2019年,卡巴斯基移动检测到恶意安装包3,503,952个,新增手机银行木马69,777个,新增手机勒索木马68,362个。2019年,有两个趋势尤为突出:攻击者对用户个人数据的攻击更加频繁,应用市场上的木马软件检测更加频繁。本报告通过示例和统计数据更详细地讨论了每一个问题。针对移动设备用户个人数据的个人信息窃取跟踪软件攻击在过去一年中增加了50%:从2018年的40,386名独立用户受到攻击增加到2019年的67,500人。个人信息窃取恶意软件可分为两大类:追踪器和成熟的跟踪应用程序。追踪者通常关注两件事:受害者的坐标和短信。在Google官方商店中可以找到许多类似的免费应用程序。大多数此类恶意软件在GooglePlay于2018年底更改其政策后已被删除。但是,它仍然可以在开发者和第三方网站上找到。如果设备上安装了该应用程序,则第三方可以访问用户位置和相关数据。这些第三方不一定只是跟踪用户的第三方,由于服务的安全性低,任何人都可能访问数据。成熟的跟踪应用程序的情况有所不同:GooglePlay上没有此类应用程序,但它们由开发人员积极维护。此类软件是间谍软件,几乎可以收集设备上的所有数据:照片(包括完整的个人资料和个人照片,例如在特定位置拍摄的照片)、电话、短信、位置信息、屏幕点击(键盘记录)等。许多应用程序利用root权限从社交网络和即时消息中提取消息历史记录。如果无法获得所需的访问权限,软件会通过窗口截图、记录屏幕点击等方式获取信息。一个例子是商业间谍软件应用程序MonitorMinor。商业间谍软件FinSpy更进一步,拦截Signal、Threema等安全信使中的通信。为确保拦截,该应用程序通过利用CVE-2016-5195(又名“脏牛”)获得权限。如果受害者使用的是过时的操作系统内核,此漏洞可能会将权限提升至root。使用传统形式的电话和短信的人越来越少,逐渐转向即时通讯应用。攻击者对存储在这些应用程序中的数据越来越感兴趣。广告软件应用程序2019年,发现广告软件威胁的数量显着增加,其目的是在移动设备上收集个人数据。统计数据显示,2019年被广告软件攻击的用户数量与2018年基本持平。检测到的广告软件安装包数量较2018年翻了一番。广告软件安装包是自动生成的,但由于某种原因没有到达目标人群。它们可能在生成后立即被检测到并且无法进一步传播。通常此类应用程序不包含任何有用的内容,只是一个广告软件模块,因此受害者会立即删除它们。这是广告软件连续第二年出现在前三大威胁之列。2019年受攻击用户数量排名前10位的移动威胁中有4个是广告软件类型的应用程序。2019年,移动广告软件开发者不仅生成了数万个软件包,还进行了技术改进,尤其是绕过操作系统限制。例如,出于节电的原因,Android对应用程序后台操作设置了某些限制,这对广告软件产生了负面影响。为了绕过这些限制,KeepMusic广告软件不会像恶意软件那样请求许可,程序会开始无声循环播放MP3文件。如果操作系统发现音乐播放器正在运行,它不会终止KeepMusic后台进程。窃取访问权限2019年,第一个移动金融恶意软件样本(AndroidOS.Gustuff.a)出现,通过两种方式从银行账户窃取资金:通过受害者手机的短信:木马感染设备并发送特定的银行电话号码发送带有转移请求的文本。然后,银行会自动将资金从设备所有者的账户转账给收款人。通过窃取网上银行凭据:这是近年来的主要方法,攻击者在受害者的设备上显示虚假的银行登录页面并收集受害者的凭据。在这种情况下,攻击者需要使用自己的移动设备或浏览器上的应用程序亲自进行交易。2019年,网络犯罪分子掌握了第三种方法:通过操纵银行应用程序进行窃取。首先,受害者被说服运行该应用程序并登录,例如,当受害者单击时打开银行应用程序的虚假推送通知,此时攻击者也可以访问。滥用访问权限会对用户的个人数据构成严重威胁。以前网络犯罪分子必须覆盖窗口并请求一系列权限才能窃取个人信息,现在受害者自己将所有必要的数据输出到屏幕或以表格形式输入,攻击者可以轻松收集这些数据。如果恶意软件需要更多权限,您可以自行打开设置并获得必要的权限。与使用社会工程学攻击受害者相比,GooglePlay将恶意软件放入Android应用商店的结果要好得多。这种方法还有其他优势:绕过Android内置的防病毒保护SafetyNet:如果用户从GooglePlay下载应用程序,系统无需额外请求即可安装该应用程序的可能性非常高。在这种情况下,唯一能够保护用户免受攻击的就是第三方安全解决方案。克服心理障碍:官方应用商店比第三方“市场”享有更高的信任度,可用于更有效地分发软件。