2020年Android平台安全态势分析报告.pdf

2020 年 Android 平台安全态 势分析报告 奇安信威胁情报中心移动安全团队 2021.2 主要观点 2020 年奇安信威胁情报中心累计截获 Android 平台新增网银盗号木马样本约 20 万个 ，针对全球金融行业的攻击依然是攻击者的主要目标之一。 从 全球范围来看， 移动 互联网的安全治理相对薄弱，特别是 网银盗号木马 依然 泛 滥， 呈现 出 种类繁多、手段多样 等 特点 ，对用户财产威胁严重。而 相比 之下， 国 内 的移动 互联网安全治理 更有 成效， 整体安全 环境 明显 好于全球 ， 特别 是 网银盗 号木马 等 传统 移动 安全威胁 ， 在国内 已经 比较少见 。 2020 年 ， AdbMiner 挖矿木马家族 攻击 活跃， 在全球范围内攻陷数以万计的物联网 设备，国内 被 攻陷的物联网设备 数量 也 接近千级。鉴于物联网设备越来越多，物 联网安全事件对物联网的设备的影响量也越来越广。 由于 物联网设备 也 普遍以 Android 系统 为基础， 且 物联网 设备的安全防护 水平 普 遍 不及 智能手机 ，因此 ， 随着用户身边的物联网设备越来越多， 物联网 设备 被攻 陷的 风险也 在日益增加 。 针对 Android 系统的 安全研究，必须把 物联网设备 考虑 在内 。 2020 年 国内 依然有多条 黑色产业链持续 活跃 ， 对 用户的隐私、财产安全 威胁 严 重 。 其中， 山寨网贷、裸聊勒索、诱惑视频、刷量广告、黑卡、群控、棋牌私彩 最为 突出。 摘 要 2020 年奇安信威胁情报中心累计截获 Android 平台新增恶意程序样本 230 万个， 平均每天截获新增恶意程序样本 6301 个。其中 ， 恶意扣费类占 34.9%、资费消耗类 占 24.2%、流氓行为类占 22.8%、隐私窃取类占 12.3%、诱骗欺诈类占 4.3%、远程 控制类占 1.5%。 2020 年国外出现众多针对金融行业的网银盗号木马，而国内出现少量的网银盗号木 马对用户资产造成威胁。 2020 年老牌挖矿家族 AdbMiner 针对 物联网 设备的攻击活动比较活跃，木马通过特 定端口持续感染不安全的 物 联网设备实施挖矿来获取收益。有关监管机构通过微信 公众号发布预警消息，警示充电宝木马再次来袭。 2020 年山寨网贷黑产通过伪冒正规网贷 APP 对民众资产以及个人信息造成严重威 胁 。 2020 年裸聊勒索黑产 利用社会工程学 引诱男性受害者下载安装 裸聊木马 并引诱其 进行裸聊 ，然后通过木马窃取受害者裸聊视频并 对 受害者 进行威胁恐吓 来获取钱财。 2020 年诱惑视频木马通过伪冒色情 APP 引诱用户购买 VIP 来骗取钱财，但并不提 供任何 完整 色情视频 。 2020 年刷量广告黑产通过对热门 APP 二次改包的方式来注入广告 模块 并将广告收 益人指向自己。 2020 年新型黑卡产业通过木马远程控制受害者设备的方式 ， 将受害者的设备作为自 己的基础设施来向下游黑产人员售卖服务进行收益。 2020 年群控黑产继续发展，通过最新云控来 登录 大量虚假账户，然后通过注册水军 等多种方式获取收益。 2020 年棋牌私彩黑产继续通过盗版视频推广、群推广等多种渠道推广木马程序，引 诱受害者进行赌博并通过木马程序控制赌博结果来骗取受害者钱财。 关键词 : 移动安全、金融、流量、网银盗号木马、黑色产业链、挖矿、物联网设备 目 录 第一章 Android 平台恶意样本分析 . 