占比22.8%）?？梢钥吹?，大半的移動(dòng)惡意程序是直接沖著用戶“錢包”來的，切實(shí)關(guān)系到用戶直接的經(jīng)濟(jì)損失。

　　第二章     金融類Android木馬攻擊分析

　　國內(nèi)外的Android應(yīng)用安全環(huán)境存在很大的不同，世界各個(gè)不同地區(qū)的流行Android木馬，其攻擊目的、攻擊方式、偽裝方式也有很大的不同。研究和追蹤全球木馬流行趨勢，對于我們做好國內(nèi)的安全“免疫”工作，具有很重要的參考價(jià)值，也是威脅情報(bào)分析的核心工作之一。所以，在分析國內(nèi)Android木馬流行趨勢之前，我們首先對國外的Android木馬流行趨勢做一個(gè)基礎(chǔ)分析。

　　一、全球網(wǎng)銀類木馬流行趨勢

　　2020年奇安信威脅情報(bào)中心累計(jì)截獲Android平臺(tái)新增網(wǎng)銀盜號木馬樣本約20萬個(gè)，其中TOP5的網(wǎng)銀盜號木馬家族樣本多達(dá)近16萬個(gè)。

　　在TOP5全球網(wǎng)銀盜號木馬家族中，最“耀眼”的當(dāng)屬Anubis和Ceberus，其除了仿冒數(shù)百款國外銀行應(yīng)用進(jìn)行攻擊外，還在疫情期間借助疫情誘惑、吸引受害者。2020奇安信威脅情報(bào)中心疫情期間分別對其展開了披露，提醒廣大移動(dòng)互聯(lián)網(wǎng)用戶謹(jǐn)防中招。

　　網(wǎng)銀盜號木馬常常偽裝成其他應(yīng)用程序誘騙用戶下載安裝。監(jiān)測顯示，Chrome（23.7%）、佐川急便（8.2%，日本流行的快遞應(yīng)用）、Flash Player（4.7%）是被偽冒量最多的應(yīng)用。下圖給出了被國外網(wǎng)銀盜號木馬仿冒最多的10類應(yīng)用程序。TOP10排名見下圖。

　　Chrome瀏覽器是國外用戶手機(jī)上一款常用的APP，國外用戶對該APP的信任程度較高，故攻擊者們常將其作為仿冒的主要目標(biāo)。另外，攻擊者們也會(huì)出于某些目的將目標(biāo)瞄準(zhǔn)特定地區(qū)，如針對日本地區(qū)的佐川急便，針對土耳其地區(qū)的Sistem Güncelle?tirmesi（系統(tǒng)更新），針對韓國地區(qū)的KB????（KB儲(chǔ)蓄銀行），針對俄語地區(qū)的ВТБ Онлайн（VTB在線）、Одноклассники（Odnoklassniki）等。

　　分析顯示，在國外，流行的網(wǎng)銀盜號木馬主要通過以下四種技術(shù)方式來實(shí)現(xiàn)盜取用戶銀行卡憑證信息。

　　1.）利用釣魚頁面

　　例如，Chrome瀏覽器具備綁定銀行卡的功能，所以木馬偽冒Chrome在啟動(dòng)的時(shí)候彈出銀行卡綁定頁面誘騙用戶輸入銀行卡憑證。

　　2.）偽冒銀行APP

　　仿冒合法網(wǎng)銀APP軟件的木馬程序，會(huì)在用戶登錄時(shí)要求用戶輸入個(gè)人信息以及銀行卡憑證進(jìn)行竊取。

　　3.）彈出釣魚頁面覆蓋銀行APP

　　木馬一經(jīng)安裝啟動(dòng)就會(huì)在桌面上消失，躲藏在后臺(tái)默默運(yùn)行，等待用戶啟動(dòng)正常銀行APP時(shí)彈出釣魚頁面覆蓋銀行APP的頁面來誘騙用戶輸入銀行卡憑證進(jìn)行竊取。

　　4.）利用無障礙服務(wù)

