2016年Android恶意软件专题报告

摘 要

2016年全年，360互联网安全中心累计截获Android平台新增恶意程序样本1403.3万个，平均每天新增3.8万恶意程序样本。

2016年全年，从手机用户感染恶意程序情况看，360互联网安全中心累计监测到Android用户感染恶意程序2.53亿，平均每天恶意程序感染量约为70万人次。

根据移动端恶意程序感情况，经历2012-2014三年的高速增长期，2016年首次停止增长，说明手机恶意程序进入平稳期。

2016年Android平台新增恶意程序主要是资费消耗，占比高达74.2%；其次是恶意扣费（16.5%）、隐私窃取（6.1%）。

2016年，从省级地域分布来看，感染手机恶意程序最多的地区为广东省，感染数量占全国感染数量的11.4%；其次为河南（6.31%）、江苏（5.86%）、山东（5.32%）、四川（5.3%）。

从城市看，北京用户感染Android平台恶意程序最多，占全国城市的4.0%；其次是广州（2.8%）、南京（2.4%）、重庆（2.0%）、成都（2.0%）。位居Top10的城市还有郑州、昆明、杭州、深圳、石家庄。

钓鱼软件、勒索软件、色情播放器软件、顽固木马成为2016年流行的恶意软件。

从恶意软件开发技术角度看， 2016年恶意软件利用社会工程学、界面劫持、破解接口、开源项目、简易开发工具、碎片化代码、注入系统根进程、篡改系统引导区以及代理反弹技术，成为主要使用的新技术。

从恶意软件传播技术角度看，2016年恶意软件采用伪基站、链接重定向以及跨平台的方式传播，成为主要使用的新技术。

2016年，基于传统犯罪形式的黑色产业与基于企业级业务合作的黑色产业，是移动平台黑色产业的两个基本类别。

在基于传统犯罪形式的黑色产业方面，跨平台电信诈骗、私彩赌博和手机勒索等黑色产业异常活跃；在基于企业级业务合作的黑色产业方面，色情播放器推广相关的流量黑产呈爆发性增长趋势。

移动平台黑色产业的整体发展趋势正在由基于传统犯罪形式的黑色产业向基于企业级业务合作的黑色产业过渡。

作为系统厂商需要夯实系统基础安全，作为手机厂商应该加速完善系统更新机制，作为安全厂商要提升能力强化合作及时发现和抵御恶意软件最新威胁。同时，系统厂商、手机厂商以及安全厂商三方应该在威胁情报方面深化合作，共同建立起移动生态安全保障体系。

从移动威胁趋势上看，银行金融对象依然是攻击热点；移动平台仍然是勒索软件的重灾区；手机系统攻防技术更加激烈；针对企业移动办公的威胁加大；劫持路由器的新型木马给物联网或带来众多隐患；针对高级目标持续定向攻击的全平台化成为今后的主要趋势。

 

关键词：移动安全、恶意程序、移动黑产、威胁趋势

第一章 总体态势

一、 样本量与感染量

2016年全年，360互联网安全中心累计截获Android平台新增恶意程序样本1403.3万个，平均每天新增3.8万。全年相比2015年（1874.0万）下降25.1%，扭转了2015年以来迅猛增长的势头，但自2012年以来，移动端从几十万跨越到千万级别恶意样本，显示了移动恶意程序总体进入平稳高发期。

2016年Android平台新增恶意程序感染量的按季度对比情况，分析可知，一季度的恶意程序样本量不高，但是感染量却是全年四个季度中最高的。

全年来看，2016年四个季度的感染量呈现下降趋势。其中一季度最高约为8800万人次，四季度的感染量则最少，仅为4400万人次。

2016年安卓平台新增恶意程序类型主要是资费消耗，占比高达74.2%；其次为恶意扣费（16.5%）、隐私窃取（6.1%）、流氓行为（2.3%）和远程控制（0.9%）。

资费消耗类型的恶意样本占比已达到3/4，说明移动端恶意程序依然是以推销广告、消耗流量等手段，增加手机用户的流量资费等谋取不法商家的经济利益。当前主流运营商的资费模式重心已经转向流量，而不再单纯倚重语音通话。资费消耗类恶意程序对用户资费造成的影响还是比较明显。

二、 地域分析

2016年从地域分布来看，感染手机恶意程序最多的地区为广东省，感染数量占全国感染数量的11.4%；其次为河南（6.31%）、江苏（5.86%）、山东（5.32%）、四川（5.3%）。

下图给出了2016年Android平台恶意程序感染量最多的十大城市。毫无疑问，北京用户感染Android平台恶意程序最多，占全国城市的4.0%；其次是广州（2.8%）、南京（2.4%）、重庆（2.0%）、成都（2.0%）。位居Top10的城市还有郑州、昆明、杭州、深圳、石家庄。

 

第二章 年度流行恶意软件

一、钓鱼软件

钓鱼软件通常以精心设计的虚假页面、诱导性的文字图片，以假充真。钓鱼软件的目的在于“偷”，不但能够将用户在虚假页面上输入的包括***、账号密码等重要隐私信息进行回传，还会窃取用户手机中的短信、联系人等信息，通过不法手段收集用户重要的个人信息，危害用户隐私和财产安全。

(一) 表现形式

钓鱼软件在国内和国外的表现形式有着明显不同，国外的钓鱼软件，主要是通过监控特定APP运行时，覆盖在应用上面一层虚假的提示框，提示框内容大多是添加***、仿冒的登录界面等。

 

国内主要是通过打开伪基站发送的仿冒运营商和银行的短信中的恶意链接，这些链接指向钓鱼页面或者是钓鱼软件的下载地址，窃取用户主动输入的信息。或利用熟人关系，降低受害人警觉性，诱骗其下载，安装运行后无需用户主动输入，直接窃取用户手机中隐私信息。

 

(二) 来源

钓鱼软件的来源，国外主要来自地下黑市中交易的恶意软件源码[1]，通过修改源码制造出多种类型的变种。

国内主要来自带有钓鱼软件下载链接的短信，这类钓鱼短信来自三个方面：不法分子非法获取的公民个人信息，利用这些信息有选择性的发送带有钓鱼软件下载链接的短信；通过临时搭建的伪基站，在一定半径内范围内的手机信号，之后使用任意号码强行向其影响范围内的手机发送伪基站短信息；通过熟人关系，部分钓鱼软件带有遍历通讯录，向联系人群发短信的恶意行为，这也就是用户经常收到来自通讯录中好友发来的请柬、聚会照片、订单、艳照等等带链接的短信。

(三) 规模

2016年，国外钓鱼软件木马家族主要包括Hqwar、Asacub、Acecard、Marcher、Zbot和Bankosy。其中，占比前三位是，Hqwar（41%）、Asacub（21%）、Acecard（17%）。

根据360手机卫士数据显示，2016年第四季度通过短信传播的钓鱼软件的短信拦截量约4233万条，平均每月拦截数量约1411万条。

从短信号码看，主要分为三种类型：仿冒银行（49%）、个人号码（43%）和仿冒运营商（8%）。由于钓鱼软件能够向通讯录中联系人群发短信，利用熟人传播，所以个人号码占据一定比例。

2016年，根据360互联网安全中心对钓鱼软件盗取的个人信息类型的抽样分析看[2]，其中67.4%的软件会窃取短信信息，34.8%的软件会窃取手机银行信息，10.0%的软件会窃取手机联系人信息，3.7%的软件会窃取手机通话记录，2.0%的软件会窃取社交软件（例如微信、QQ等）聊天记录，1.8%的软件会窃取手机录音信息，0.1%的软件会窃取手机照片信息。

2016年我们通过大量用户调研发现，平均每个用户手机中存储的联系人信息约为385条，短信信息586条，通话记录986条，照片195张。个人信息年度窃取量＝人均手机信息存储量×中毒后手机信息窃取率×年度恶意程序感染量，依据上述计算方法估算出的手机恶意程序对用户手机中的联系人、短信、通话记录和照片等信息的年度窃取量估算结果：

 

(四) 攻击对象

钓鱼软件攻击的对象包括国外银行软件、Google应用，社交应用，购物支付以及流行的应用软件。

(五) 活跃地区

钓鱼软件在全球范围内肆虐，这种危害性极高的恶意样本引起了全球各大安全厂商的关注，根据全球安全厂商公开披露的威胁情报，钓鱼软件活跃地区覆盖了亚洲、欧洲、大洋洲及北美洲。

二、勒索软件

手机勒索软件[3]是一种通过锁住用户移动设备，使用户无法正常使用设备，并以此胁迫用户支付解锁费用的恶意软件。手机勒索软件的目的在于“抢”，它抓住了用户“占小便宜”和相互攀比的心理，用户一旦中招，软件强行锁住手机设备，造成用户手机无法使用。敲诈勒索者法律意识淡薄，大胆留下自己的QQ、微信以及支付宝账号等个人联系方式，不给钱不解锁，迫使用户支付解锁费用。

 

(一) 表现形式
手机勒索软件表现为手机触摸区域不响应触摸事件，频繁地强制置顶页面无法切换程序和设置手机PIN码。

(二) 来源

手机勒索软件在制作方面主要使用开发工具AIDE，并且通过QQ交流群、教学资料、收徒传授的方式进行指导；在传播方面，主要通过QQ群、受害者、贴吧、网盘等方式传播。

(三) 规模

2016年从各季度手机勒索软件新增数量看，国内样本数量持续增长，第四季度超过4万个，全年累计约12万个；国外样本数量逐渐减小，第四季度只有约7600个，全年累计约5万个。

(四) 伪装对象
对比国内外勒索类恶意软件最常伪装的软件名称可以看出，国外勒索类恶意软件最常伪装成色情视频、Adobe Flash Player和系统软件更新这类软件。而国内勒索类恶意软件最常伪装成神器、外挂及各种刷钻、刷赞、刷人气的软件，这类软件往往利用了人与人之间互相攀比的虚荣心和侥幸心理。

(五) 受害人群
通过一些被敲诈的用户反馈，国内敲诈勒索软件感染目标人群，主要是针对一些经常光顾贴吧的人，以及希望得到各种所谓的“利器”、“外挂”的游戏QQ群成员。这类人绝大多数是90后或00后用户，抱有不花钱使用破解软件或外挂的侥幸心理，又或是为了满足互相攀比的虚荣心，更容易被一些标榜有“利器”、“神器”、“刷钻”、“刷赞”、“外挂”等字眼的软件吸引，从而中招。

