2019 年移动安全总结 序言 随着 2019 年的逝去，二十一世纪第二个十年也已随之结束。回顾过去的十 年，我们的生活随着科技的进步发生了翻天覆地的变化，这其中，手机就是其中 一个最直观的表现。 m o c . 5 过去的十年，我们的手机在不断的更新换代。从“品牌”来看，我们的手机从 摩托罗拉、诺基亚、西门子、黑莓等，变成了华为、苹果、小米、OPPO、vivo、 三星等。从手机“操作系统”来看，我们早已告别了塞班、黑莓，如今已经进入了 b u Android、iOS 与 Windows Phone，从市场占比上看，如今俨然已是 Android 跟 iOS 的双足鼎立。然而伴随着手机的发展，手机病毒也由开始的“短信轰炸”发展 h t i g 到现在的多种多样，甚至已经变为了诈骗犯罪、窃取情报、政治攻击的武器。 诚然，我们的科学技术是在不断进步的，但阳光照射下总会有阴暗的地方。 每个时间段我们总要去面对新的问题，每个时间段我们总要去面对新的移动安全 问题。回顾 2019 年，移动安全发生了太多的事，数据泄露、病毒木马、安全漏 洞、APT 攻击等。无论是关系到我们大众的个人隐私信息，还是关系到国家的安 全建设，都让我们认识到了移动安全的重要性。 本报告为奇安信移动安全团队，基于 2019 年国内外发生的移动安全事件、 各个安全厂商披露的移动安全威胁活动以及我们内部产生的威胁情报数据，对 2019 年移动安全事件的总结。 主要观点 m o c . 5  暴利黑产决定病毒木马 h t i g b u 移动端黑产，总是伴随着移动端技术而发展，目前移动端黑产种类繁多且产 业链完善。暴利的驱使，使得黑产从业人员不断的开发出新的获利方式，目 前移动黑产种类有：暗扣话费、广告流量变现、手机应用分发、木马刷量、 勒索软件、控制肉鸡挖矿等。这样我们就可以找到目前市面上的移动病毒产 生根源，银行木马、色情软件、拦截马、流氓软件等都是黑产团伙为了获利 而生产的工具。2019 年黑产活动依然猖獗，在即将踏入物联网的时代，移动 安全会面临更加严峻的挑战。  政治目的决定 APT 攻击 2019 年奇安信威胁情报中心、奇安信移动安全团队捕获并披露多起移动 APT 攻击，其中在中东等有武装冲突，政治矛盾比较复杂的地区 APT 攻击比较多。 我国也一直被一些 APT 组织攻击，且被攻击的目标广泛，涵盖部门众多。 2019 年各国面临的 APT 攻击依然频繁，在国际形势敏感的当下，掌握先机 就代表着掌握了主动权，未来的 APT 战场上，移动 APT 值得我们重视。  移动社区安全需要加强 相比于 iOS，Android 的社区安全依然不容乐观。Google Play 作为全球最大 的 Android 软件平台，根据我们 2019 年的研究报告及公开资料，Google Play 已经成为了重灾区。国内情况也大同小异，好在目前工信部已经对各个平台、 众多软件做出了整改的要求。当然维护 Android 社区的健康发展，还需要我 m o c . 5 们共同的努力。  个人安全意识需要提高 广大用户，应该提高自己的安全意识。移动端 APP 已经覆盖了我们的工作、 b u 生活，未来我们会更加的依赖，作为用户我们需要对 APP 有一定的甄别能力。 h t i g 2019 年依然有大量的用户因一些钓鱼木马、色情软件等上当受骗，希望在未 来更加广泛的移动产品里，用户可以提高安全意识。 第一章 2019 年各地移动安全事件总结 奇安信移动安全团队基于内部数据及相关公开资料，对 2019 年全球影响较 大的移动安全事件进行了汇总， 以便更好的展现 2019 年移动安全对全球的影响。 Google Play 为全球最大的移动应用平台，也是国外大多用户下载应用的首 选平台。虽然 Google Play 一直致力于打击恶意 APP，但根据我们对 2019 年的 数据总结，Google Play 也是恶意 APP 传播的主要途径。恶意软件团伙及个人， 在利益的驱使下，通过各种方法混进 Google Play 进行传播恶意软件，对用户造 成了巨大的经济损失。 下面我们通过图文的形式，展示 2019 年影响较大的国际移动安全事件。 2019 年移动恶意软件影响范围： h t i g m o c . 5 b u 我们将 2019 年影响较大的移动安全事件，根据影响区域分为了两类，“无差 别地区攻击”与“针对特定地区攻击”。 无差别地区攻击的恶意事件 恶意软件想大规模的传播，Google Play 平台无疑是最好的选择，但能否绕过 Google Play 的安全检测，并成功在 Google Play 上架并不容易。所以通过对 2019 年的 Google Play 主要安全事件统计，我们发现广告流氓软件占据了很大的比例， 少量的间谍软件、银行木马也会出现，此外还有挂着正规厂商的越界软件。 推送广告的流氓软件 互联网盛行的今天，广告的收益非常大，这也就促使了很多团伙与个人通过 各种手段推送广告获利。国际上对于流氓广告软件，其打击力度非常大，各大安 全厂商及 Google Play 对于 APP 的审核也相当严格，然而面对海量的 APP 软件， 总会有漏网之鱼。