　　木馬啟動(dòng)后要求用戶開啟Android系統(tǒng)為殘障人士提供的無障礙服務(wù)來監(jiān)聽用戶使用銀行APP情況，木馬還會(huì)記錄鍵盤輸入信息來進(jìn)行竊取銀行卡憑證。

　　二、針對國內(nèi)金融機(jī)構(gòu)的仿冒木馬

　　國內(nèi)網(wǎng)絡(luò)監(jiān)管審查相比國外更加嚴(yán)格，移動(dòng)互聯(lián)網(wǎng)治理工作更有成效，擁有較好的大環(huán)境。研究發(fā)現(xiàn)，在國內(nèi)，仿冒其他應(yīng)用的網(wǎng)銀類木馬數(shù)量要比國外少得多。2020年，奇安信威脅情報(bào)中心共在國內(nèi)監(jiān)測偽冒正常應(yīng)用的網(wǎng)銀盜號木馬近百個(gè)。其中主要以偽冒各大銀APP、偽冒安全軟件以及銀行相關(guān)APP為主。具體分布見下圖。

　　2020年10月份，我們捕捉到一個(gè)國內(nèi)網(wǎng)銀盜號木馬新家族“BYL”，該家族會(huì)偽裝成國內(nèi)數(shù)家知名銀行APP。該家族木馬通過獲取用戶銀行卡憑證、個(gè)人信息來盜竊用戶財(cái)產(chǎn)。奇安信威脅情報(bào)中心大數(shù)據(jù)統(tǒng)計(jì)，該樣本于2020年7月至10月中旬首次爆發(fā)，至少在國內(nèi)31個(gè)省級行政區(qū)的用戶手機(jī)上進(jìn)行傳播，感染總設(shè)備多至2000臺(tái)左右，其中山東11.5%、上海6.9%、四川6.7%為全國感染量最多的三個(gè)省級地區(qū)。

　　2020年12月，該家族木馬再度來襲。奇安信威脅情報(bào)中心大數(shù)據(jù)統(tǒng)計(jì)，截至2020年12月31日，全國12個(gè)省級行政區(qū)用戶對BYL網(wǎng)銀盜號木馬家族搭建的釣魚下載頁面的訪問數(shù)量達(dá)到萬級，其中內(nèi)蒙古（11.8%）、北京市（4.5%）、廣東省（4.2%）是國內(nèi)釣魚下載頁面訪問量最多的三個(gè)地區(qū)。具體情況見下圖。

　　第三章     物聯(lián)網(wǎng)Android木馬攻擊分析

　　以往針對Android木馬的研究大多集中在智能手機(jī)領(lǐng)域。但奇安信威脅情報(bào)中心監(jiān)測顯示，隨著物聯(lián)網(wǎng)領(lǐng)域的興起，越來越多的物聯(lián)網(wǎng)設(shè)備開始搭載Android系統(tǒng)，且物聯(lián)網(wǎng)設(shè)備的整體安全防護(hù)及安全管理能力都遠(yuǎn)遠(yuǎn)不及智能手機(jī)。所以，物聯(lián)網(wǎng)設(shè)備已經(jīng)成為很多黑產(chǎn)團(tuán)伙盯上的新目標(biāo)。

　　一、挖礦木馬

　　“AdbMiner”挖礦木馬誕生于2018年，直至2020年依然存活，是今年Android平臺(tái)最流行的一款挖礦木馬。主要通過droidbot攻擊模塊對已經(jīng)打開的 adb 調(diào)試端口的Android設(shè)備進(jìn)行蠕蟲傳播。其一開始針對的目標(biāo)是電視盒子設(shè)備，后續(xù)也被發(fā)現(xiàn)于充電樁等其它Android物聯(lián)網(wǎng)設(shè)備中，其感染對象幾乎全都是物聯(lián)網(wǎng)設(shè)備。