三、色情播放器软件

色情播放器软件[4]指的是名称具有诱惑性、图标暴露的以在线播放色情视频为主要功能的恶意软件。这类恶意软件不但会造成恶意扣费，通常还会捆绑恶意插件，这些恶意插件能够窃取用户隐私、篡改系统文件、私自下载消耗流量等等。另外，色情播放器软件还扮演着其他木马家族传播媒介的角色，比如“舞毒蛾”、“百脑虫”木马家族，大多会借助色情播放器软件的传播，感染了上百万台手机设备。

色情播放器软件的目的在于“骗”，它主要以诱导充值、恶意扣费和广告推广作为盈利手段，并且这类软件擅长掌握人的需求，一些禁不住诱惑的人最容易中招。我们从用户反馈中了解到除了一部分用户是被动中招外，还有一部分用户是主动安装。甚至置安全软件危险警告于不顾，仍然选择安装运行，导致出现财产损失等一系列安全问题。

 

(一) 表现形式
色情播放器在恶意扣费上表现为明扣和暗扣两种方式，明扣即诱导充值，通过视频试看方式，一步一步诱导用户支付。

暗扣即恶意扣费，软件通过植入特定的扣费代码，在用户未知情的情况下，订购通信增值业务。

(二) 来源
色情播放器类软件来自广告联盟的网络流量投放推广，投放方式包括：网页诱导、网页挂马、广告推广、APP捆绑、论坛和热门影视。

(三) 规模
2016年，从每月色情播放器类软件新增数量看，6月份新增数量最多约为123.1万个，全年累计新增数量约820.1万个，平均每月新增数量约68.3万个。

色情播放器类软件数量庞大，传播范围广的原因有两点：一个是是因为在不同时间内，同一链接可以灵活控制重定向到多个下载链接，并且通过检查浏览器UA标识来逃避审查；另一个是广告联盟作为色情播放器类恶意软件传播中的联系平台，并不是相对独立，而是多个广告联盟呈现上下游的协同合作。

四、顽固木马

顽固木马是指采用传统通杀方法不能根除、部分具有极强的破坏性需要对系统做针对性修复的木马。顽固木马通常会进行盗取数据、恶意扣费、恶意推广、篡改手机信息等攻击行为，且部分具有极强的防卸载防查杀的对抗能力，普通的手机安全软件都无法彻底清除。

顽固木马相比其他几种木马，其目的动机更加明确，顽固木马的目的主要在于“推”，推广其他软件产生推广利益价值，所以要保证自己的留存率和稳定的运行环境。这类木马为了生存，不断与安全软件对抗，技术水平从广度和深度层面上在不停地提高。一旦进入到手机系统中，带来严重的安全威胁，不但能够完全控制用户手机系统，还会对手机系统进行破坏，甚至无法正常恢复和还原。

(一) 表现形式
顽固木马通常会先获取手机系统Root权限，再通过感染、植入、替换系统文件的方式将恶意某块写入到系统中。

(二) 来源
以“地狱火”顽固木马[5]为例，它通过捆绑有恶意程序的母体APK进入到手机系统中，母体负责解密释放核心子包，子包负责执行获取Root权限，推广其他应用及寄生到系统底层三种恶意行为。

捆绑有恶意程序的母体APK按照软件类型分类看，色情播放器类软件约占98%。这些色情播放器类软件相互推广、交叉传播，是“地狱火”顽固木马的主要来源。

(三) 规模
2016年全年，360互联网安全中心累计截获Android平台顽固木马新增恶意程序样本约177.4万个，平均每月新增约14.8万个。全年相比2015年增长279.9%，相比2014年，呈现百万级数量增长。

(四) 伪装对象
从顽固木马伪装的对象看，最易伪装的对象排在首位的是“/system/bin/debuggerd”。debuggerd 是Android系统自带一个诊断程序异常的程序，它可以侦测到程序崩溃，并将崩溃时的进程状态信息输出到文件和串口中，以供开发人员分析调试使用。

debuggerd成为顽固木马首选的原因有三点：第一点，该文件会在开机时启动，提供了顽固木马的自启条件；第二点，这个文件被替换、篡改，一般不会影响手机的正常使用，保证顽固木马运行环境的稳定性；第三点，该文件是系统常规文件，顽固木马伪装成相同的名称不易被发现，隐蔽性强。

 

第三章 恶意软件开发的新技术

一、 社会工程学

社会工程学[6](Social Engineering)是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，并以此来获取自身利益的手法。

随着Android系统版本升级的同时，Android系统在安全策略方面得到了进一步的增强和优化，像无障碍模式Accessibility[7]和动态权限模型都需要用户主动授权后才可以使用。Android恶意软件借助社会工程学已成迅速上升甚至滥用的趋势，通过诱导性的图标和文字，引导用户授予相应的功能的权限，从而保证恶意软件正常的运行环境。

二、 界面劫持

Android为了提高用户体验，对于不同应用程序之间的切换，基本上是无缝切换。他们切换的只是一个Activity，一个切换的到前台显示，另一个应用则被覆盖到后台不可见。每当一个Activity启动，它就压入历史栈顶，并在手机上显示。当用户按下返回键时，顶部Activity弹出，恢复前一个Activity，栈顶指向当前的Activity。

界面劫持技术指在Android 5.0以下的系统中，程序可以枚举当前运行的任务，恶意软件监控目标应用的运行，当检测到当前运行界面为被监控应用某个特定界面（一般为登录或支付界面）时，弹出伪造的钓鱼界面以覆盖原应用正常界面，诱导用户输入信息，回传输入信息，最终窃取用户隐私。

Google官方在Android 5.0系统及以上版本限制了获取栈顶Activity的获取方法getRunningTasks的使用[8]，并且说明这一方法不能再能获取第三方应用信息，只能获取自身或一些已知不含有敏感信息的程序。

虽然Android 5.0以上减弱了这种攻击方式，但是根据Google最新的Android系统版本占比统计，Android 5.0以下版本仍然有一定的市场占有率，这些手机仍然可能遭受到这种威胁。

三、 被恶意利用的合法程序

(一) 破解接口
破解接口是指通过逆向软件某个功能模块的原理机制后，通过修改并加以利用，达到利用的目的。

2016年，从我们截获的带有获取Root功能的恶意软件代码中发现，一些正规的提供手机Root服务的软件，Root功能接口遭到破解，被不法分子利用嵌入到恶意软件中。

(二) 开源项目
GitHub是一个面向开源及私有软件项目的托管平台，同样，从我们截获的带有获取Root功能的恶意软件代码中还发现，GitHub中的一些开源项目比如“android-rooting-tools”[9]被嵌入到Android木马中被恶意利用。

四、 开发工具

(一) 简易开发工具被广泛应用
AIDE[10]是Android环境下的开发工具，这种开发工具不需要借助电脑，只需要在手机上操作，便可以完成Android样本的代码编写、编译、打包及签名全套开发流程。

2016年，我们发布的《ANDROID勒索软件研究报告》，报告指出国内大量的锁屏软件都使用合法的开发工具AIDE，因为这种工具操作简单方便，开发门槛低，变化速度快，使得其成为不法分子开发勒索软件的首选。

(二) 借助工具碎片化代码
Instant Run[11]是Android官方应用开发工具Android Studio 2.0[12]版本新增的即时运行功能。它允许开发人员通过将更新.zip文件推送到应用程序来快速部署更新到调试应用程序。

Android恶意软件基于Instant Run功能，将恶意代码分散隐藏在zip文件中，规避安全软件检测与查杀。2016年，360互联网安全中心累计截获基于Instant Run功能的恶意软件约1400个，由于Android Studio在4月份才正式推出Instant Run功能，所以一季度新增样本量极少。

五、 高级技术手段

(一) 注入系统根进程
Android系统根进程Zygote进程，它是Android系统所有进程的父进程。2016年3月，基于Zygote的攻击[13]“Triada”木马家族曝光，该木马最显著的特点是使用Zygote进程，一旦进入系统，就会成为该应用进程的一部分，并可以在设备上启动的任何应用中预先进行安装，甚至改变应用的运行逻辑。当用户在应用内通过短信购买安卓游戏时，黑客可以利用Triada木马修改发送的短信，非法获取用户的支付费用。

(二) 篡改系统引导区
2016年6月，360互联网安全中心发现首个通过修改系统引导区Boot Image、替换系统核心文件的方式实现自我保护的Android恶意软件“地狱火”。Android系统以正常模式启动后会加载Boot.img分区。Boot.img分区包含Linux内核和Ramdisk。Ramdisk是一个小型文件系统，包括了初始化系统所需要的全部核心文件，例如：初始化init进程以及init.rc等文件。与Oldboot[14]相比该病毒还会绕过SEAndroid、dm_verify等Android系统安全防护

(三) 代理反弹
许多公司越来越重视企业网络安全问题，一般在企业信息系统前端均部署有防火墙，系统管理员根据业务需求将内部必要的服务端口通过端口映射等手段映射到公网中。通过部署防火墙可以将信息系统内部区域与公网逻辑隔离开来，利用相关的策略有效避免或减轻来自外部的攻击。

2016年9月，“DressCode”[15]恶意软件家族使用SOCKS代理反弹技术突破内网防火墙限制，窃取内网数据，这种通过代理穿透内网绕过防火墙的手段在PC上并不新鲜，然而以手机终端为跳板实现对企业内网的渗透还是首见，是Android平台新出现的高级技术手段。

 

第四章 恶意软件传播的新技术

一、 身边密集的伪基站

伪基站是相对于基础电信运营商架设的正常基站而言，由不法分子临时搭建，用于实施电信诈骗或扩散垃圾信息的无线电收发设备。它能够搜取以其为中心、一定半径内范围内的手机信号，之后使用任意号码，如冒充公共服务号码，强行向其影响范围内的手机发送短信息，普通用户往往难辨真伪。伪基站不仅是网络诈骗和非法营销的重要技术工具，同时也是Android恶意软件重要的传播渠道。

2016年，我们对收到伪基站短信用户所属的运营商情况也进行了抽样分析[16]。结果显示，在所有收到伪基站短信的手机用户中，89.4%为中国移动用户，9.5%为中国联通用户，近1.1%为中国电信用户。造成这种分布不平衡的主要原因是运营商所使用的手机通信制式有所不同，而且最容易收到伪基站短信的GSM（2G）系统，目前主要是中国移动仍在使用。伪基站覆盖了三大运营商网络，大部分手机用户或者身边的亲人、朋友、同事、同学曾经都有收到过伪基站发送的短信经历。