1 第二章 金融类 Android 木马攻击分析 . 2 一、 全球网银类木马流行趋势 . 2 二、 针对国内金融机构的仿冒木马 . 3 第三章 物联网 Android 木马攻击分析 . 6 一、 挖矿木马 . 6 二、 充电宝木马 . 6 第四章 移动平台黑产活动监测 . 8 一、 山寨网贷 . 8 （一） 山寨网贷诈骗模式 . 8 （二） 山寨网贷 APP 态势 . 8 二、 刷量广告 . 9 （一） 刷量广告黑产分析 . 10 （二） 刷量广告样本态势 . 11 三、 棋牌私彩 . 13 （一） 棋牌黑色产业链分析 . 13 （二） 棋牌私彩 APP 分布态势 . 15 四、 诱惑视频 . 15 （一） 诱惑视频产业链分析 . 15 （二） 诱惑视频木马样本态势 . 16 五、 裸聊勒索 . 17 六、 黑卡 . 18 七、 群控 . 20 第五章 安全建议 . 22 参考资料 . 23 附录 A 奇安信威胁情报中心移动安全团队 . 24 附录 B 奇安信移动产品介绍 . 24 1 第一章 Android 平台恶意样本分析 2020 年奇安信威胁情报中心累计截获 Android 平台新增恶意程序样本 230 万个，平均 每天截获新增恶意程序样本 6301 个。 2020 年全年共有三个月爆发较大规模的新增恶意程序 样本，分别是位于上半年的 4 月（ 34.6 万个），下半年的 10 月（ 43.6 万个）和 11 月（ 45.2 万个），累计共占全年新增恶意程序样本的 53.7%。其中在爆发最高峰的 10 月和 11 月，这 两个月的恶意样本占比高达 70%以上，是最低峰 6 月的 4 倍。 2020 年 Android 平台各月新增 木马数量见下图。 2020 年移动端恶意样本类型主要为恶意扣费 (占全年移动端恶意样本的 34.9%)，其次 是资费消耗 (占比 24.2%)、流氓行为 (占比 22.8%)。可以看到，大半的移动恶意程序是直接 冲着用户“钱包”来的， 切实关系 到用户直接的经济损失。 2 第二章 金融类 Android 木马攻击分析 国内外的 Android 应用安全环境存在很大的不同，世界各个不同地区的流行 Android 木 马，其攻击目的、攻击方式、伪装方式也有很大的不同。研究和追踪全球木马流行趋势，对 于我们做好国内的安全“免疫”工作，具有很重要的参考价值，也是威胁情报分析的核心工 作之一。所以，在分析国内 Android 木马流行趋势之前，我们首先对国外的 Android 木马流 行趋势做一个基础分析。 一、 全球网银类木马流行趋势 2020 年奇安信威胁情报中心累计截获 Android 平台新增网银盗号木马样本约 20 万个， 其中 TOP5 的网银盗号木马家族样本多达近 16 万个。 在 TOP5 全球网银盗号木马家族中，最 “ 耀眼 ” 的当属 Anubis 和 Ceberus，其除了仿冒 数百款国外银行 应用 进行攻击外，还在疫情期间借助疫情诱惑、吸引受害者。 2020 奇安信 威胁情报中心疫情期间分别对其展开了披露，提醒广大移动互联网用户谨防中招。 网银盗号木马常常伪装成其他应用程序诱骗用户下载安装。 监测显示， Chrome(23.7%)、 佐川急便 (8.2%，日本流行的快递应用 )、 Flash Player(4.7%)是 被 伪冒量最多的应用。下图 给出了被国外网银盗号木马仿冒最多的 10 类应用程序。 TOP10 排名见下图。 3 Chrome 浏览器是国外用户手机上 一款 常 用 的 APP，国外用户对该 APP 的信任程度较高， 故攻击者们常将其作为仿冒的主要目标。