　　根據(jù)數(shù)據(jù)統(tǒng)計(jì)，挖礦家族AdbMiner在全世界感染量接近萬級，國內(nèi)感染量達(dá)到千級。

　　2020年9月30日，日本某地區(qū)充電樁遭受AdbMiner家族攻擊后正常業(yè)務(wù)無法展開，奇安信威脅情報(bào)中心發(fā)現(xiàn)后發(fā)布報(bào)告披露IoT挖礦家族AdbMiner在野活動(dòng)。

　　二、充電寶木馬

　　2020年12月，監(jiān)管機(jī)構(gòu)發(fā)布一則重要提醒，讓廣大人民群眾警惕身邊的共享充電寶，其內(nèi)部很有可能就植入有木馬程序。

　　正規(guī)的共享充電寶只提供充電功能，而不會(huì)提供包含數(shù)據(jù)傳輸線路的功能，因此插上充電線后不會(huì)有任何彈窗。而惡意改造的充電寶會(huì)存在申請權(quán)限訪問用戶個(gè)人隱私數(shù)據(jù)或者彈窗顯示是否允許訪問手機(jī)上的數(shù)據(jù)等，具體見下圖。

　　針對此類通過充電寶傳播的木馬程序，奇安信威脅情報(bào)中心給出如下安全建議。

　　1.）使用正規(guī)商家的共享充電寶。

　　2.）如果插入充電寶后有任何彈窗，就應(yīng)該提高警惕并選擇否。

　　3.）使用Android手機(jī)時(shí)，如無必要不要開啟開發(fā)者模式。

　　第四章     移動(dòng)平臺(tái)黑產(chǎn)活動(dòng)監(jiān)測

　　互聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)安全意識(shí)還較為薄弱，容易被黑產(chǎn)人員設(shè)計(jì)好的套路所欺騙。2020年，奇安信威脅情報(bào)中心披露多條黑色產(chǎn)業(yè)鏈相關(guān)細(xì)節(jié)，揭露常見欺詐套路，為普及安全常識(shí)做出貢獻(xiàn)。

　　一、山寨網(wǎng)貸

　?。ㄒ唬┥秸W(wǎng)貸詐騙模式

　　山寨網(wǎng)貸APP，是指黑產(chǎn)團(tuán)伙開發(fā)的，仿冒某些知名網(wǎng)貸平臺(tái)的APP，或完全虛假的網(wǎng)貸APP。不同于一般的木馬程序，此類APP不僅會(huì)竊取用戶網(wǎng)銀等帳號信息，還會(huì)通過虛假的網(wǎng)貸平臺(tái)，誘騙用戶繳納各種費(fèi)用，從而實(shí)施詐騙。

　　山寨網(wǎng)貸平臺(tái)的攻擊過程一般如下：

　　1.）推廣山寨網(wǎng)貸APP

　　黑產(chǎn)組織首先仿冒知名機(jī)構(gòu)網(wǎng)貸平臺(tái)，通過短信、電話、聊天等方式進(jìn)行推銷，誘騙借款人下載安裝與正版APP相似的山寨網(wǎng)貸APP。相關(guān)釣魚短信見下圖。

　　2.）一旦借款人使用了山寨網(wǎng)貸APP，便會(huì)被要求山寨網(wǎng)貸APP中注冊自己個(gè)人信息申請借款，但申請的額度往往無法支取。在遭受個(gè)人信息被泄露的同時(shí)，假客服還會(huì)以手續(xù)費(fèi)、保證金、銀行賬號解凍費(fèi)、提現(xiàn)費(fèi)用等話術(shù)套路，引導(dǎo)借款人進(jìn)行轉(zhuǎn)賬或其他行為，進(jìn)一步造成用戶的個(gè)人財(cái)產(chǎn)損失。

　?。ǘ?nbsp; 山寨網(wǎng)貸APP態(tài)勢

　　2020年奇安信威脅情報(bào)中心累計(jì)截獲山寨網(wǎng)貸樣本多達(dá)5萬多個(gè)，涉及2萬多個(gè)APP，其中采用有錢花（10.8%）、倢信金融（4.9%）、借唄（4.9%）的應(yīng)用名稱出現(xiàn)的頻率最多。山寨網(wǎng)貸主要是仿冒成大公司相同或者相似的應(yīng)用名稱，讓用戶難辨真假。具體見下圖。