不法分子通常采用“伪基站+钓鱼网站+手机木马”的方式进行网络钓鱼诈骗活动，传播Android恶意软件。首先，不法分子用伪基站伪装成银行或运营商短信号码，向受害者发送了带有钓鱼链接的诈骗短信，之后诱使受害者在钓鱼网页上输入包括***、***等一系列个人敏感信息，最后又在钓鱼网页上以各种名义，诱骗受害者在手机上下载仿冒的客户端应用程序。

二、 无感知的链接重定向

链接重定向[17]就是把一个URL重定向到另一个URL上去。重定向即是把一个目录或者文件的访问请求转发至另外一个目录或者文件，当用户发出相应的访问请求时将自动跳转到指定的位置，常见的重定向有301（永久重定向）及302（暂时重定向）两种。

 

以色情播放器类软件的传播为例，每个独立的下载链接之间看似不相干，但实际上都是存在相互关联的。下载链接背后我们抽象出一个三层控制模型。

下载层：表现为链接每天频繁地变化，出现和消亡的周期短，短时间内访问集中爆发，是最接近用户感知的一层。

跳转层：表现为采用HTTP协议302码暂时重定向，灵活切换控制下载层，与下载层相比数量相对收敛，跳转过程只能通过抓取网络流量包分析得出，普通用户无法感知。

IP层：表现为对跳转层的集中控制管理，与下载层和跳转层相比更为收敛，变化程度小。IP层距离下载层最远，中间有跳转层，所以也最难回溯，相对较隐蔽。对于专业人员都需要具备一定的能力要求，普通用户更加难以感知。

三、 兼顾全面的跨平台

跨平台传播，就是能够在多个操作系统平台中运行的木马病毒，而不仅仅局限于某个操作系统。较早前曝光的Hacking Team组织制作了兼容Android、iOS、Windows Mobile和BlackBerry多种手机操作系统的恶意软件。

2016年4月，我们发布的报告《通过BT种子传播到安卓手机的下载者》[18]，报告发现Windows电脑的木马感染PC端后，通过P2P类协议中BitTorrent下载APK文件和ADB 工具包，利用USB线在与电脑连接的Android设备上静默安装移动应用软件。

 

2016年5月，我们发布的报告《深入分析跨平台网络电信诈骗》[19]，报告指出Android木马为传统的PC端网络电信诈骗引入新的诈骗手法，使电信诈骗场景发生了质的变化。

Android木马为网络电信诈骗增加了丰富的攻击方法。Android隐私窃取类木马可以窃取受害人手机联系人、短信、通话记录等信息；Android远控木马可以控制受害人手机收发短信、手机息屏以及拍照回传等等，这些功能是传统网络电信诈骗中PC远控木马所不具备的；最为严重的是移动场景下的支付类木马，可以协助诈骗者在受害人不知情的情况下完成远程转账。在这些强大功能的基础上，诈骗者可以实时了解受害人的情况并控制受害人的手机，完全掌握受害者的一举一动，与传统的PC远控木马功能相得益彰。

第五章 移动平台黑色产业发展

一、 分类与概况

360烽火实验室将移动平台目前主流的黑色产业分为两个基本类别：基于传统犯罪形式的黑色产业与基于企业级业务合作的黑色产业，此分类方法综合考虑了黑产的组织结构、业务领域和研究难易层度等因素。

2016年，各种形式的移动平台黑色产业不断浮出水面，360烽火实验室对此进行了持续的跟踪和揭露。在基于传统犯罪形式的黑色产业方面，跨平台电信诈骗、私彩赌博[20]和手机勒索等黑色产业异常活跃；在基于企业级业务合作的黑色产业方面，色情播放器推广相关的流量黑产呈爆发性增长趋势。

企业级恶意软件开发者暂露头角，2016年，我们在中国互联网安全大会（ISC）上以《”企业级”恶意程序开发者搅局移动安全》为题，深度介绍了企业团队在技术深度、传播方式和传播影响力上的优势。在整个黑色产业链运作中，从开发的技术水平、推广渠道、资金的运转、软件的迭代对抗速度以及完善的自动化批量打包后台，处处都体现出背后的企业模式。

关于ISC大会《”企业级”恶意程序开发者搅局移动安全》分享内容，详见附录二。

360烽火实验室2016年揭露移动黑产时间轴：

二、 组织与运作

在组织结构上，基于传统犯罪形式的黑色产业与基于企业级业务合作的黑色产业有很大的差异。在基于传统犯罪形式的黑色产业中，从业者以个人利益为出发点自发组织为犯罪团伙，然后根据犯罪过程的需要进行角色分工；在基于企业级业务合作的黑色产业中，参与企业以公司业务为中心，按照业务合同各自履行职责，在履行职责的过程中以企业原有的管理架构开展具体的业务。

两种组织方式的差异如下图所示：

 

在基于传统犯罪形式的黑色产业中，跨平台电信诈骗、私彩赌博和手机勒索等产业为典型的以个人利益为中心进行自发组织的方式：跨平台电信诈骗中的诈骗者以诈骗钱财为目的，通过社会关系自发组织起来，分工为多个“专搞”团队，每个“专搞”团队进一步细分为“一线”、“二线”和“三线”；私彩赌博中的欺骗者以欺骗式赌博骗取彩民的钱财为目的，通过社交工具自发组织起来，分工为“大庄家”、“小庄家”和“抄单者”；勒索软件中的敲诈者以勒索用户钱财为目的，通过论坛或社交软件自发组织起来，以“传播者”为主要角色传播勒索软件勒索用户。

在基于企业级业务合作的黑色产业中，色情播放器推广相关的流量黑产为典型的以公司业务为中心进行业务合作的方式：开发者、广告主与网站主以广告推广业务为合作基础，按照各自公司原有的业务能力完成业务合同中的使命。

三、 业务与规模

下表描述了2016年移动平台流行黑产涉及的业务领域和各自的规模：

从表中可以清楚地看到，手机勒索软件在2016年的产业收益超过千万元，说明了这种自发组织的犯罪团伙分布之广泛，以及犯罪频率之高；流量黑产（本文仅包含了色情播放器推广相关的流量黑产）的规模，但从色情播放器的截获量来看，就达到了800万，假设以最低的感染量（即每个样本平均感染一部手机）来推算，在800万次感染中，仅安装产生的现金流就在1600万至6400万之间（每个应用的安装费用在2-8元之间），而样本的实际平均感染量远大于一，所以安装产生的现金流远在1600万之上。流量黑产产生的现金规模之大表明基于企业级业务合作的黑产在技术和其他资源方面的强大实力，这种实力是构成其对手机用户持久威胁的重要因素。

由于跨平台电信诈骗和私彩赌博两个黑产领域的特殊性，我们无法统计得到精确的数字来推断其行业规模。跨平台电信诈骗虽然使用了Android恶意软件作为辅助诈骗工具，但是单纯地从木马的角度进行研究，分析人员既无法得知一次诈骗中用户损失的金额，也不能统计诈骗的总体次数和成功率；私彩赌博主要使用社交工具作案，由于缺少社交工具相关的用户数据，分析人员同样无法推算其产业规模。

四、 发展趋势

移动平台黑色产业的整体发展趋势正在由基于传统犯罪形式的黑色产业向基于企业级业务合作的黑色产业过渡。在过渡的过程中，由于基于企业级业务合作的黑色产业具备更强的技术实力和更多可以整合的资源，其规模将不断扩大并占据移动黑产的主导地位。

在基于传统犯罪形式的黑色产业方面，各种类型的黑色产业的发展趋势将会有很大的不同。随着政府对电信诈骗的打击力度不断加大，跨平台电信诈骗的作案频率可能会逐渐降低；手机勒索软件的规模受系统相关安全特性和锁屏技术的综合影响，在没有新的锁屏技术产生的条件下，手机勒索软件的规模会随系统版本升级而逐渐收敛，但是一旦产生新的锁屏技术，手机勒索软件的规模将可能进一步增长；私彩赌博由于其作案的隐秘性和涉案资金规模小等原因，将会以小规模作案的形式继续进行。

在基于企业级业务合作的黑色产业方面，流量黑产的规模将会继续爆发式地增长，其增长的原因包含多方面的综合因素。一方面，媒体不断地曝光黑色产业产生的巨额收益，这种铺天盖地的宣传增加了黑产对于那些经营业绩一般或者很糟糕企业的吸引力，使其在利益的驱动下转向黑产业务；另一方面，Android手机市场份额的不断增长为流量黑产提供了更加广阔的市场；加之软件行业竞争加剧以及立法不完善等原因，流量黑产的规模仍将保持高速增长。

第六章 协同联动共建移动生态安全

一、 夯实系统基础安全

Google作为Android的系统厂商，是整个移动生态安全环境中最重要的一环，对Android系统的基础安全责无旁贷。一方面，Google从2015年开始提出了月度公共安全更新计划，主要是为了及时提供漏洞信息和补丁，带动各个手机厂商及时更新系统修复漏洞。另一方面，Android系统版本在不断更新，提高系统的安全策略和权限控制。

(一) 严峻的系统环境
Android系统开源就意味着在安全问题上显得更加透明，运用工具审查安全漏洞变得更容易。根据汇总CVE数据的网站出具的2016年度CVE Details报告显示[21]，Andriod系统以523个漏洞位居产品漏洞数量榜首，成为名符其实的漏洞之王。

2016年Android系统重大安全漏洞盘点[22]

(二) 系统更新带来的机遇与挑战
Google发布的最新的Android系统版本[23]分布统计看，截止2017年2月Android Lollipop （Android 5.0/5.1）总占比已达32.9%，比占第二的是Android Marshmallow（Android 6.0），达到30.7%，而最新系统版本Android Nougat（Android 7.0/7.1）仅占1.2%。

根据维基百科汇总的Android系统历史版本数据[24]，2016年Android恶意软件主要受到了Android Marshmallow（Android 6.0）和Android Nougat（Android 7.0/7.1）系统更新的影响。

Android Marshmallow（Android 6.0）引入了一种新的权限模型[25]。新权限模型在旧模型基础上加入了运行时动态权限检查，权限不再是安装时一次性全部授予，而是运行时动态申请与授予，如果开发者未按要求动态申请权限或者权限申请未被用户许可，应用程序的相应行为将无法实施；同时，用户可以在应用程序权限管理中随时撤销掉已授予的权限。这样的动态权限模型让用户对应用程序运行时权限拥有更强的可视性与控制性，赋予了用户更多权限管理主动权，增强了权限模型的安全性。

