2019年Android恶意软件专题报告 摘 要  2019年全年， 360安全大脑共截获移动端新增恶意程序样本约 180.9万 个，平均每天截获新增手机恶意程序样本约 0.5万个。新增恶意程序类型主 要为资费消耗，占比 46.8%；其次为隐私窃取（ 41.9%）、远程控制 （5.0%）、流氓行为（ 4.6%）、恶意扣费（ 1.5%）、欺诈软件 （0.1%）。  2019年全年， 360安全大脑累计为全国手机用户拦截恶意程序攻击约 9.5 亿次，平均每天拦截手机恶意程序攻击约 259.2万次。  从省级分布来看， 2019年全年遭受手机恶意程序攻击最多的地区为广东 省，占全国拦截量的 9.8%；其次为山东（ 7.7%）、江苏（ 7.3%）、河南 （6.9%）、浙江（ 5.8%）等。  从城市分布来看， 2019年全年遭受手机恶意程序攻击最多的城市为北京 市，占全国拦截量的 2.2%；其次为重庆（ 2.0%）、上海（ 1.9%）、广州 （1.9%）、成都（ 1.8%）等。  2019年移动金融行业、移动流量产业和移动社交领域均遭受了移动恶意软 件的攻击。对移动金融行业的攻击，主要表现为窃取大量银行账号密码信 息，这类事件大多针对国外银行；而在国内，大量冒充以及虚 假金融借贷服 务，其本身并无真实借贷业务，仅用于骗取用户隐私和钱财；对移动流量产 业的攻击，表现为移动广告商使用不同的欺诈技术获得广告主的报酬；对移 动社交领域的攻击，则是利用揣摩特殊人群心里需求特点，使用虚假身份在 社交过程中推送虚假信息，诱导充值进行诈骗。  2019全年从漏洞数量看， Android系统以 414个漏洞位居产品漏洞数量榜 首。从系统更新情况看，截至 2019年5月，Google发布的 Android系统 版本分布统计， Android Oreo （Android 8.0/8.1 ）达到 28.3%，占比第二的 是Android Nougat （Android 7.0/7.1 ）总占比已达 19.2%。从漏洞在野利 用情况看，使用 Janus和Strandhogg 漏洞的恶意软件较为活跃。  2019年移动端 APT方面， 360烽火实验室监测到的公开披露的 APT报告 中，涉及移动相关的 APT报告 14篇。被提及受到移动 APT组织攻击的受 害者所属国家主要有中国、朝鲜、韩国、印度、巴基斯坦、以色列、叙利 亚、伊朗、埃及等东亚、西亚、中东多个国家。移动端 APT组织活动针对 的目标和领域来看，涉及政治、经济、情报等多个重要板块。  2019年围绕 5G、重点领域的钓鱼攻击、生物信息安全以及企业对数据的 使用等方面暴露出多种安全风险及问题，将成为未来几年攻防对抗发展的的 主要趋势，需要加强治理和战略部署。 关键词：移动安全、恶意软件、移动端 APT、金融、流量、社交 第一章 总体态势 一、 恶意软件新增量与类型分布 2019年全年， 360安全大脑共截获移动端新增恶意软件样本约 180.9万个，环 比2018年（434.2万个）下降了 58.3%，平均每天截获新增手机恶意软件样本 约0.5万个。自 2015年起，恶意软件新增样本呈逐年下降趋势。下图给出了 2012年-2019年移动端新增恶意软件样本量统计： 纵观 2019 年全年恶意样本增长情况，在 1月与 12月出现新增样本量峰值， 其余月份新增样本趋势较平稳。观察新增样本类型，主要体现在恶意扣费、资 费消耗、隐私窃取。由于春节假期前后，大众的社交娱乐活动增多，棋牌游 戏、抢红包已成为大众假期娱乐必选项。不法分子正是利用这一敏感时间段， 大肆传播恶意软件，实现不良获利。具体分布如下图所示： 2019年全年移动端新增恶意软件类型主要为资费消耗，占比 46.8%；其次为隐 私窃取（ 41.9%）、远程控制（ 5.0%）、流氓行为（ 4.6%）、恶意扣费 （1.5%）、欺诈软件（ 0.1%）。 二、 恶意软件拦截量分析 2019年全年， 360安全大脑累计为全国手机用户拦截恶意软件攻击约 9.5亿 次，平均每天拦 截手机恶意软件攻击约 259.2万次。通过统计 2019年Q4季度 样本数量 TOP500 的恶意软件发现，赌博棋牌与色情视频类软件呈现增长态 势，致使拦截量直线上升。下图给出了 2019年移动端各季度恶意软件拦截量 统计： 三、 恶意软件拦截量地域分析 2019年全年，从省级分布来看，遭受手机恶意软件攻击最多的地区为广东省， 占全国拦截量的 9.8%；其次为山东（ 7.7%）、江苏（ 7.3%）、河南 （6.9%）、浙江（ 5.8%），此外河北、四川、安徽、湖南、云南的恶意软件拦 截量也排在前列。 