另外，攻击者们也会出于某些目的将目标瞄准特定 地区 ， 如针对日本地区的佐川急便 ， 针对土耳其地区的 Sistem Gncelletirmesi(系统更 新 )， 针对韩国地区的 KB (KB储蓄银行 )， 针对俄语地区的 (VTB 在线 )、 (Odnoklassniki)等。 分析显示，在国外，流行的网银盗号木马主要通过以下四种技术方式来实现盗取用户银 行卡凭证信息 。 1) 利用钓鱼页面 例如， Chrome 浏览器具备绑定银行卡的功能，所以木马伪冒 Chrome 在启动的时候弹出 银行卡绑定页面诱骗用户输入银行卡凭证。 2) 伪冒银行 APP 仿冒合法 网银 APP 软件的木马程序，会在 用户 登录 时要求用户输入个人信息以及银行 卡凭证进行窃取。 3) 弹出钓鱼页面覆盖银行 APP 木马一经安装启动就会 在桌面 上 消失 ， 躲藏在后台默默运行 ， 等待用户启动正常银行 APP 时弹出钓鱼页面覆盖银行 APP 的页面来诱骗用户输入银行卡凭证进行窃取。 4) 利用无障碍服务 木马启动后要求用户开启 Android 系统为残障人士提供的无障碍服务来监听用户使用 银行 APP 情况 ，木马 还会 记录键盘 输入信息 来进行窃取银行卡凭证。 二、 针对国内金融机构的仿冒木马 4 国内网络监管审查相比国外更加严格， 移动 互联网治理工作更有成效 ， 拥有较好的大环 境 。 研究发现，在国内，仿冒其他应用的网银类木马数量要比国外少得多。 2020 年，奇安信 威胁情报中心共在国内监测伪冒正常应用的网银盗号木马近百个。其中主要以伪冒各大银 APP、伪冒安全软件以及银行相关 APP 为主。具体分布见下图。 2020 年 10 月份，我们捕捉到一个国内网银盗号木马新家族“ BYL”，该家族会伪装成国 内数家知名银行 APP。该家族木马通过获取用户银行卡凭证、个人信息来盗窃用户财产。奇 安信威胁情报中心大数据统计，该样本于 2020 年 7 月至 10 月中旬首次爆发，至少在国内 31 个省级行政区的用户手机上进行传播，感染总设备多至 2000 台左右，其中山东 11.5%、 上海 6.9%、四川 6.7%为全国感染量最多的三个省级地区。 2020 年 12 月，该家族木马再度来袭。奇安信威胁情报中心大数据统计，截至 2020 年 12 月 31 日， 全国 12 个省级行政区用户对 BYL 网银盗号木马家族搭建的钓鱼下载页面的访 问数量达到万级，其中内蒙古 (11.8%)、北京市 (4.5%)、广东省 (4.2%)是国内钓鱼下载页面 访问量最多的三个地区。具体 情况 见下图。 5 6 第三章 物联网 Android 木马攻击分析 以往针对 Android 木马的研究大多集中在智能手机领域。但奇安信威胁情报中心监测 显示， 随着物联网领域的兴起， 越来越多的物联网设备开始 搭载 Android 系统，且物联网设 备的整体安全防护及安全管理能力都远远不及智能手机 。 所以，物联网设备已经成为很多黑 产团伙盯上的新目标。 一、 挖矿木马 “ AdbMiner” 挖矿木马 诞生于 2018 年， 直至 2020 年依然存活，是今年 Android 平台最 流行的一款挖矿木马。 主要通过 droidbot 攻击 模块对已经打开的 adb 调试端口的 Android 设备进行蠕虫传播 。其一开始针对的目标是电视盒子设备，后续也被发现于充电桩等其它 Android 物联网 设备中 ， 其 感染对象 几乎全都是 物联网设备 。 