Android Marshmallow（Android 6.0）还引入了Doze机制[26]，Doze的主要目的是节省设备的耗电量，即当设备未连接至电源，且长时间处于闲置状态时，系统会将应用置于“打盹”模式。在这个模式下，不在白名单中的应用将无法连接网络和占用CPU资源，并且其作业、同步和标准闹铃的运行时间将被推迟。Android恶意软件为了保持网络环境的稳定性，申请加入Doze白名单试图绕过Doze机制，才能保证它的活跃性和持续作恶的能力。

Android Nougat（Android 7.0/7.1）中明确规定，对于第三方应用只能使用resetPassword[27]为无密码设备设置初始密码，而不能重置或清除已有的设备密码。若设备已有密码，当尝试调用resetPassword方法重置锁屏密码时，系统会抛出SecurityException异常，并提示“Admin cannot change current password”。Android N中对于resetPassword的调用限制，能阻止恶意软件对已有锁屏密码的重置，从而使得部分手机勒索软件失效。

二、 加速完善系统更新机制

Android操作系统目前仍未有非常完善的补丁机制为其修补系统漏洞，再加上Android系统碎片化严重，各手机厂商若要为采用Android系统的各种设备修复安全问题则需投入大量人力物力。受到Android系统的诸多特性的影响，系统版本的碎片化问题日益突出。就每一款手机而言，厂商在其维护周期内，通常会隔一段时间向用户推送一次升级版本，而用户在大多数情况下可以自主选择升级或不升级。综合这些特性，在Android系统的安全漏洞方面，也产生了严重的碎片化问题。

(一) 手机厂商漏洞修复情况
2016年，我们统计了不同厂商手机目前的安全补丁级别情况[28]，该情况是将各厂商现存手机中实际补丁日期与谷歌官方最新版本（2016年12月）版本对比。绿色方块面积越大，说明该厂商的手机补丁级别相对越高，漏洞修复相对越及时；相反，如果黄色和橙色的面积越大，则说明补丁级别越低，漏洞修复越滞后。在及时推送安全补丁级别方面，华为、三星、Vivo、小米、魅族这五个厂商在国内做的最好。

(二) 漏洞修复综合分析
综合对比用户手机系统的更新状态、安卓官方的更新状态和手机厂商的更新状态，我们发现：与安卓官方最新更新情况相比，用户的手机系统平均滞后了约6.7个月；但如果与手机厂商已经提供该机型的最新版本相比，则平均只滞后了2.4个月，由此可见，用户手机因未能及时更新而存在安全漏洞的重要原因之一，就是手机厂商普遍未能实现其定制开发的安卓系统与安卓官方同步更新，而且延时较大。

下图给出了用户手机系统与安卓官方系统、手机厂商系统的更新情况对比。可以看到，近一半（47.8%）的手机用户能够保持手机系统与厂商最新系统的同步更新，且6成以上的用户能够在厂商推出更新版本后三个月内更新自己的手机；但能够享受与安卓官方最新系统保持同步更新服务的用户则仅为0.14%，滞后时间小于3个月的用户也不足30%。

三、 提升能力强化合作

安全厂商作为保障用户手机安全的最后一环，应该努力提升防护能力，及时发现和抵御恶意软件最新威胁，并且与系统厂商、手机厂商在威胁情报方面深化合作，共同建立起移动生态安全保障体系。

(一) 全球安全厂商研究概览
为了能够更加全面的掌握全球移动平台最新威胁，了解全球安全厂商研究的前沿成果，2016年以来，360互联网安全中心下属的360烽火实验室，展开了对全球主要安全机构及安全专家发布的各类移动威胁研究报告和研究成果的监测与追踪工作。

2016年，360烽火实验室共监测到全球31个安全厂商发布的各类移动威胁报告159篇，下表给出了全球各国研究情况的对比。监测可能有所遗漏，敬请谅解。

从上表可以看出，无论是从报告数量、还是安全厂商的数量来看，美国在全世界都处于遥遥领先的地位，有17个美国的安全厂商展开了移动威胁的相关研究，发布相关研究报告多达75篇。

综合数据看，中国排名全球第二，共有6个安全厂商发布了43篇关于移动威胁的研究报告及成果。

而俄罗斯目前主要的移动安全厂商，虽然仅有Kaspersky和Dr.Web两家安全厂商，但报告数量在各国中排名第三。其中，Kaspersky属于世界高水平研究机构之一，其发布的报告的质量，深度都有较高水平。

从披露的移动威胁报告类型看，恶意软件分析（72%）和安全预警（13%）是主要报告类型；从披露的恶意软件类型看，隐私窃取（27%）、远程控制（21%）和资费消耗（16%）是主要恶意软件类型，并且大部分恶意软件常常会伴有多种恶意行为。

由于国外主要使用官方应用市场Google Play下载APP，因此Google Play上APP的安全性，受到国外安全厂商重点关注。2016年，从国外安全厂商披露的移动威胁来源看，来自Google Play的恶意软件占34%。正是由于安全厂商的及时通报，Google Play迅速下架了有问题的APP，抵御了恶意软件威胁，保障了Google Play上APP安全可靠。

关于2016年全球安全厂商针披露的移动威胁报告的具体情况，详见附录三。

(二) 360打造立体防护体系
作为中国最大的互联网安全公司之一，360拥有国内规模领先的高水平安全技术团队。作为全球顶级移动安全生态研究实验室，360烽火实验室独有360 AVE引擎、360 Sandbox和360 QVM引擎等全球领先的移动恶意软件检测技术。实验室为360手机卫士、360手机急救箱、360手机助手等提供核心安全数据和顽固木马清除解决方案的同时，也为上百家国内外厂商、应用商店等合作伙伴提供了移动应用安全检测服务，全方位守护移动安全。

360 AVE（Anti-Virus Engine）在传统反病毒特征引擎的基础上，进行了有力的创新，具有了复杂的广谱查杀能力和灵活的逻辑控制能力。

360 AVE引擎具有以下特点：

1,卓越的查杀能力，可覆盖流行样本。基于庞大的用户量以及精准的人工分析，引擎达到了广谱的查杀效果。搭载360 AVE的安全软件多次通过国际权威的防病毒测试并取得优异的成绩，同时获得了业内广泛的好评。

2,强大的记录描述能力，轻松对抗混淆和加密，具有灵活的逻辑控制能力和较强的可扩展性。针对不断变换自身的木马有很好的效果，区别于传统杀软，360 AVE的定位方法更为强大，在二进制文件定位匹配的基础上，增加了资源、证书、配置表等非代码结构的定位和匹配，并率先引入ELF文件的查杀功能，让恶意程序无所遁形。优秀的查杀逻辑控制搭配通俗易懂的脚本语言来描述病毒特征，使分析员使用起来不被引擎局限。
3,轻量级，特征库小，快速响应，可独立升级。极小的本地病毒库涵盖了对绝大部分病毒的查杀能力，同时能便捷地部署和集成于各类检测平台之中，具备处理突发病毒事件的快速响应能力。
360 Sandbox基于Android样本运行时行为的动态养殖检测技术，主要用来识别带有恶意行为的Android样本，并且能够记录样本自带的攻击者相关信息，联合公安机关打击不法犯罪活动。

360 Sandbox具有以下特点：

1,  直接在服务器端对软件进行检测识别，使用云查方式直接生效，用户无需安装及升级。
2,  模拟多种逼真的运行环境，行为监控点上百余处，能够捕获近乎完整的软件行为。
3,  服务器端吞吐能力强，日处理样本可达近百万。同时，软件检测处理周期短，速度快。
4,  软件恶意行为判定规则多达上千，能识别近乎全部的恶意样本。
5,  恶意软件免杀难，对市面上常见的加固或者加密等对抗方式躲避查杀的样本查杀效果好，如流行的FakeTaobao恶意软件家族及手机勒索软件等。
6,  查杀精准，基于动态行为的恶意检测方式从本质上决定了一旦样本命中检测，就必然已经触发恶意行为，具备支持跨家族进行查杀的特性。
7,  新型恶意软件克星，不依赖代码形态只依赖行为本质，能够及时快速的捕获新型恶意软件，避免新型恶意软件大规模爆发。

360 QVM（Qihoo Support Vector Machine）人工智能引擎是360完全自主研发的第三代引擎（具有中国的自主知识产权的引擎）, 它采用人工智能算法，具备“自学习、自进化”能力，无需频繁升级特征库, 不但查杀能力遥遥领先，而且从根本上攻克了前两代杀毒引擎“不升级病毒库就杀不了新病毒”的技术难题，在全球范围内属于首创。

理论上，QVM与今年名噪一时的人工智能机器人AlphaGo（阿尔法狗）类似，都是输入海量的数据进行学习，并且经过反复训练，然后对特定数据样本做出准确判定。

QVM人工智能引擎（手机版）于2014年开始投入使用以来，重新定义了查杀的广度与深度，并且能高效，快速地查病毒样本。

QVM人工智能引擎（手机版）主要有以下三个优势：

1, 高查杀率，QVM人工智能引擎（手机版）比传统引擎能多检出百分之二十左右
2, 低误报率，QVM人工智能引擎（手机版）误报比例在十万分之一左右
3, 快速查杀，QVM人工智能引擎（手机版）版本迭代速度达到小时级，较传统引擎更为快速。
2016年，360烽火实验室已公开的Android安全研究报告16篇，报告涵盖移动安全预警、家族演变、热点追踪、黑色产业链、企业安全、系统研究、技术积累及专题报告等多个领域。

 

第七章 威胁趋势预测

一、 银行金融对象依然是攻击热点
今年媒体曝光了许多关于盗刷***，电信诈骗等案例，由于银行金融对象与“钱”紧密相关，受到社会广泛关注，也引起了国家有关部门的高度重视，出重拳坚决遏制网络诈骗犯罪高发势头。

2016年360手机卫士联合公安、运营商、高校、媒体共同发起“全民守卫”计划。计划通过“攻、防、御、术、联”多种方式全力阻击电信诈骗，电信诈骗势头有所降低。但是，受到国内伪基站泛滥和公民个人信息泄露等严峻形势的影响，电信诈骗、钓鱼攻击依然是个人财产安全面临的巨大威胁。

二、 移动平台仍然是勒索软件的重灾区
今年，敲诈者木马受系统平台的影响，在PC平台肆虐，给用户造成巨大损失。同样，在移动平台上，勒索软件在今年也逐渐形成规模。尽管相比之下的移动平台损失相对较轻，但同样带来的是用户“花钱消灾”的心态以及立案条件的不足。导致勒索软件的作者仍会肆无忌惮。尽管Android 7.0系统新特性在一定程度做出改进，但受限于系统更新普及率和系统本身特性，这种威胁仍然会持续。