从城市分布来看，遭受手机恶意软件攻击最多的城市为北京市，占全国拦截量 的2.2%；其次为重庆（ 2.0%）、上海（ 1.9%）、广州（ 1.9%）、成都 （1.8%），此外深圳、郑州、苏州、东莞、西安的恶意软件拦截量也排在前 列。 第二章 多个领域遭受移动恶意软件攻 击现状 据中国互联网信息中心发布的第 44次《中国互联网发展状况统计报告》报告 统计，截止 2019年6月，我国移动互联网网民数量突破 8.47亿，占我国网民 总数量的 99.2%[1] 。金融服务、生活服务以及社交娱乐等全面面向移动互联网 迁移。一方面这些行业领域给我们带来了生活的便利，物质和精神需求的满 足；另一方面这些行业也遭受到移动恶意软件的攻击，不仅侵害了移动用户的 合法利益，同时破 坏了正常的行业领域发展。 2019年移动金融行业、移动流量产业和移动社交领域均遭受了移动恶意软件的 攻击。对移动金融行业的攻击，主要表现为窃取大量银行账号密码信息，这类 事件大多针对国外银行；而在国内，大量冒充以及虚假金融借贷服务，其本身 并无真实借贷业务，仅用于骗取用户隐私和钱财；对移动流量产业的攻击，表 现为移动广告商使用不同的欺诈技术获得广告主的报酬；对移动社交领域的攻 击，则是利用揣摩特殊人群心里需求特点，使用虚假身份在社交过程中推送虚 假信息，诱导充值进行诈骗。 一、 针对移动金融行业攻击 (一) 全球金融机构遭受移动钓鱼攻击 有数据显示 2019年第三季度， 43.19%的网络钓鱼攻击针对在线金融机构，包 括银行、在线商城及电子支付系统 [2]。 从移动端平台 看，2019年360安全大脑拦截针对金融机构的钓鱼类银行恶意 软件近 300万次，月均拦截 25万次。从全年拦截次数看，其中 6月至 8月拦 截量最低月均约 4万次， 10月和 11月拦截量最高月均 81万次，呈现年中 低，年末高的活跃趋势。究其原因，我们认为是与年末银行等金融机构为了达 成年度商业目标，揽储等活动更加频繁有关，从而针对移动金融机构攻击也出 现强势增长。 在2019年，遭受移动钓鱼攻击的金融机构所在国家主要有美国，加拿大，奥 地利，德国，法国，波兰，土耳其，英国，澳大利亚，捷克，丹麦，立陶宛， 印度，意大利，爱尔兰，日本，西班牙，罗马尼亚，瑞典，新西兰，巴西，比 利时，俄罗斯等等， 集中在西亚、欧洲、北美和澳洲。 (二) 国外金融账户信息遭受持续攻击 由于国内外金融行业发展以及支付习惯的差异，恶意软件作者通常会精心伪造 国外银行页面，有针对性的对全球指定的金融机构进行网络钓鱼，以获取银行 客户的账户信息，最终从银行账户中窃取金钱。 根据 360安全大脑所监测到的信息，对攻击国外金融机构的钓鱼类银行恶意软 件家族进行了梳理，由于这类家族数量众多且各个厂商的命名不同，在此我们 仅列举出一些有影响力的恶意家族来说明各个家族之间的演变关系及特点。 Marcher于2013年底首次出现。该恶意家族最初窃取俄罗斯用户的 Google Play凭据和支付卡数据。 2014年3月，采用相同策略的新版本已发展成为银 行类恶意家族，并且以德国的金融机构为主要目标，并且此后攻击者将攻击的 金融机构清单不断扩大。截至 2016年5月，Marcher 已经针对包括英国，德 国，奥地利，波兰，法国，澳大利亚和土耳其银行。基于 Marcher 源代码派生 出新的恶意软件变种 Exobot和Gustuff。 Exobot最早出现在 2016年6月，其最初是基于 Marcher 恶意家族源代码，是 March er恶意家族的一种变种，同样具有窃取银行凭据的恶意行为。 2017年5 月ExoBot2.0 版的发布并且通过官网销售。 2018年1月Exobot作者在网络犯 罪地下论坛称其退出并出售 Exobot源代码， 2018年5月，ExoBot的源代码 泄漏。下图为 Exobot在网络犯罪地下论坛出售的页面： BankBot 最早出现在 2016年12月俄语的网络犯罪地下论坛，在 2017年1月 被安全厂商捕获并命名为 BankBot ，此后 BankBot 成为了共享源代码派生的银 行类恶意家族通用名称。基于 BankBot 源代码派生的新的恶意家族有 Anubis、 LokiBot、Razdel、MysteryBot 和CometBot 等。 其中以 Anubis最为流行， Anubis源于 2016年12月俄语的网络犯罪地下论坛 名为 maza -in的用户 ID制作的银行恶意软件源代码 改进而来。主要目标是从受 害者的设备中窃取银行凭据。它通常冒充 Flash Player 更新软件， Android系 统工具或