　　2020年，奇安信威脅情報(bào)中心截獲的所有山寨網(wǎng)貸，分為兩類惡意家族，分別為FakeLoan家族（占比96.6%）和BlackLoan家族（占比3.4%）。具體見下圖。

　　二、刷量廣告

　　刷量廣告APP，主要分為兩種類型。

　　一種為仿冒正規(guī)APP類。黑產(chǎn)團(tuán)伙開發(fā)的，仿冒一些常用應(yīng)用或者熱門應(yīng)用。該木馬程序主要在受害者點(diǎn)擊啟動(dòng)之后，在后臺(tái)偷偷訪問廣告鏈接并模擬用戶點(diǎn)擊來通過受害者的流量訪問廣告，以此來刷取廣告聯(lián)盟提供的廣告播放收益。

　　另外一種為在正規(guī)APP中增加插件類。黑產(chǎn)團(tuán)伙直接篡改應(yīng)用市場上的熱門應(yīng)用，并在其中插入黑產(chǎn)團(tuán)伙編寫的廣告插件，以實(shí)現(xiàn)廣告播放功能，然后將受益者的信息填寫為黑產(chǎn)團(tuán)伙相關(guān)資產(chǎn)，最后再將修改后的熱門應(yīng)用通過其他應(yīng)用商店進(jìn)行傳播，以此來實(shí)現(xiàn)借助別人的熱門應(yīng)用為自己賺取廣告收益。

　?。ㄒ唬┧⒘繌V告黑產(chǎn)分析

　　仿冒正規(guī)APP類刷量廣告的黑色產(chǎn)業(yè)鏈的具體過程如下圖。

　　仿冒正規(guī)APP類刷量廣告的攻擊過程一般如下。

　　1.）從開發(fā)人員那里購買惡意廣告木馬（惡意廣告木馬指在用戶不知曉的情況下偷偷訪問廣告鏈接獲取廣告收益的惡意木馬）。

　　2.）通過網(wǎng)頁下載、應(yīng)用商店等方式傳播木馬。

　　3.）受害者啟動(dòng)木馬后，木馬后臺(tái)訪問并模擬點(diǎn)擊廣告，廣告聯(lián)盟平臺(tái)會(huì)將廣告收益返回給黑產(chǎn)人員。

　　在正規(guī)APP中增加插件類刷量廣告的黑色產(chǎn)業(yè)鏈。具體過程如下圖。

　　在正規(guī)APP中增加插件類刷量廣告的攻擊過程一般如下。

　　1.）黑產(chǎn)人員從各大應(yīng)用商店上收集一些擁有一定下載量的應(yīng)用，用來作為山寨的對象。

　　2.）黑產(chǎn)人員再對收集到的APP進(jìn)行“插包”，在正規(guī)APP里插入廣告聯(lián)盟平臺(tái)提供的廣告插件進(jìn)行廣告播放，并把廣告收益者的信息填寫為自己。

　　3.）將修改過的山寨APP發(fā)布到各大應(yīng)用商店上讓用戶下載使用。

　　4.）用戶使用山寨APP時(shí)產(chǎn)生的廣告收益由廣告聯(lián)盟平臺(tái)返還到黑產(chǎn)人員那里。

　　（二）刷量廣告樣本態(tài)勢

　　2020年奇安信威脅情報(bào)中心監(jiān)測到惡意廣告樣本新增數(shù)量多達(dá)近13萬個(gè)，其中12月份（占比50.1%）、4月份（占比26.3%）、11月份（占比15.9%）新增的樣本數(shù)是今年增長最多的幾個(gè)月份。具體分布如下圖。

　　在新增的惡意廣告樣本中，我們根據(jù)應(yīng)用名稱對樣本進(jìn)行統(tǒng)計(jì)，繪制出TOP 10的數(shù)量分布。其中以AVG AntiVirus 2020 for Android Security FREE （2.2%）、七龍珠 （0.1%）、天天美圖（0.1%）為應(yīng)用名稱的廣告木馬是今年新增廣告木馬中數(shù)量最多的，但由于名稱太多即使是TOP榜里的應(yīng)用名稱在今年新增廣告木馬總量中占比也較低。具體分布如下圖。