根据数据统计，挖矿家族 AdbMiner 在全世界感染量接近万级，国内感染量达到千级。 2020 年 9 月 30 日，日本某地区 充电桩遭受 AdbMiner 家族攻击后正常业务无法展开， 奇安信威胁情报中心发现后发布报告披露 IoT 挖矿家族 AdbMiner 在野活动。 二、 充电宝木马 2020 年 12 月 ，监管 机构 发布一则重要提醒，让广大人民群众警惕身边的共享充电宝， 其内部很有可能就植入有木马程序。 正规的共享充电宝只提供 充电功能 ， 而不 会提供 包含数据传输线路的功能， 因此 插上充 电线后不会有任何弹窗。而恶意改造的充电宝会存在申请权限访问用户个人隐私数据或者弹 窗显示是否允许访问手机上的数据等，具体见下图。 7 针对此类通过充电宝传播的木马程序， 奇安信 威胁情报中心 给出如下安全 建议 。 1) 使用正规商家的共享充电宝。 2) 如果插入充电宝后有任何弹窗 ，就应该提高 警惕并选择否。 3) 使用 Android 手机 时，如 无必要不要开启开发者模式。 8 第四章 移动平台黑产活动监测 互联网用户的网络安全意识还较为薄弱，容易被黑产人员设计好的套路所欺骗。 2020 年， 奇安信威胁情报中心披露多条黑色产业链相关细节，揭露常见欺诈套路，为普及安全常识做 出贡献。 一、 山寨网贷 （一） 山寨网贷诈骗模式 山寨网贷 APP，是指黑产团伙开发的，仿冒某些知名网贷平台的 APP，或完全虚假的网 贷 APP。不同于一般的木马程序，此类 APP 不仅会窃取用户网银等帐号信息，还会通过虚假 的网贷平台，诱骗用户缴纳各种费用，从而实施诈骗。 山寨网贷平台的攻击过程一般如下 。 1) 推广山寨 网贷 APP 黑产组织首先仿冒知名机构网贷平台，通过短信、电话、聊天等方式进行推销，诱骗借 款人下载安装与正版 APP 相似的山寨 网贷 APP。相关钓鱼短信见下图。 2) 一旦借款人使用了山寨网贷 APP，便会 被要求 山寨网贷 APP 中注册自己个人信息申 请借款， 但 申请的额度往往无法支取 。在遭受 个人信息被泄露的同时，假客服 还 会 以手续费、保证金、银行账号解冻费、提现费用等话术套路 ， 引导 借款人 进行转账 或其他行为， 进一步造成用户的个人财产 损失 。 （二） 山寨 网 贷 APP 态势 2020 年奇安信威胁情报中心累计截获山寨网贷样本多达 5 万多个，涉及 2 万多个 APP， 其中采用有钱花 (10.8%)、倢信金融 (4.9%)、借呗 (4.9%)的应用名称出现的频率最多。山寨 网贷主要是仿冒成大公司相同或者相似的应用名称，让用户难辨真假。具体见下图。 9 2020 年，奇安信威胁情报中心截获的所有 山寨网贷，分为两类恶意家族，分别为 FakeLoan 家族 (占比 96.6%)和 BlackLoan 家族 (占比 3.4%)。具体见下图。 二、 刷量广告 刷量广告 APP，主要分为两种类型。 一种为仿冒正规 APP 类。黑产团伙开发的，仿冒一些常用应用或者热门应用。该木马程 序主要在受害者点击启动之后，在后台偷偷访问广告链接并模拟用户点击来通过受害者的流 量访问广告，以此来刷取广告联盟提供的广告播放收益。 另外一种为在正规 APP 中增加插件类。黑产团伙直接篡改应用市场上的热门应用，并在 其中插入黑产 团伙编写的 广告插件，以实现广告播放功能，然后将受益者的信息填写为黑产 10 团伙 相关资产 ，最后再将修改后的热门应用通过其他应用商店进行传播，以此来实现借助别 人的热门应用为自己赚取广告收益。 （一） 刷量 广告 黑产分析 仿冒正规 APP 类刷量 广告 的黑色产业链的具体过程如下图。 仿冒正规 APP 类 刷量广告的攻击过程一般如下。 1) 从开发人员那里购买恶意广告木马 (恶意广告木马指在用户不知晓的情况下偷偷访 问广告链接获取广告收益的恶意木马 )。 2) 通过网页下载、应用商店等方式传播木马。 3) 受害者启动木马后，木马后台访问并模拟点击广告，广告联盟平台会将广告收益返 回给黑产人员。 在正规 APP 中增加插件类刷量 广告 的黑色产业链。具体过程如下图。 11 在正规 APP 中增加插件类 刷量广告的攻击过程一般如下。 1) 黑产人员从各大应用商店上收集一些拥有一定下载量的应用 ，用来作为山寨的对象。 2) 黑产人员再对收集到的 APP 进行 “ 插包 ” ， 在正规 APP 里插入 广告 联盟平台提供 的广告插件进行广告播放，并把广告收益者的信息填写为自己。 3) 将修改过的山寨 APP 发布到各大应用商店上让用户下载使用。 4) 用户使用山寨 APP 时产生的广告收益由广告联盟平台返还到黑产人员那里。 （二） 刷量 广告 样本态势 2020 年奇安信威胁情报中心监测到恶意广告样本新增数量多达近 13 万个，其中 12 月 份 (占比 50.1%)、 4 月份 (占比 26.3%)、 11 月份 (占比 15.9%)新增的样本数是今年增长最多 12 的几个月份。具体分布如下图。 在新增的恶意广告样本中，我们根据应用名称对样本进行统计，绘制出 TOP 10 的数量 分布。其中以 AVG AntiVirus 2020 for Android Security FREE (2.2%)、七龙珠 (0.1%)、 天天美图 (0.1%)为应用名称的广告木马是今年新增广告木马中数量最多的，但由于名称太多 即使是 TOP 榜里的应用名称在今年新增广告木马总量中占比也较低。具体分布如下图。 我们对 2020年广告木马家族的样本数量进行 TOP排序，其中 Hiddad家族 (占比 61.9%)、 Ewind 家族 (占比 21.7%)、 Airpush 家族 (占比 5.7%)是样本数量占比最多的 TOP3 家族。具 体分布如下图。 13 三、 棋牌私彩 棋牌私彩 APP，是指黑产团伙开发的，可以操控结果的棋牌私彩木马。通过引诱用户使 用该程序，一开始先给受害者一些甜头，引诱受害者加大投入，随后再操控棋局或牌局让受 害者倾家荡产。 （一） 棋牌黑色产业链分析 棋牌私彩黑产具体实现如下图。 棋牌私彩黑产实现的过程一般如下。 1) 雇佣开发人员开发棋牌私彩 APP。 2) 通过多种渠道推广棋牌私彩 APP。 下面 给出 当前流行 的集中典型推广方式的具体介绍。 14 狗推 : 棋牌推广员，俗称 “ 狗推 ” ，是一种黑色推广渠道，通过在各大社交媒体和招 聘网站上进行宣传，以此来引诱想走捷径获取高薪的年轻人。受害 者一旦被骗出国外就对 其进行人身自由控制，强制其进行先骗人再骗钱的诈骗行为，如果想要离开就需要缴纳高 额赔偿，为了离开或者被洗脑后为了赚钱，逐渐泯灭良心去从事通过网上交友引诱其进行 赌博。 诱惑视频推广：通过拥有一定客户群体的诱惑视频网站，进行广告推广。几名女子每天 固定时间进行诱惑视频直播。观看直播需要先在网络棋牌平台上注册充值，才能获得观看权 限。如果充值超过一定的额度，就可以观看一对一诱惑视频直播。常见网站推广如下图。 盗版视频网站、正规 APP 推广：一些盗版视频资源网站会将棋牌产业推广嵌入到视频播 放中，以及一些正规地拥有一定用户量的 App 也会接棋牌产业广告推广来盈利。