下面我们列举 2019 年 Google Play 上发现的影响较大的推送 广告的流氓软件事件。 h t i g b u m o c . 5 h t i g b u m o c . 5 Goole Play 上发现的推送广告的恶意软件，其都是通过仿冒当下热度较高的 APP，以及用户用的较多的相机软件、游戏软件等进行诱骗用户下载；其运行方 式也基本相同，隐藏自身图标后全屏推送广告。推送广告的流氓软件，对于用户 来说是令人讨厌的，但对于广告公司来说是巨大的利润损失。 移动端的广告欺诈问题同样严重，广告欺诈主要针对广告厂商，通过广告堆 叠、模拟点击、设备 ID 重置欺诈、捆绑 ID 欺诈、SDK 欺诈等。目前已经形成了 完整的黑色产业链，而每年通过欺诈的方式，黑产团伙可以获得将近 1 亿美元的 m o c . 5 收入。 预计到 2020 年移动广告将占全球广告支出的 30.5%，总额将达到 1870 亿美 元，是桌面广告支出 880 亿美元的两倍多，仅落后电视广告 1920 亿美元 50 亿 b u 美元，以目前移动互联网的发展速度，超过电视广告也将很快到来。黑产团伙及 h t i g 个人在巨额利益的诱惑下，未来对移动互联网产业的冲击是巨大的。面对越来越 复杂的技术，对于安全厂商来说，如何应对这一问题将至关重要。 银行木马软件 相比于广告软件，银行木马危害程度要高很多。这类木马其针对性强，在网 络犯罪中非常流行，近年来各类恶意木马层出不穷，其从根本上危害到了用户的 个人信息、财产安全。2019 年奇安信移动安全团队也时刻关注着这类软件，且 对于流行银行木马进行了持续跟踪与分析。 2019 年活跃的主要银行木马： 银行木马名称 影响简介 备注 Gustuff Gustuff 木马可以仿冒 100 多种银行应用程序和 32 种加密货 尚未在 Google Play 出现。 币，其目标包括美国银行、苏格兰银行、摩根大通、富国银行 尚未在国内出现。 等。该木马还可以 仿冒 PayPal， Western Union，eBay， Walmart，Skype，WhatsApp，Gett Taxi，Revolut 等。 Anubis Anubis 木马功能强大，自身结合了钓鱼、远控、勒索木马的 已出现在 Google Play。 功能。已经影响全球 100 多个国家，300 多家金融机构。 尚未在国内出现，国内国际 版应用被仿冒。 Cerberus 地狱犬为 2019 年新发现的 Android 银行木马，其目前正在地 尚未在 Google Play 出现。 下论坛出租。目前为止仅适用七个法国银行、七个美国银行、 尚未在国内出现。 一个日本银行、15 个非银行应用程序。 Red Alert Red Alert 最早出现在 2017 年，但 2019 年依然活跃。其针对 尚未在 Google Play 出现。 120 家银行和社交网络应用。针对国家多为欧美，日本、印度 尚未在国内出现。 也有发现。 Exobot Exobot 主要针对移动支付应用，且对用户较多的应用下手， 尚未在 Google Play 出现。 m o c . 5 目前其主要针对 PayPal 及特定地区的银行、金融应用。 尚未在国内出现。 其源码已泄露。 2019 年活跃的主要银行木马，除了仿冒银行图标外，仿冒最多的图标： h t i g b u Android 银行木马尤其以 Anubis 最臭名昭著，Anubis 功能异常强大，自身结 合了钓鱼、远控、勒索木马等功能，其完全可以作为间谍软件。而且 Anubis 影 响范围很大，可以仿冒全球 378 个银行及金融机构，目前主要活跃在欧美国家， 国内暂时没有发现，奇安信移动安全团队自 Anubis 爆发以来，一直对其进行追 踪，我们通过数据平台监测到 Anubis 仿冒国际版“抖音”与国际版“PUBG”，并予 以披露。 Anubis 仿冒图标： 2019 年 Anubis 活动主要时间线： h t i g m o c . 5 b u 值得注意的是，2019 年 Anubis 的作者，maza-in 被捕，其竟然是前军事人 员，maza-in 可能将会面临 5 年的牢狱之灾。但由于 Anubis 的源码早已公开， 所以 Anubis 的变种以及仿冒 Anubis 的恶意软件在未来还会给用户财产带来威 胁。 m o c . 5 2019 年 Cerberusd 的出现并通过其强大的功能，迅速被列入了顶级 Android 木马威胁的行列。更为有趣的是，Cerberus 的作者专门开通了推特账号，在其推 b u 特下发布该恶意软件的促销广告，并尝试与其他感兴趣的人沟通，同时发布安全 h t i g 厂商披露 Cerberusd 的文章，以此进行打趣。 间谍窃密软件 窃密软件以获取用户个人信息为目的，用户个人信息的贩卖同样也是黑产的 一部分。相比于银行木马，窃密软件获取的信息更多，在一定程度上给用户造成 损失的不止钱财。当攻击者掌握了足够多的用户信息，衍生的犯罪行为也会更多， 用户潜在的威胁会更大。但是在数据爆炸的当下，有些数据泄露无法避免，我们 只有将危害降低到最低。下面我们盘点下 2019 年重大的移动间谍窃密事件。 窃密方式 事件简