　　我們對2020年廣告木馬家族的樣本數(shù)量進(jìn)行TOP排序，其中Hiddad家族（占比61.9%）、Ewind家族 （占比21.7%）、Airpush家族（占比5.7%）是樣本數(shù)量占比最多的TOP3家族。具體分布如下圖。

　　三、棋牌私彩

　　棋牌私彩APP，是指黑產(chǎn)團(tuán)伙開發(fā)的，可以操控結(jié)果的棋牌私彩木馬。通過引誘用戶使用該程序，一開始先給受害者一些甜頭，引誘受害者加大投入，隨后再操控棋局或牌局讓受害者傾家蕩產(chǎn)。

　　（一）棋牌黑色產(chǎn)業(yè)鏈分析

　　棋牌私彩黑產(chǎn)具體實(shí)現(xiàn)如下圖。

　　棋牌私彩黑產(chǎn)實(shí)現(xiàn)的過程一般如下。

　　1.）雇傭開發(fā)人員開發(fā)棋牌私彩APP。

　　2.）通過多種渠道推廣棋牌私彩APP。

　　下面給出當(dāng)前流行的集中典型推廣方式的具體介紹。

　　狗推： 棋牌推廣員，俗稱“狗推”，是一種黑色推廣渠道，通過在各大社交媒體和招聘網(wǎng)站上進(jìn)行宣傳，以此來引誘想走捷徑獲取高薪的年輕人。受害者一旦被騙出國外就對其進(jìn)行人身自由控制，強(qiáng)制其進(jìn)行先騙人再騙錢的詐騙行為，如果想要離開就需要繳納高額賠償，為了離開或者被洗腦后為了賺錢，逐漸泯滅良心去從事通過網(wǎng)上交友引誘其進(jìn)行賭博。

　　誘惑視頻推廣：通過擁有一定客戶群體的誘惑視頻網(wǎng)站，進(jìn)行廣告推廣。幾名女子每天固定時(shí)間進(jìn)行誘惑視頻直播。觀看直播需要先在網(wǎng)絡(luò)棋牌平臺(tái)上注冊充值，才能獲得觀看權(quán)限。如果充值超過一定的額度，就可以觀看一對一誘惑視頻直播。常見網(wǎng)站推廣如下圖。

　　盜版視頻網(wǎng)站、正規(guī)APP推廣：一些盜版視頻資源網(wǎng)站會(huì)將棋牌產(chǎn)業(yè)推廣嵌入到視頻播放中，以及一些正規(guī)地?fù)碛幸欢ㄓ脩袅康腁pp也會(huì)接棋牌產(chǎn)業(yè)廣告推廣來盈利。盜版視頻推廣如下圖。

　　電競贊助、直播推廣：棋牌產(chǎn)業(yè)公司通過贊助電競戰(zhàn)隊(duì)在微博等大型社交平臺(tái)公開引流，以及通過直播平臺(tái)各大主播進(jìn)行推廣。電競直播推廣如下圖。

　　微信群推廣、小程序群推廣： 小程序的火熱及其帶來的方便高效性博得了很多用戶的好感，很多人對它們的戒備心并不是很強(qiáng)，隨手一個(gè)轉(zhuǎn)發(fā)到群聊，點(diǎn)擊量就會(huì)不斷增加。

　　3.）通過以下三種手段實(shí)現(xiàn)獲取利益。

　　第一，操控開獎(jiǎng)結(jié)果保底盈利讓大多數(shù)玩家輸錢。

　　第二，以各種理由拒絕中高額彩票的用戶提現(xiàn)從而繼續(xù)指導(dǎo)投注至最后輸光為止。

　　第三，推薦各網(wǎng)貸平臺(tái)或自己平臺(tái)貸款給用戶買彩。

　?。ǘ┢迮扑讲蔄PP分布態(tài)勢

　　2020年奇安信威脅情報(bào)中心根據(jù)捕獲的新增棋牌私彩類樣本數(shù)據(jù)對應(yīng)用名稱進(jìn)行分布統(tǒng)計(jì)。從分布情況可以看出棋牌黑色產(chǎn)業(yè)使用的應(yīng)用名稱比較分散，其中大發(fā)彩票（0.2%）、好彩手游（0.2%）、黑桃棋牌（0.2%）為應(yīng)用名稱的樣本是最多的。具體分布如下圖。