三、 恶意软件与系统的更新进行持续对抗
Android系统作为主流的移动手机系统之一，伴随着系统更新，Android恶意软件受到系统变化的影响，比如Android 6.0的动态权限模型、Doze打盹机制、Android 7.0的设备管理器权限限制等，都在不同程度上遏制了恶意软件运行，恶意软件给用户手机带来的危害有所缓解。

然而，手机安全的环境并不是静止的。系统更新的同时，恶意软件在技术从广度和深度上也在提高，持续与系统进行对抗，甚至利用一些社会工程学揣摩用户的心理活动，从用户那里找到系统安全策略的突破口。

四、 针对企业移动办公的威胁
企业移动办公（BYOD），指携带自己的设备办公，比如手机或平板在机场、酒店、咖啡厅等，登录公司邮箱、在线办公系统，不受时间、地点、设备、人员、网络环境的限制。许多企业开始考虑允许员工自带智能设备使用企业内部应用。企业的目标是在满足员工自身对于新科技和个性化追求的同时提高员工的工作效率，降低企业在移动终端上的成本和投入。

企业一般在信息系统前端均部署有防火墙，通过防火墙规则隔离内外网，保护公司内部数据。目标觊觎企业内部数据的“DressCode”恶意软件家族在年内曝光，通过代理反弹技术穿透公司防火墙，将公司内部数据彻底暴露在无安全保障的环境下，由于企业数据的高价值性，加上企业移动办公的流行趋势，未来企业数据将成为恶意软件的攻击的重要目的。

 

五、 针对物联网的威胁
物联网（IOT）是新一代信息技术的重要组成部分，也是”信息化”时代的重要发展阶段，现阶段厂商在国家政策的支持下，物联网正在全面袭来。物联网的核心和基础仍然是互联网，是在互联网基础上的延伸和扩展的网络。只有保障基础网络环境的安全，才能进一步加速物联网建设。

2016年12月，曝光了一个劫持路由器DNS设置的“Switcher”恶意软件家族[29]，一旦攻击者利用手机接入Wi-Fi网络，该恶意软件即会利用一份预置好的包含25种默认登录名与密码的列表，在路由器的管理员Web界面中执行密码暴力破解。如果破解尝试成功后，木马会导航至WAN设置选项并设置不法犯罪分子控制的流氓DNS作为主DNS服务器。劫持成功后，会影响连接在该Wi-Fi网络下的全部设备。这种类型的恶意软件在Android平台上还是首次出现，在后续演变过程中，将会对物联网安全产生潜在的威胁。

六、 针对高级目标持续定向攻击
APT攻击（Advanced Persistent Threat，高级持续性威胁）堪称是在网络空间里进行的军事对抗，攻击者会长期持续的对特定目标进行精准的打击。2016年，曝光了一系列的涉及移动平台的APT组织行动，从披露的恶意家族类型看，均属于隐私窃取类型；从攻击目标看，军事、政府、宗教、政治、外交、企业成为今年APT组织攻击的主要目标。伴随着移动平台的大力发展，APT攻击将向全平台化方向发展，成为今后的主要趋势。

附录一：参考资料

[1] Android Malware About to Get Worse: GM Bot Source Code Leaked：hxxps://securityintelligence.com/android-malware-about-to-get-worse-gm-bot-source-code-leaked/

[2]手机恶意程序盗取个人信息形势分析报告：hxxp://zt.360.cn/1101061855.php?dtid=1101061451&did=1101892367

[3] ANDROID勒索软件研究报告：hxxp://blogs.360.cn/360mobile/2016/04/12/analysis_of_mobile_ransomware/

[4] 移动平台流量黑产研究——色情播放器类恶意软件产业链：hxxp://blogs.360.cn/360mobile/2016/12/27/porn_player_underground_industry/

[5] “地狱火”手机病毒——源自安卓系统底层的威胁：hxxp://blogs.360.cn/360mobile/2016/06/21/analysis_of_diyuhuo/

[6] 社会工程学：hxxp://baike.so.com/doc/5581042-5793922.html

[7] ANDROID ACCESSIBILITY安全性研究报告：hxxp://blogs.360.cn/360mobile/2016/09/07/research_of_accessibility/

[8] Android 5.0版本系统getRunningTasks源码：hxxp://androidxref.com/5.0.0_r2/xref/frameworks/base/core/java/android/app/ActivityManager.java#1235

[9] GitHub开源项目android-rooting-tools ：hxxps://github.com/android-rooting-tools

[10] AIDE – Android IDE：hxxp://www.android-ide.com/

[11] About Instant Run：hxxps://developer.android.com/studio/run/index.html#instant-run

[12] Android Studio： hxxps://developer.android.com/studio/index.html

[13] 百脑虫之HOOK技术分析： hxxp://blogs.360.cn/360mobile/2016/04/25/analysis_of_bainaochong_hook/

[14] OLDBOOT：ANDROID平台的第一个BOOTKIT :hxxp://blogs.360.cn/360mobile/2014/01/18/oldboot-the-first-bootkit-on-android_cn/

[15] 内网穿透——ANDROID木马进入高级攻击阶段： hxxp://blogs.360.cn/360mobile/2016/12/01/analysis_of_dresscode/

[16] 2016中国伪基站短信研究报告：hxxp://zt.360.cn/1101061855.php?dtid=1101061451&did=1101741409

[17] URL重定向：hxxp://baike.so.com/doc/8454899-8774902.html

[18] 通过BT种子传播到安卓手机的下载者：hxxp://blogs.360.cn/360safe/2016/04/12/bt_android_downloader/

[19] 深入分析跨平台网络电信诈骗：hxxp://blogs.360.cn/360mobile/2016/05/16/telecommunications_fraud_network/

[20] 移动平台千王之王大揭秘：hxxp://blogs.360.cn/360mobile/2016/06/02/gamble_ecosystem_on_mobile/

[21] Top 50 Products By Total Number Of “Distinct” Vulnerabilities in 2016：hxxp://www.cvedetails.com/top-50-products.php?year=2016

[22] 2016安卓手机漏洞年终盘点——360 Vulpecker Team独家解读：hxxp://bobao.360.cn/news/detail/3833.html

[23] Platform Versions：hxxps://developer.android.com/about/dashboards/index.html

[24] Android version history：hxxps://en.wikipedia.org/wiki/Android_version_history

[25] ANDROID系统新权限模型剖析与预警：hxxp://blogs.360.cn/360mobile/2016/10/11/android_new_permission_model/

[26] Android Doze机制与木马的绕过方式：hxxp://zt.360.cn/1101061855.php?dtid=1101061451&did=490177932

[27] ANDROID N限制重置密码以遏制勒索软件：hxxp://blogs.360.cn/360mobile/2016/11/07/android_nougat_against_ransomware/

[28] 2016中国安卓系统安全性生态环境研究：hxxp://zt.360.cn/1101061855.php?dtid=1101061451&did=490226409

[29] Switcher: Android joins the ‘attack-the-router’ club：hxxps://securelist.com/blog/mobile/76969/switcher-android-joins-the-attack-the-router-club/

附录二：”企业级”恶意程序开发者搅局移动安全

——摘自第四届中国互联网安全大会文集2016《互联网安全的40个智慧洞见》

陈宏伟

360烽火实验室 高级安全研究员

一、引言

自2009年，安卓系统开始逐渐在国内起步。特别是近几年，安卓智能手机进入到了高速发展阶段，它逐渐成为人们生活中不可缺少的一部分。针对安卓手机的攻击层出不穷，同时恶意程序也在不断的演变和进化。经过我们长时间的观察，恶意程序的开发者从“小作坊”逐渐向“正规军”演变，有越来越多的企业级团队参与到移动恶意程序的制作中来。企业级团队拥有丰富的人力、物力和财力资源，这是以往小规模开发者所望尘莫及的。企业级团队这个移动安全搅局者的加入势必对本来就不太平的移动安全造成深远的影响。

二、“企业”开发者大显身手

流量僵尸

2015年7月，360互联网安全中心发现有90余款游戏被植入了同一段恶意代码，该段代码会在用户不知情的情况下，下载并安装恶意插件。该恶意插件会在后台静默访问某知名搜索引擎，同时联网获取关键词，模拟真实用户的搜索行为在该网站上进行搜索操作。从而实现为此导航网站和特定搜索引擎刷流量目的。由于这些手机应用会大量消耗用户的手机流量，故此，我们将含有该段恶意代码的应用程序命名为“流量僵尸”。

分析木马联网取词的结果如表1 所示，不难发现该木马的控制服务器对于搜索关键词的选取显然是经过精心设计的，不仅和当日新闻热点有关，而且选词范围非常丰富。这就使得木马所模拟的搜索行为看起来更为真实，更不容易被搜索引擎的反作弊机制发现。

表1 木马联网取词各类搜索关键词热词举例

截止2015年7月13日，共计截获被感染的样本1000余个，影响手机445561部。通过分析这些样本的数字证书发现，如图1所示该木马的样本主要使用了4个不同的数字签名证书，分别是：

1. CN=ngsteam, OU=ngsteam, O=xinyinhe, C=CN

2. CN=google, OU=google, O=android, C=CN

3. CN=Android Debug, O=Android, C=US

4. EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US

其中，前两个证书共占到目前已截获样本总量的61%。

图1 流量僵尸木马的样本证书分布图

 

进一步分析发现，证书“CN=ngsteam, OU=ngsteam, O=xinyinhe, C=CN”的名称与恶意插件的下载地址均指向同一家公司。短短的一年时间里，使用此证书的样本多达3600余个，其中近七成存在私自下载的行为。

幽灵疑云

2015年7月，我们监测到某品牌手机大面积集中感染TimeService、MonkeyTest等一系列木马（如图2所示），清除之后又会出现并且部分用户出现私自下载，扣费等恶意行为，造成用户经济损失。

图2 受害用户在论坛发帖求助

木马执行流程如图3所示。该木马伪装成知名软件，通过联网下载和本地释放提权代码的方式静默Root手机。在获得到Root权限之后，向系统写入恶意文件，篡改手机系统重要文件，从而实现开机自启、私自下载静默安装应用、木马联网自更新、防止卸载等多个恶意行为。同时消耗用户流量，订阅扣费业务，给用户造成经济损失。

图3 木马流程示意图

分析该木马家族样本的过程中，我们在一个伪装成“Daily Racing”游戏的变种的运行衍生物里发现了一个名为ngsteamprf.xml的配置文件。在这个文件中发现了一个名为fastmopay.com的域名。以这个域名作为线索，在pay.fastmopay.com/overseaads/api/801下的内容中指向了一个apk文件，而这个文件正是该木马加载的核心模块MonkeyTest的变种。