盗版视频推 广如下图。 电竞赞助、直播推广：棋牌产业公司通过赞助电竞战队 在 微博等大型社交平台公开引流， 以及通过直播平台各大主播进行推广。电竞直播推广如下图。 15 微信群推广、小程序群推广 : 小程序的火热及其带来的方便高效性博得了很多用户的 好感，很多人对 它们的戒备心并不是很强，随手一个转发到群聊，点击量就会不断增加 。 3) 通过以下三种手段实现获取利益。 第一 ，操控开奖结果保底盈利让大多数玩家输钱。 第二 ， 以各种理由拒绝中高额彩票的用户提现从而继续指导投注至最后输光为止。 第三 ， 推荐各网贷平台或自己平台贷款给用户买彩。 （二） 棋牌私彩 APP 分布态势 2020 年奇安信威胁情报中心根据捕获的新增棋牌私彩类样本数据对应用名称进行分布 统计。从分布情况可以看出棋牌黑色产业使用的应用名称比较分散，其中大发彩票 (0.2%)、 好彩手游 (0.2%)、黑桃棋牌 (0.2%)为应用名称的样本是最多的。具体分布如下图。 四、 诱惑视频 诱惑视频 APP，指的是黑产团伙专门开发的，伪冒成色情 APP 的 木马程序。通过诱惑的 图标、简短的几秒诱惑视频引诱用户下载使用并开通 VIP 才可以看完整视频，用户即便支付 费用，成为 VIP，最终也不会有任何诱惑视频播放。具体过程见下图。 （一） 诱惑视频产业链分析 16 诱惑视频黑产的具体过程一般如下： 1) 黑产人员从开发人员那里购买伪冒的诱惑视频 APP。 2) 通过 QQ 群、微信群、网页下载等方式诱惑用户进行下载安装。 3) 用户使用时，只展示诱惑图片或者播放几秒诱惑视频引诱用户去购买 VIP 观看完 整视频，但用户支付完毕后 APP 并不会播放完整视频。 （二） 诱惑视频木马样本态势 2020 年奇安信威胁情报中心累计截获 20 多万个诱惑视频木马样本，其中以 Porn Factory App (93.7%)、 MyPleasure App (2%)、蜜桃 (0.2%)的应用名称出现的频率最多。 17 我们识别这批诱惑视频木马为 4 个木马家族，其中 sexplayer 家族 (占新增木马家族 的 92.9%)、 PornApp (4.3%)、 PornVideo(2.7%)是这批样本中检出量最高的 TOP3 家族。从 分布情况上可以看出今年诱惑视频木马的主流家族是 sexplayer。 五、 裸聊勒索 裸聊勒索 APP，是指黑产团 伙专门开发的，伪装成正常的直播 APP，其本质就是一个木 马程序，安装启动后会窃取用户联系人信息。当黑产人员引诱受害者进行裸聊时，该木马程 序会在后台偷偷录取受害者视频上传到黑产人员服务器里，随后黑产人员就可以依靠视频来 勒索受害者。具体过程见下图。 18 裸聊勒索的具体过程一般如下： 1) 黑产人员从上游号商黑产人员那里获取目标男性的 QQ、微信账号。 2) 黑产人员从开发人员购买恶意直播 APP。 3) 黑产人员通过从号商黑产买来的 QQ、微信号和受害者 建立 联系，用话术伪装成主 播诱骗受害者安装直播木马， 木马一经安装就会 自动 获取设备上的联系人信息 ，并 发送 给 黑产人员。 一旦获取受害者的信任就会诱惑受害者使用木马进行裸聊， 在受 害者裸聊时，木马会在后台偷偷 录下裸聊 视频传送给黑产人员。 黑产人员展开勒索受害者获取收益。勒索信息 示例 如下图。 六、 黑卡 黑卡，是 指黑产团伙在网络诈骗犯罪过程中使用的，非实名登记的移动电话卡、 虽经实 名登记但使用者并非本人的电话卡 ，或者是通过木马远程控制的受害者设备 ，是犯罪分子所 使用的重要 “基础设施”。