　　四、誘惑視頻

　　誘惑視頻APP，指的是黑產(chǎn)團(tuán)伙專門開發(fā)的，偽冒成色情APP的木馬程序。通過誘惑的圖標(biāo)、簡短的幾秒誘惑視頻引誘用戶下載使用并開通VIP才可以看完整視頻，用戶即便支付費(fèi)用，成為VIP，最終也不會(huì)有任何誘惑視頻播放。具體過程見下圖。

　?。ㄒ唬┱T惑視頻產(chǎn)業(yè)鏈分析

　　誘惑視頻黑產(chǎn)的具體過程一般如下：

　　1.）黑產(chǎn)人員從開發(fā)人員那里購買偽冒的誘惑視頻APP。

　　2.）通過QQ群、微信群、網(wǎng)頁下載等方式誘惑用戶進(jìn)行下載安裝。

　　3.）用戶使用時(shí)，只展示誘惑圖片或者播放幾秒誘惑視頻引誘用戶去購買VIP觀看完整視頻，但用戶支付完畢后APP并不會(huì)播放完整視頻。

　?。ǘ┱T惑視頻木馬樣本態(tài)勢

　　2020年奇安信威脅情報(bào)中心累計(jì)截獲20多萬個(gè)誘惑視頻木馬樣本，其中以Porn Factory App （93.7%）、MyPleasure App （2%）、蜜桃 （0.2%）的應(yīng)用名稱出現(xiàn)的頻率最多。

　　我們識(shí)別這批誘惑視頻木馬為4個(gè)木馬家族，其中sexplayer家族 （占新增木馬家族的92.9%）、PornApp （4.3%）、PornVideo（2.7%）是這批樣本中檢出量最高的TOP3家族。從分布情況上可以看出今年誘惑視頻木馬的主流家族是sexplayer。

　　五、裸聊勒索

　　裸聊勒索APP，是指黑產(chǎn)團(tuán)伙專門開發(fā)的，偽裝成正常的直播APP，其本質(zhì)就是一個(gè)木馬程序，安裝啟動(dòng)后會(huì)竊取用戶聯(lián)系人信息。當(dāng)黑產(chǎn)人員引誘受害者進(jìn)行裸聊時(shí)，該木馬程序會(huì)在后臺(tái)偷偷錄取受害者視頻上傳到黑產(chǎn)人員服務(wù)器里，隨后黑產(chǎn)人員就可以依靠視頻來勒索受害者。具體過程見下圖。

　　裸聊勒索的具體過程一般如下：

　　1.）黑產(chǎn)人員從上游號商黑產(chǎn)人員那里獲取目標(biāo)男性的QQ、微信賬號。

　　2.）黑產(chǎn)人員從開發(fā)人員購買惡意直播APP。

　　3.）黑產(chǎn)人員通過從號商黑產(chǎn)買來的QQ、微信號和受害者建立聯(lián)系，用話術(shù)偽裝成主播誘騙受害者安裝直播木馬，木馬一經(jīng)安裝就會(huì)自動(dòng)獲取設(shè)備上的聯(lián)系人信息，并發(fā)送給黑產(chǎn)人員。一旦獲取受害者的信任就會(huì)誘惑受害者使用木馬進(jìn)行裸聊，在受害者裸聊時(shí)，木馬會(huì)在后臺(tái)偷偷錄下裸聊視頻傳送給黑產(chǎn)人員。