幕后黑手

以上两个案例中涉及到了3个有价值的线索：ngsteam、fastmopay.com、xinyinhe。经过调查我们发现他们都指向一家注册地在深圳的公司。

公司概况：这家公司的总部设在北京，在广东、上海等地设有销售代理机构。公司员工人数100人左右，其中技术研发人员10人左右，鼎盛时期多达50人。其余人员以销售和运营为主。

公司业务：业务分为线上、线下两条渠道。线上渠道以广告推广和应用计费为主，线下渠道以预装和刷机为主。所有的业务集中在流氓广告和暗扣。

流量僵尸的出现的原因是该公司在当时新开启了一个为某搜索引擎和导航网站导入流量的项目。幽灵疑云中的幽灵在设计之初是为海外市场“精心”打造的。不巧的是某品牌手机的应用市场在抓取应用时阴差阳错地抓取了一个伪装成某知名浏览器的木马，更不幸的是这个木马被当做正常应用更新推送了用户，这才最终导致了该品牌手机在短时间内大面积感染的现象发生。

黑色产业链

暗扣相对于流氓广告来说更不为大众所熟知。这两者最终都会带来收益，所不同的是广告的收益来自广告主，而暗扣的收益直接来自手机用户的话费。下面介绍一下暗扣的产业链。

图4 暗扣产业链示意图

电信运营商：提供基本的短信计费代码。

软件公司：以正规应用需要计费为由向运营商申请短信计费代买。

代理商：从软件公司购买并破解短信计费代码，并将计费代码转卖给渠道商。

渠道商：将计费代码封装成SDK，出售给内容提供商。

内容提供商：为应用集成包含计费代码的SDK，并将包含计费代码SDK的应用发放给最终用户。

图5 暗扣流程示意图

用户下载并安装应用：通过广告推广等形势诱导手机用户下载和安装包含计费SDK的应用。

用户点击运行应用：用户点击新安装应用的图标，启动应用。

应用弹出插屏页面：应用运行到某一个特定的页面或者满足一个预设的条件后便会弹出一个具有诱惑力的插屏页面，诱使用户点击。

用户误点页面：弹出的插屏页面通常带有较强的迷惑性，给予用户错误的提示，造成错误点击。

应用发送短信扣费：用户误点击插屏页面之后，触发应用中的计费SDK的相应代码，发送计费用的短信用于扣费。

拦截扣费确认短信：为了不让用户发现自己被扣费，计费SDK中通常会包含拦截运营商发送的扣费提示的短信，有的甚至会自动回复运营发送的扣费二次确认短信。

三、恶意开发者之间的“较量”

表2 开发者特点对比表

开发者的特点对比如表2所示，不难发现企业级开发者相对于个人和小规模团队在各方面都有着明显的“优势”，但是他们也还是存在着种种的问题。外部环境看似风平浪静，实则暗流涌动。公司之间明争暗斗抢夺资源和渠道，为了各自的利息不择手段。而企业自身内部老板和员工之间缺乏信任，处处算计，勾心斗角。悲催的团队、“机智”的员工和精明的老板共同构成了企业级团队一副尴尬的众生相。

四、应对策略

通过对一份由360移动开放平台提供的恶意移动开发者统计数据的分析我们发现，企业级恶意开发者的数量在逐年上升，而且大有超过个人恶意开发者的趋势。面对企业级恶意程序开发者这个不速之客我们提出以下几点建议：

对于开发者：谨慎选择植入的SDK，留意SDK所需要的权限，以免被别有用心的人利用，充当替罪羊。

对于手机用户：从正规市场下载应用，谨慎点击广告，安装手机安全软件并保持更新。

对于手机厂商：及时为用户推送安全更新，增强对隐私数据的保护。

对于应用商店：从正规渠道获取应用，加强开发者的审查，加强应用上架前的安全检查。

对于电信运营商：加强对服务提供商的监管，加强计费渠道的审查和监管。

对于政府机构：建立健全相关法律法规，加大打击和处罚的力度，提高作恶的成本。

 

附录三：2016年全球安全厂商披露的移动威胁报告汇总

1月

“百脑虫”手机病毒分析报告
hxxp://blogs.360.cn/360mobile/2016/01/06/analysis_of_bainaochong/
“Brain Test”家族卷土重来：已有13个恶意程序在Google Play上被发现
hxxps://blog.lookout.com/blog/2016/01/06/brain-test-re-emerges/
基于安卓系统的智能电视正在遭受由恶意App传播的后门的攻击
hxxp://blog.trendmicro.com/trendlabs-security-intelligence/android-based-smart-tvs-hit-by-backdoor-spread-via-malicious-app/
新型手机预装马：失控的预装
hxxp://seclab.safe.baidu.com/2016-01/fakruntime.html
安全厂商CheckPoint在谷歌商店内发现的恶意程序Turkish Clicker
hxxp://blog.checkpoint.com/2016/01/08/turkish-clicker-check-point-finds-new-malware-on-google-play/
“面具恶魔”绕过Root恶意推广
hxxp://seclab.safe.baidu.com/2016-01/fakegoogletools.html
安卓恶意程序Bankosy攻破基于语音通话的双因素授权（2FA）系统
hxxp://www.symantec.com/connect/blogs/androidbankosy-all-ears-voice-call-based-2fa
4种针对银行应用的新威胁手段告诉你为什么应用防护如此重要
hxxps://blog.lookout.com/blog/2016/01/25/banking-app-threats/
当「我的世界」不再是我的世界 ——《我的世界》惊现仿冒游戏下载器
hxxp://blog.avlyun.com/2016/01/2697/my-world/
安卓勒索软件种利用劫持点击行为注册设备管理员
hxxp://www.symantec.com/connect/blogs/android-ransomware-variant-uses-clickjacking-become-device-administrator

2月

“法老木马”感染15万部手机
hxxp://msm.qq.com/security_lab/news_detail_349.html
PC恶意软件在安卓设备上静默安装应用
hxxp://now.avg.com/pc-malware-that-silently-installs-apps-on-your-android-device/
安天AVL Team2015移动安全年报
hxxp://blog.avlyun.com/2016/02/2759/2015report/
安全警告：一款能擦除你手机的安卓恶意软件“Mazar BOT”被发现
hxxps://heimdalsecurity.com/blog/security-alert-mazar-bot-active-attacks-android-malware/
盘点2015年度10大安卓手机系统级病毒
hxxp://blogs.360.cn/360mobile/2016/02/17/android_system_virus_top10/
安卓勒索软件的崛起
hxxp://www.welivesecurity.com/2016/02/18/the-rise-of-android-ransomware/
新的安卓木马“Xbot”钓鱼获取***和银行账户，加密手机勒索用户
hxxps://heimdalsecurity.com/blog/security-alert-mazar-bot-active-attacks-android-malware/
Android银行木马GM Bot源码已泄露，可免费在线下载
hxxp://thehackernews.com/2016/02/android-malware-source-code.html
手机恶意软件进化史(2015年度)
hxxps://securelist.com/analysis/kaspersky-security-bulletin/73839/mobile-malware-evolution-2015/
移动设备被直接用于开发的勒索软件的变种
hxxp://www.symantec.com/connect/blogs/android-ransomware-variants-created-directly-mobile-devices
别抢红包了！小心倾家荡产
hxxp://blog.avlyun.com/2016/02/2815/red-packet/
Google Play上的色情播放器木马的分析
hxxp://www.welivesecurity.com/2016/02/24/porn-clicker-trojans-google-play-analysis/

3月

基于Zygote的攻击：移动威胁演变史上的新转折点
hxxps://securelist.com/analysis/publications/74032/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/
不是闹鬼，是病毒！全球首个Golem（傀儡）病毒感染数万手机
hxxp://www.freebuf.com/vuls/97710.html
“舞毒蛾”木马演变报告
hxxp://blogs.360.cn/360mobile/2016/03/08/analysis_of_wudue/
飞塔SherlockDroid分析系统发现安卓恶意程序家族BadMirror
hxxp://blog.fortinet.com/post/badmirror-new-android-malware-family-spotted-by-sherlockdroid?utm_source=tuicool&utm_medium=referral
安卓银行木马伪装成Flash Player并绕过双因子认证
hxxp://www.welivesecurity.com/2016/03/09/android-trojan-targets-online-banking-users/
安卓恶意程序Marcher借助色情网站大肆传播
hxxp://research.zscaler.com/2016/03/android-marcher-now-marching-via-porn.html
一项基于二进制代码的研究显示：越来越多的Android恶意软件家族具有相同的起源
hxxps://www.fireeye.com/blog/threat-research/2016/03/android-malware-family-origins.html
移动恶意软件GM Bot第二版发布，售价翻三倍
hxxp://securityintelligence.com/mobile-malware-gm-bot-v2-released-price-triples/
盘点手机APP扣费陷阱
hxxp://blogs.360.cn/360mobile/2016/03/16/charge-trap/
安天AVL联合猎豹首曝“多米诺”恶意应用市场APP
hxxp://blog.avlyun.com/2016/03/2849/maliciousappstore/
偷取短信的成人主题Android木马
hxxp://research.zscaler.com/2016/03/adult-themed-android-sms-stealer-trojan.html
知名公司开发的固件和应用程序感染新型广告
hxxp://news.drweb.com/show/?i=9882&c=9&lng=en&p=0
谁看了你的Instagram 账户？谁偷了你的密码？
hxxps://securelist.com/blog/research/74260/who-viewed-you-instagram-account-and-who-stole-your-password/
印度军人成为代号为“Operation C-Major”信息窃取行动的攻击目标
hxxp://blog.trendmicro.com/trendlabs-security-intelligence/indian-military-personnel-targeted-by-information-theft-campaign/
“道有道”的对抗之路
hxxp://blogs.360.cn/360mobile/2016/03/24/analysis_of_daoyoudao/
Client病毒已感染超7万人 暗扣费并频弹广告
hxxp://blog.avlyun.com/2016/03/2900/clientmalware/
在日本发现西方最流行的Android勒索软件
hxxp://www.symantec.com/connect/blogs/most-prevalent-android-ransomware-west-arrives-japan
已发现100多个Google Play应用程序含有广告间谍程序
hxxp://news.drweb.com/show/?i=9902&c=9&lng=en&p=0