主要分为两种类型。 第一种就是上面提到的非实名登记的、实名登记但非自己的电话卡，通常交付的也是实 19 体电话卡，这种黑 卡属于一次性用品，被封之后就无法再次使用。 第二种是指通过远控木马 (控制用户手机的木马病毒 )感染并控制受害者移动设备作为 “黑卡“基础设施。上游黑产将受感染的设备统一管理，然后提供相关黑产服务售卖给下游 黑产，并不需要交付实体电话卡，而且由于受感染的设备是实名制的正常用户，所以可以多 次使用 。 本文具体说明的为上文中的第二种通过远控木马感染并控制受害者移动设备的“黑卡”。 具体黑卡黑产实施过程如下图。 黑卡产业实现的过程一般如下。 1) 上游黑产人员从开发人员那里购买远控木马。 2) 上游黑产人员通过网页、 QQ 群、微信群等渠道传播远控木马等待用户下载安装。 20 3) 上游黑产人员将受控制的所有受害者设备作为自己的基础设施，然后通过 QQ 群、 微信群等渠道向下游黑产人员出售黑卡服务。 4) 下游黑产人员购买上游黑产人员提供的黑卡服务，并通过电商返利、注册平台水军 账号、诈骗等方式进行获益。 七、 群控 群控软件，本质是通过使用多部真实手机或模拟多部手机，在手机中安装脚本软件来控 制手机上的 APP，修改手机软硬件信息，达到模拟人工使用 APP 的效果 。 其目的是通过自动 化手段，最大化模拟真实用户的操作请求，以达到吸粉、引流、广告、 “ 薅羊毛 ” 等作弊目 标。 早在 2018 年，央视揭露娱乐明星流量数据造 假的行业内幕，例如某些艺人发了一条普 通的内容，短时间获得上千万甚至是 上亿的浏览量；某某微博粉丝数量几十上百万，但是你 却从来没有听说过他，以及他的粉丝从来没有评论过其发表的微博等。这些奇怪现象的背后 就是一条群控黑色产业链。相关新闻披露如下图。 群控软件的具体分类 如下。 第一代群控：多开模拟器，让一台手机上实现多开应用功能 第二代群控：群控，将上百台手机界面映射到一台 计算机 上，在 计算机 上使用群控软件 21 批量操作所有手机。 第三代群控：传统云控，利用云端远程下达命令，本地收到命令群发到手机群然后执行 任务。 第四代群控：新型云控，通过数据包形式和服务器进行交互来实现 登录 、绑定邮箱、更 改密码 等操作 。 表 1 四 代群控软件对比表格 系统名称 原理 一台设备对应微信号 数量 特点 多开模拟器 越狱手机模拟多个苹 果系统 50 成本低，易封号 群控 计算机 通过集线器操作手机墙 100 成本高，易封号 传统云控 计算机 远程操控手机 墙 1000 成本高，易封号 新型云控 不需要手机，协议外 挂 10000+ 成本低，较难封号 群控黑产具体实现 过程 如下图。 群控黑产实现过程一般如下。 1) 从开发人员那里购买云控平台 (即 4 代群控软件 )。 2) 从上游恶意注册商那里购买大量社交账号，然后通过群控发送数据包进行账号 登 录 ，然后向下游黑产人员售卖云控服务。 3) 下游黑产人员购买上游的云控服务，通过 “薅羊毛” 、刷评论、刷赞、微博关注等 各种途径将流量变现。 22 第五章 安全建议 现今智能手机已经成为现代人生活的必 需 品，它不仅存储着我们每个人的个人隐私信息， 还 与 我们的工作、生活息息相关 。种类多样的 APP，在带给我们丰富多彩生活、工作便利的 同时，也包含着我们难以察觉到的威胁。 无论是个人、企业、国家，在移动网络技术飞速发展的过程中， 面临的威胁也 随之而来。 对于个人我们要保障隐 私不 外泄，对于企业 我们要保障企业利益不会蒙受损害， 对于国家 我 们 保障国家安全不受威胁。 