　　黑產(chǎn)人員展開勒索受害者獲取收益。勒索信息示例如下圖。

　　六、黑卡

　　黑卡，是指黑產(chǎn)團(tuán)伙在網(wǎng)絡(luò)詐騙犯罪過程中使用的，非實(shí)名登記的移動(dòng)電話卡、雖經(jīng)實(shí)名登記但使用者并非本人的電話卡，或者是通過木馬遠(yuǎn)程控制的受害者設(shè)備，是犯罪分子所使用的重要“基礎(chǔ)設(shè)施”。主要分為兩種類型。

　　第一種就是上面提到的非實(shí)名登記的、實(shí)名登記但非自己的電話卡，通常交付的也是實(shí)體電話卡，這種黑卡屬于一次性用品，被封之后就無法再次使用。

　　第二種是指通過遠(yuǎn)控木馬（控制用戶手機(jī)的木馬病毒）感染并控制受害者移動(dòng)設(shè)備作為“黑卡”基礎(chǔ)設(shè)施。上游黑產(chǎn)將受感染的設(shè)備統(tǒng)一管理，然后提供相關(guān)黑產(chǎn)服務(wù)售賣給下游黑產(chǎn)，并不需要交付實(shí)體電話卡，而且由于受感染的設(shè)備是實(shí)名制的正常用戶，所以可以多次使用。

　　本文具體說明的為上文中的第二種通過遠(yuǎn)控木馬感染并控制受害者移動(dòng)設(shè)備的“黑卡”。具體黑卡黑產(chǎn)實(shí)施過程如下圖。

　　黑卡產(chǎn)業(yè)實(shí)現(xiàn)的過程一般如下。

　　1.）上游黑產(chǎn)人員從開發(fā)人員那里購買遠(yuǎn)控木馬。

　　2.）上游黑產(chǎn)人員通過網(wǎng)頁、QQ群、微信群等渠道傳播遠(yuǎn)控木馬等待用戶下載安裝。

　　3.）上游黑產(chǎn)人員將受控制的所有受害者設(shè)備作為自己的基礎(chǔ)設(shè)施，然后通過QQ群、微信群等渠道向下游黑產(chǎn)人員出售黑卡服務(wù)。

　　4.）下游黑產(chǎn)人員購買上游黑產(chǎn)人員提供的黑卡服務(wù)，并通過電商返利、注冊平臺(tái)水軍賬號、詐騙等方式進(jìn)行獲益。

　　七、群控

　　群控軟件，本質(zhì)是通過使用多部真實(shí)手機(jī)或模擬多部手機(jī)，在手機(jī)中安裝腳本軟件來控制手機(jī)上的APP，修改手機(jī)軟硬件信息，達(dá)到模擬人工使用APP的效果。其目的是通過自動(dòng)化手段，最大化模擬真實(shí)用戶的操作請求，以達(dá)到吸粉、引流、廣告、“薅羊毛”等作弊目標(biāo)。

　　早在2018年，央視揭露娛樂明星流量數(shù)據(jù)造假的行業(yè)內(nèi)幕，例如某些藝人發(fā)了一條普通的內(nèi)容，短時(shí)間獲得上千萬甚至是上億的瀏覽量；某某微博粉絲數(shù)量幾十上百萬，但是你卻從來沒有聽說過他，以及他的粉絲從來沒有評論過其發(fā)表的微博等。這些奇怪現(xiàn)象的背后就是一條群控黑色產(chǎn)業(yè)鏈。相關(guān)新聞披露如下圖。

　　群控軟件的具體分類如下。

　　第一代群控：多開模擬器，讓一臺(tái)手機(jī)上實(shí)現(xiàn)多開應(yīng)用功能

　　第二代群控：群控，將上百臺(tái)手機(jī)界面映射到一臺(tái)計(jì)算機(jī)上，在計(jì)算機(jī)上使用群控軟件批量操作所有手機(jī)。