4月

ANDROID勒索软件研究报告
hxxp://blogs.360.cn/360mobile/2016/04/12/analysis_of_mobile_ransomware/
通过BT种子传播到安卓手机的下载者
hxxp://blogs.360.cn/360safe/2016/04/12/bt_android_downloader/
来自远方的“僵尸之手”
hxxp://blog.avlyun.com/2016/04/2940/%E6%9D%A5%E8%87%AA%E8%BF%9C%E6%96%B9%E7%9A%84%E5%83%B5%E5%B0%B8%E4%B9%8B%E6%89%8B/
“C-Major行动”的幕后黑手使用运行在安卓和黑莓手机上的间谍软件攻击目标
hxxp://blog.trendmicro.com/trendlabs-security-intelligence/operation-c-major-actors-also-used-android-blackberry-mobile-spyware-targets/
谷歌未能关闭安卓恶意程序留下的后门
hxxp://blog.checkpoint.com/2016/04/22/in-the-wild-google-cant-close-the-door-on-android-malware/
百脑虫之HOOK技术分析
hxxp://blogs.360.cn/360mobile/2016/04/25/analysis_of_bainaochong_hook/
利用安卓Towelroot和HackingTeam泄露的漏洞传播“Dogspectus”勒索软件
hxxps://www.bluecoat.com/security-blog/2016-04-25/android-exploit-delivers-dogspectus-ransomware
新型安卓恶意软件家族RuMMS利用短信钓鱼攻击俄罗斯地区的用户
hxxps://www.fireeye.com/blog/threat-research/2016/04/rumms-android-malware.html
安卓恶意软件冒充Google Chrome浏览器更新实施隐私窃取
hxxps://www.zscaler.com/blogs/research/android-infostealer-posing-fake-google-chrome-update
欧洲地区出现伪造安卓更新且具有发送短信和欺骗点击行为的恶意程序
hxxps://blogs.mcafee.com/mcafee-labs/fake-android-update-delivers-sms-click-fraud-europe/
欺骗用户到Google Play安装应用程序的andorid木马
hxxp://news.drweb.com/show/?i=9948&lng=en&c=5

5月

恶意软件可利用安卓系统辅助服务绕过增强的安全检测
hxxp://www.symantec.com/connect/blogs/malware-may-abuse-android-s-accessibility-service-bypass-security-enhancements
在Google Play上发现安卓恶意软件“Clicker.D!Gen”
hxxps://blogs.mcafee.com/mcafee-labs/android-malware-clicker-dgen-found-google-play/
庄家永远是赢家——对Google Play上的一个银行木马的分析
hxxps://blog.lookout.com/blog/2016/05/16/acecard-banking-trojan/
潜伏在谷歌商店内的新型安卓恶意软件Viking Horde
hxxp://blog.checkpoint.com/2016/05/09/viking-horde-a-new-type-of-android-malware-on-google-play/
“极光”暗影：极光推送（JPush SDK）存在被恶意开发者利用风险
hxxp://www.myhack58.com/Article/60/63/2016/74680.htm
PoC的公开所带来的问题
hxxps://securelist.com/blog/research/74724/results-of-poc-publishing/
全世界多款安卓应用程序的感染银行木马
hxxp://news.drweb.com/show/?i=9956&c=9&lng=en&p=0
新型锁屏恶意程序肆虐Android设备
hxxps://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=929
色情交易：安卓成人广告应用的技术分析
hxxps://blogs.mcafee.com/mcafee-labs/sex-sells-looking-at-android-adult-adware-apps/
Flashlight App弹恶意广告
hxxp://blog.trendmicro.com/trendlabs-security-intelligence/flashlight-app-spews-malicious-ads/
安全预警：勒索软件正成为制马人的新方向
hxxp://blogs.360.cn/360mobile/2016/05/17/security_alert_of_ransomware/
“Dogspectus”勒索软件技术分析
hxxps://blog.fortinet.com/post/dogspectus-ransomware-analysis
Hacking Team泄露的Kernel Waiter漏洞仍然在被人利用
hxxp://blog.trendmicro.com/trendlabs-security-intelligence/kernel-waiter-exploit-from-the-hacking-team-leak-still-being-used/
谷歌商店内的恶意软件仍然同过去一样普遍和讨厌
hxxp://blog.checkpoint.com/2016/05/20/in-the-wild-malware-in-google-play-is-as-prevalent-and-pesky-as-ever/
Macbeth病毒植入流行社交应用，上亿用户或受影响
hxxp://blog.avlsec.com/2016/05/3237/macbethvirus/
安卓广告软件试图欺骗分析人员
hxxp://blog.fortinet.com/post/android-adware-trying-to-deceive-the-analyst
拉脱维亚一款冒充Adobe Flash的软件成功绕开大部分杀毒软件的检测并通过C&C服务器控制用户手机
hxxp://blog.trustlook.com/2016/05/23/fake-adobe-flash-app-evades-most-anti-virus-detection-and-manipulates-phone-by-command-control-server-in-latvia/
80万用户感染伏地虫病毒 获取root恶意下载、窃隐私盗资金
hxxp://msm.qq.com/security_lab/news_detail_358.html
恶意软件com.zqb.skater的分析
hxxp://blog.trustlook.com/2016/05/24/analysis-of-com-zqb-skater-and-droppersms-behaviors/
仿银行App提高了防御措施
hxxp://blog.trendmicro.com/trendlabs-security-intelligence/fake-bank-app-phishes-credentials-locks-users-out/
安卓恶意软件升级后可操纵Marshmallow的新版权限模型
hxxp://www.symantec.com/connect/blogs/android-threats-evolve-handle-marshmallow-s-new-permission-model
安卓银行木马“SpyLocker”针对更多欧洲地区的银行
hxxps://blogs.mcafee.com/mcafee-labs/android-banking-trojan-spylocker-targets-more-banks-in-europe/
银行木马程序被植入安卓游戏应用
hxxps://news.drweb.com/show/?i=9984&lng=en&c=14
安卓银行类恶意软件越来越符合社会工程学
hxxps://www.zscaler.com/blogs/research/android-banker-malware-goes-social/
安卓间谍软件瞄上了沙特阿拉伯的安全类工作求职者
hxxps://blogs.mcafee.com/mcafee-labs/android-spyware-targets-security-job-seekers-in-saudi-arabia/

6月

安卓恶意软件寻找获知系统当前运行任务的新方法
hxxp://www.symantec.com/connect/blogs/android-malware-finds-new-ways-derive-current-running-tasks
移动恶意软件的新突破
hxxp://blog.checkpoint.com/2016/06/03/in-the-wild-never-a-dull-moment-with-mobile-malware/
你所看见的并非你想看见的——URLs重定向
hxxps://securelist.com/blog/research/74997/everyone-sees-not-what-they-want-to-see/
“敲诈勒索”病毒家族的分析报告
hxxp://seclab.safe.baidu.com/2016-06/lockers.html
Flocker移动勒索软件感染智能电视
hxxp://blog.trendmicro.com/trendlabs-security-intelligence/flocker-ransomware-crosses-smart-tv/
更新：安卓勒索软件，升级的战争
hxxp://blog.trustlook.com/2016/06/13/update-android-ransomwares-the-escalated-battle/
恶意广告：“我不仅要打扰你，还要偷窥你”
hxxps://blog.lookout.com/blog/2016/06/14/adware/
Google Play出现新木马：Doctor Web揭露社交媒体账户窃取案例
hxxp://news.drweb.com/show/?i=10009&c=9&lng=en&p=0
假借知名应用植入恶意模块，披着羊皮的“狼”来了！WarThunder远程控制木马预警
hxxp://blog.avlsec.com/2016/06/3298/warthundermalicewolf/
移动恶意软件呈现出新的特点
hxxp://blog.checkpoint.com/2016/06/17/in-the-wild-mobile-malware-implements-new-features/
银行木马瞄准俄罗斯金融机构客户
hxxp://blog.trustlook.com/2016/06/17/banking-trojan-targets-clients-of-russian-financial-institutions/
“地狱火”手机病毒——源自安卓系统底层的威胁
hxxp://blogs.360.cn/360mobile/2016/06/21/analysis_of_diyuhuo/
‘GODLESS’移动恶意软件利用多个漏洞获取设备系统权限
hxxp://blog.trendmicro.com/trendlabs-security-intelligence/godless-mobile-malware-uses-multiple-exploits-root-devices/
Doctor Web检测到谷歌商店内的一些应用感染了恶意插件
hxxp://news.drweb.com/show/?i=10036&c=9&lng=en&p=0
对Google Play上发现的自动root恶意程序“LevelDropper”的分析
hxxps://blog.lookout.com/blog/2016/06/27/leveldropper/
在Google Play上发现盗取Viber的相片和视频的恶意应用程序
hxxp://www.symantec.com/connect/blogs/malicious-app-found-google-play-steals-viber-photos-and-videos
利用页面覆盖的新型Android恶意软件通过短信钓鱼在欧洲境内传播
hxxps://www.fireeye.com/blog/threat-research/2016/06/latest-android-overlay-malware-spreading-in-europe.html
高能预警：丹麦“支付宝”MobilePay被盯上了！
hxxp://blog.avlsec.com/2016/06/3339/mobilepay/
恶意软件“Beaver Gang Counter”从Google Play下架
hxxps://nakedsecurity.sophos.com/2016/06/30/beaver-gang-counter-malware-ejected-from-play-store/

7月

情况越来越糟：恶意程序HammingBad最新情况及分析
hxxp://blog.checkpoint.com/2016/07/01/from-hummingbad-to-worse-new-in-depth-details-and-analysis-of-the-hummingbad-andriod-malware-campaign/
安卓新版本7.0（牛轧糖）可防止勒索软件重置设备密码
hxxp://www.symantec.com/connect/blogs/android-nougat-prevents-ransomware-resetting-device-passwords
伪装成合法应用程序的木马窃取用户信息
hxxp://blog.trustlook.com/2016/07/06/trojan-disguised-as-legitimate-app-to-steal-information/
“中国”制造：悍马（Hummer）病毒家族技术分析报告
hxxp://www.freebuf.com/news/108561.html
DroidJack利用side-load…这种方式超级有效！发现带后门的Android版Pokemon GO
hxxps://www.proofpoint.com/us/threat-insight/post/droidjack-uses-side-load-backdoored-pokemon-go-android-app
包含木马化的Pokeman Go程序在用户环境中被发现
hxxps://blogs.mcafee.com/mcafee-labs/trojanized-pokemon-go-android-app-found-wild/
拥有300万安装量的应用是如何恶意推广刷榜的？
hxxp://www.freebuf.com/articles/terminal/108849.html
Google Play上的虚假应用程序以增加关注的名义欺骗用户付费
hxxp://www.welivesecurity.com/2016/07/14/fake-apps-google-play-tricked-users-paying-instead-delivering-promised-followers/
安卓银行恶意软件阻止受害者拨打客户服务电话
hxxp://www.symantec.com/connect/blogs/android-banking-malware-blocks-victims-outgoing-calls-customer-service
骗子拦截短信，并在谷歌商店留下痕迹
hxxp://blog.trendmicro.com/trendlabs-security-intelligence/courier-scammers-intercept-text-messages-leave-traces-google-play/
包含木马的宣传应用利用推特感染并监控恐怖主义支持者
hxxps://blogs.mcafee.com/mcafee-labs/trojanized-propaganda-app-uses-twitter-to-infect-spy-on-terrorist-sympathizers/
手机游戏之殇：被仿冒的不只是Pokemon Go
hxxp://blog.avlsec.com/2016/07/3381/pokemon-go/
安卓远控木马生成器SpyNote泄露
hxxp://researchcenter.paloaltonetworks.com/2016/07/unit42-spynote-android-trojan-builder-leaked/
在Google Play上仍有假借Pokemon Go进行推广的应用存在
hxxp://blog.trendmicro.com/trendlabs-security-intelligence/self-promoting-app-google-play-pokemon-go/