以受害者为目标,无需付出不必要的代价:GooglePlay可用于托管盗版软件,并且已在GooglePlay上检测到许多针对特定人群的恶意程序。网络罪犯还使用许多其他技巧来最大限度地提高设备感染率:例如,CamScanner应用程序通过更新处理广告的代码来添加恶意功能;伪造GooglePlay上流行的应用程序。示例包括照片编辑软件;大量发布策略,以各种伪装上传应用程序:从壁纸更改工具和安全解决方案到流行游戏。在某些情况下,特洛伊木马已被下载数十万次。在如此短的时间内,没有其他攻击方法可以达到这样的数量。据数据分析,2019年共发现手机恶意软件安装量3503952个,较上年减少1817190个。恶意安装包数量连续三年整体下降,与手机攻击数量类似:2018年共观察到1.165亿次攻击,2019年这一数字下降到8000万次。这个数字可以追溯到前一年,在Asacub银行木马爆发之前。攻击的数量与被攻击的用户数量相关,观察到类似的情况。受攻击用户数前10的国家和地区:2019年,伊朗(60.64%)连续第三年位居榜首。国内最常见的威胁软件有:Trojan.AndroidOS.Hiddapp.bn、adware.AndroidOS.Agent.fa、RiskTool.AndroidOS.Dnotua.yfe。巴基斯坦(44.43%)从第七位上升到第二位,主要是受广告软件攻击的用户数量上升。威胁类型2019年RiskTool威胁占比下降20个百分点(32.46%)。主要是来自SMSreg家族的威胁已大大减少。2018年获得1,970,742个SMSreg安装,比2019年的193,043个下降了一个数量级。Skymobi和Paccy跌出前十;2019年检测到的这些家庭的包裹减少了10倍。一个新的家庭出现了:Resharer(4.62%)排名第六。广告软件增长了14个百分点,增长的主要来源是HiddenAd(26.81%)。MobiDash(20.45%)和Ewind(16.34%)也有显着增长。2018年居首的Agent家族(15.27%)跌至第四位。与2018年相比,手机木马数量大幅下降,连续两年呈下降趋势。Hqwar家族下降幅度最大:从2018年的14.1万个下降到2019年的2.2万个。木马类威胁占比增加了6个百分点,最常见的两个恶意软件家族是Boogr和Hiddapp。移动勒索软件木马的份额略有增加。前三名分别是Svpeng、Congur、Fusob。TOP20MobileMalware与往年一样,排名前20的手机恶意软件为DangerousObject.Multi.Generic(49.15%),其次是Trojan.AndroidOS.Boogr.gsh(10.95%)。第三、第六和第十六位被HIDDAP家族的成员占据。第五和第十三是死灵家族。第七和第十位是Asacub银行木马家族,它们在年初仍在积极传播恶意软件。自2019年3月以来,这个家庭的活跃度有所下降。第八和第十四是赫克瓦尔家族。他们的活动从2018年的80,000名受感染用户大幅下降到2019年的28,000名。排名第九的是Lezok家族AndroidOS.Lezok.p(1.76%)。该木马在系统目录中通常名为PhoneServer、GeocodeService等。手机银行木马2019年共检测到手机银行木马安装包69777个,同比减少一半。由于其他类别和移动恶意软件家族的活动减少,银行木马在所有检测到的威胁中所占份额略有增加。银行木马检测到的安装包数量以及攻击次数受Asacub木马活动影响,从2019年4月开始急剧下降。银行木马攻击数量TOP10国家和地区银行木马手机勒索木马2019年共检测到勒索病毒安装包68362个,比上年增加8186个。2019年全年新型勒索病毒数量有所下降,被攻击用户也出现了类似情况。2019年初,被攻击用户数量达到峰值12004人,到年底这一数字下降了2.6倍。美国连续第三年位列受勒索软件攻击的前10个国家和地区之首。摘要2019年出现了一些高度复杂的移动银行威胁,尤其是可能干扰银行应用程序正常运行的恶意软件。这种趋势很可能会持续到2020年,可能会出现更多高科技银行木马。2019年,移动跟踪武器攻击变得更加频繁,其目的是监控和收集受害者信息。2020年此类威胁的数量可能会增加,受攻击的用户数量也会相应增加。从统计上讲,广告软件在网络罪犯中越来越流行。未来很可能会遇到这一威胁家族的新成员,在最坏的情况下,攻击者会在受害者的设备上预装广告软件模块。