我们 希望用户从个人出发重视移动安全，加强个人 网络 安全防范 意识，为 保护个人因素、 维护企业利益 、 保障国家安全贡献自己的一份力量。 针对普通用户如何避免遭受 Android 平台恶意应用的侵害，奇安信威胁情报中心给出 了以下防护建议： 1) 使用正版和 正规 官方应用市场提供的 APP 应用，不要安装非可信渠道的应用、不要 随意点击不明 URL 链接和扫描安全性未知的二维码信息； 2) 移动设备及时在可信网络环境下进行安全更新，不要轻易使用外来的网络环境； 3) 使用正规商家的共享充电宝，不轻易开启开发者模式； 4) 确保安装有手机安全软件，并进行实时保护； 5) 若发现 手机感染木马病毒，请及时使用安全软件进行清理，避免重复交叉感染； 6) 积极 学习 网络安全知识，及时了解当下流行的网络骗局，避免陷入“社交约会类” “兼职类”“金融理财类” “冒充身份类”等骗局中。 23 参考资料 1 “新冠肺炎”勒索病毒出现， Anubis 利用 “ 新冠肺炎 ” 起死回生 uses-coronavirus-to%20resurrect/ 2 Cerberus（地狱犬） - Anubis 的邪恶传承者 3 伪冒国内银行的新窃取木马“ BYL” 4 伪冒网银盗号木马“ BYL” 持续入侵 5 手机借贷中的偷拍者 6 IoT 攻击中的一角：不熄的 “AdbMiner” 黑产活动 7 窥探裸聊诈骗背后黑色产业链的一角 8 裸聊诈骗一 随机型诈骗 9 广告行业数据分析：预计 2020 年中国移动广告市场规模为 4144.9 亿元 10 黑产新“基建”：沉淀在上游的“虚拟身份”制造机 11 “群控”终极篇：五代流量黑产全解构 12 10 亿流量背后的秘密这不是偶像剧，真相竟然是 .警匪片 13 揭秘：山寨网贷 APP 24 附录 A 奇安信威胁情报中心移动安全团队 奇安信威胁情报中心移动安全团队 一 直致力移动安全领域及 Android 安全生态的研究。 目前，奇安信的移动安全产品除了可以查杀常见的移动端病毒木马，也可以精准查杀时下流 行的刷量、诈骗、博彩、违规、色情等黑产类软件。通过其内部分析系统可以有效支持对溯 源分析等追踪。通过其高价值攻击发现流程已捕获到多起攻击事件，并在去年发布了多篇移 动黑产报告，对外披露了三个 APT 组织活动，其中两个是首发的新 APT 组织（诺崇狮组织和 利刃鹰组织）。未来我们还会持续走在全球移动安全研究的前沿，第一时间追踪 分析最新的 移动安全事件 ， 对国内移动相关的黑灰产攻击进行深入挖掘和跟踪，为维护移动端上的网络 安全砥砺前行。 附录 B 奇安信移动产品介绍 奇安信移动终端安全管理系统 （天机）是面向公安、司法、政府、金融、运营商、能源、 制造等行业客户，具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇 安信在海量移动终端上的安全技术积淀与运营经验，从硬件、 OS、应用、数据到链路等多层 次的安全防护方案，确保企业数据和应用在移动终端的安全性。 奇安信移动态势感知系统 是由奇安信态势感知事业部及其合作伙伴奇安信威胁情报中 心合 力推出的一个移动态势感知管理产品。不同于传统移动安全厂商着重于 APP 生产 、 发布 环节，为客户提供 APP 加固、检测、分析等 ，奇安信 移动态势感知 系统 面向具有监管责任的 客户，更加着重于 APP 的下载 、 使用环节，摸清辖区范围内 APP 的使用情况， 并为 客户提供 APP 违法检测、合规性分析、溯源等功能 。