8月

Doctor Web发现了能够购买谷歌商店内应用的木马
hxxp://news.drweb.com/show/?i=10131&c=9&lng=en&p=0
在Google Play上发现了混淆过的恶意软件
hxxps://blogs.mcafee.com/mcafee-labs/obfuscated-malware-discovered-google-play/
早安安卓：Svpeng木马利用Google广告网络进行传播
hxxps://securelist.com/blog/incidents/75731/good-morning-android/
Trustlook发现了一种远程管理员工具（RAT）的安卓木马
hxxp://blog.trustlook.com/2016/08/22/trustlook-discovers-a-remote-administration-tool-rat-android-malware/
Dark Mobile Bank之移动银行应用仿冒攻击威胁分析报告
hxxp://blog.avlsec.com/2016/08/3581/mobilebank/
使用NSO Group组织的iPhone零日漏洞针对阿联酋人权捍卫者
hxxps://citizenlab.org/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/
首个使用推特控制的安卓僵尸网络被发现
hxxp://www.welivesecurity.com/2016/08/24/first-twitter-controlled-android-botnet-discovered/
谷歌商店内发现了恶意程序DressCode
hxxp://blog.checkpoint.com/2016/08/31/dresscode-android-malware-discovered-on-google-play/
木马是如何操控Google Play的
hxxps://securelist.com/blog/research/75894/how-trojans-manipulate-google-play/
色情应用暗藏杀机，宅男福利竟成“灾难降临”
hxxp://blog.avlsec.com/2016/08/3661/sextrap/

9月

感染了恶意远程管理工具droidjack的Pokemon Go软件包
hxxp://blog.trustlook.com/2016/09/02/pokemon-go-bundles-with-malicious-remote-administration-tool-droidjack/
银行木马Guji开始绕过Android 6.0新权限模型
hxxps://securelist.com/blog/mobile/75971/banking-trojan-gugi-evolves-to-bypass-android-6-protection/
ANDROID ACCESSIBILITY安全性研究报告
hxxp://blogs.360.cn/360mobile/2016/09/07/research_of_accessibility/
谷歌商店内发现了恶意程序CallJam
hxxp://blog.checkpoint.com/2016/09/08/calljam-android-malware-found-on-google-play/
Windows木马DualToy向Android和iOS设备安装风险程序
hxxp://researchcenter.paloaltonetworks.com/2016/09/dualtoy-new-windows-trojan-sideloads-risky-apps-to-android-and-ios-devices/
Google Play移除了四个间谍应用
hxxps://blog.lookout.com/blog/2016/09/16/embassy-spyware-google-play/
安天AVL联合小米MIUI首擒顽固病毒“不死鸟”
hxxp://blog.avlsec.com/2016/09/3788/fushicho/
Tordow——能偷走一切的银行木马
hxxps://securelist.com/blog/mobile/76101/the-banker-that-can-steal-anything/
Doctor Web：Android.Xiny木马已经学会如何感染系统进程
hxxp://news.drweb.com/show/?i=10211&lng=en&c=9
安卓恶意软件增强适应性的五种方式
hxxp://www.symantec.com/connect/blogs/five-ways-android-malware-becoming-more-resilient
安卓恶意软件瞄准韩国移动用户
hxxps://www.zscaler.com/blogs/research/android-malware-targeting-south-korean-mobile-users
勒索软件Android.Lockscreen开始使用伪随机数生成技术
hxxps://www.symantec.com/connect/zh-hans/blogs/androidlockscreen
恶意程序DressCode对企业的潜在影响
hxxp://blog.trendmicro.com/trendlabs-security-intelligence/dresscode-potential-impact-enterprises/

10月

ANDROID系统新权限模型剖析与预警
hxxp://blogs.360.cn/360mobile/2016/10/11/android_new_permission_model/
黑产上演《三体》剧情：蠕虫病毒入侵手机群发“钓鱼”短信
hxxp://blog.avlsec.com/2016/10/3849/worm/
安卓银行木马钓鱼获取个人信息和自拍照
hxxps://blogs.mcafee.com/mcafee-labs/android-banking-trojan-asks-for-selfie-with-your-id/
恶意软件伪装“正规军”，撕开Booster Cleaner“画皮”下的真相
hxxp://blog.avlsec.com/2016/10/3886/booster-cleaner/
Bitter：一次针对巴基斯坦的攻击
hxxps://blogs.forcepoint.com/security-labs/bitter-targeted-attack-against-pakistan
ANDROID逃逸技术汇编
hxxp://blogs.360.cn/360mobile/2016/10/24/android_escape/
Android勒索软件伪装成启动器以躲避自动启动限制
hxxps://www.symantec.com/connect/blogs/android-ransomware-gets-around-auto-start-restrictions-pretending-be-launcher

11月

安卓银行恶意软件通过伪装成Flash Player盗取银行和常用应用账户
hxxps://blog.fortinet.com/2016/11/01/android-banking-malware-masquerades-as-flash-player-targeting-large-banks-and-popular-social-media-apps
针对高管人员的Android间谍软件——Exaspy
hxxps://www.skycure.com/blog/exaspy-commodity-android-spyware-targeting-high-level-executives/
ANDROID N限制重置密码以遏制勒索软件
hxxp://blogs.360.cn/360mobile/2016/11/07/android_nougat_against_ransomware/
剖析基于一款移动木马实施的攻击
hxxps://securelist.com/blog/research/76286/disassembling-a-mobile-trojan-attack/
Doctor Web在Google Play中发现下载量超过100万次的安卓木马
hxxp://news.drweb.com/show/?i=10299&c=9&lng=en&p=0
安卓银行类恶意软件将自身加入白名单以保持与攻击者的联系
hxxps://www.symantec.com/connect/blogs/android-banking-malware-whitelists-itself-stay-connected-attackers
安卓恶意软件伪装成银行应用盗取德国银行和常用应用账户,第二部分
hxxps://blog.fortinet.com/2016/11/18/android-malware-masquerades-as-banking-app-part-ii
安卓银行恶意软件通过伪装成Email应用盗取德国银行账户
hxxps://blog.fortinet.com/2016/11/18/android-banking-malware-masquerading-as-email-app-targets-german-banks
安卓木马PluginPhantom滥用“DroidPlugin”框架执行恶意行为
hxxp://researchcenter.paloaltonetworks.com/2016/11/unit42-pluginphantom-new-android-trojan-abuses-droidplugin-framework/

12月

“SmsSecurity”新变种对设备进行Root操作并滥用Accessibility和TeamViewer
hxxp://blog.trendmicro.com/trendlabs-security-intelligence/new-smssecurity-variant-roots-phones-abuses-accessibility-features-teamviewer/
内网穿透——ANDROID木马进入高级攻击阶段
hxxp://blogs.360.cn/360mobile/2016/12/01/analysis_of_dresscode/
当攻击者熟读兵法，Camouflage病毒实战演示暗度陈仓之计
hxxp://blog.avlsec.com/2016/12/4179/camouflage/
移动勒索软件：Pocket-Sized Badness
hxxp://blog.trendmicro.com/trendlabs-security-intelligence/mobile-ransomware-pocket-sized-badness/
Doctor Web发现感染系统库的新版安卓木马Loki
hxxp://news.drweb.com/show/?i=10341&c=9&lng=en&p=0
Doctor Web在知名的Android设备上发现木马
hxxp://news.drweb.com/show/?i=10345&c=9&lng=en&p=0
病毒四度升级：安天AVL Team揭露一例跨期两年的电信诈骗进化史
hxxp://blog.avlsec.com/2016/12/4248/%E7%97%85%E6%AF%92%E5%9B%9B%E5%BA%A6%E5%8D%87%E7%BA%A7%EF%BC%9A%E5%AE%89%E5%A4%A9avl-team%E6%8F%AD%E9%9C%B2%E4%B8%80%E4%BE%8B%E8%B7%A8%E6%9C%9F%E4%B8%A4%E5%B9%B4%E7%9A%84%E7%94%B5%E4%BF%A1%E8%AF%88/
Android Doze机制与木马的绕过方式
hxxp://zt.360.cn/1101061855.php?dtid=1101061451&did=490177932
危险接近：黑客组织奇幻熊追踪乌克兰炮兵部队
hxxps://www.crowdstrike.com/blog/danger-close-fancy-bear-tracking-ukrainian-field-artillery-units/
Android木马Switch进军‘路由攻击’领域
hxxps://securelist.com/blog/mobile/76969/switcher-android-joins-the-attack-the-router-club/
“微信支付大盗”来袭, 有人被盗近万元
hxxp://mp.weixin.qq.com/s/lACie52YzlQLRX13ihsABA

 

360烽火实验室，致力于Android病毒分析、移动黑产研究、移动威胁预警以及Android漏洞挖掘等移动安全领域及Android安全生态的深度研究。作为全球顶级移动安全生态研究实验室，360烽火实验室在全球范围内首发了多篇具备国际影响力的Android木马分析报告和Android木马黑色产业链研究报告。实验室在为360手机卫士、360手机急救箱、360手机助手等提供核心安全数据和顽固木马清除解决方案的同时，也为上百家国内外厂商、应用商店等合作伙伴提供了移动应用安全检测服务，全方位守护移动安全。

 

【本文作者：360烽火实验室  由360核心安全入驻安全脉搏账号发布 转载请注明来源安全脉搏】

 

本文作者：360核心安全

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/56344.html