　　第三代群控：傳統(tǒng)云控，利用云端遠(yuǎn)程下達(dá)命令，本地收到命令群發(fā)到手機(jī)群然后執(zhí)行任務(wù)。

　　第四代群控：新型云控，通過數(shù)據(jù)包形式和服務(wù)器進(jìn)行交互來實(shí)現(xiàn)登錄、綁定郵箱、更改密碼等操作。

　　表1 四代群控軟件對比表格

　　系統(tǒng)名稱

　　原理

　　一臺(tái)設(shè)備對應(yīng)微信號數(shù)量

　　特點(diǎn)

　　多開模擬器

　　越獄手機(jī)模擬多個(gè)蘋果系統(tǒng)

　　50

　　成本低，易封號

　　群控

　　計(jì)算機(jī)通過集線器操作手機(jī)墻

　　100

　　成本高，易封號

　　傳統(tǒng)云控

　　計(jì)算機(jī)遠(yuǎn)程操控手機(jī)墻

　　1000

　　成本高，易封號

　　新型云控

　　不需要手機(jī)，協(xié)議外掛

　　10000+

　　成本低，較難封號

　　群控黑產(chǎn)具體實(shí)現(xiàn)過程如下圖。

　　群控黑產(chǎn)實(shí)現(xiàn)過程一般如下。

　　1.）從開發(fā)人員那里購買云控平臺(tái)（即4代群控軟件）。

　　2.）從上游惡意注冊商那里購買大量社交賬號，然后通過群控發(fā)送數(shù)據(jù)包進(jìn)行賬號登錄，然后向下游黑產(chǎn)人員售賣云控服務(wù)。

　　3.）下游黑產(chǎn)人員購買上游的云控服務(wù)，通過“薅羊毛”、刷評論、刷贊、微博關(guān)注等各種途徑將流量變現(xiàn)。

　　第五章     安全建議

　　現(xiàn)今智能手機(jī)已經(jīng)成為現(xiàn)代人生活的必需品，它不僅存儲(chǔ)著我們每個(gè)人的個(gè)人隱私信息，還與我們的工作、生活息息相關(guān)。種類多樣的APP，在帶給我們豐富多彩生活、工作便利的同時(shí)，也包含著我們難以察覺到的威脅。

　　無論是個(gè)人、企業(yè)、國家，在移動(dòng)網(wǎng)絡(luò)技術(shù)飛速發(fā)展的過程中，面臨的威脅也隨之而來。對于個(gè)人我們要保障隱私不外泄，對于企業(yè)我們要保障企業(yè)利益不會(huì)蒙受損害，對于國家我們保障國家安全不受威脅。我們希望用戶從個(gè)人出發(fā)重視移動(dòng)安全，加強(qiáng)個(gè)人網(wǎng)絡(luò)安全防范意識(shí)，為保護(hù)個(gè)人因素、維護(hù)企業(yè)利益、保障國家安全貢獻(xiàn)自己的一份力量。

　　針對普通用戶如何避免遭受Android平臺(tái)惡意應(yīng)用的侵害，奇安信威脅情報(bào)中心給出了以下防護(hù)建議：

　　1.）使用正版和正規(guī)官方應(yīng)用市場提供的APP應(yīng)用，不要安裝非可信渠道的應(yīng)用、不要隨意點(diǎn)擊不明URL鏈接和掃描安全性未知的二維碼信息；

　　2.）移動(dòng)設(shè)備及時(shí)在可信網(wǎng)絡(luò)環(huán)境下進(jìn)行安全更新，不要輕易使用外來的網(wǎng)絡(luò)環(huán)境；

　　3.）使用正規(guī)商家的共享充電寶，不輕易開啟開發(fā)者模式；

　　4.）確保安裝有手機(jī)安全軟件，并進(jìn)行實(shí)時(shí)保護(hù)；

　　5.）若發(fā)現(xiàn)手機(jī)感染木馬病毒，請及時(shí)使用安全軟件進(jìn)行清理，避免重復(fù)交叉感染；

　　6.）積極學(xué)習(xí)網(wǎng)絡(luò)安全知識(shí)，及時(shí)了解當(dāng)下流行的網(wǎng)絡(luò)騙局，避免陷入“社交約會(huì)類”“兼職類”“金融理財(cái)類”“冒充身份類”等騙局中。