报告|2020Android平台安全乱象：超过230万恶意程序被截获

近日，奇安信威胁情报中心发布了《2020年Android平台安全态势分析报告》（简称《报告》），对过去一年来Android平台面临的安全形势进行了全面阐述，并给出相应的安全建议。

《报告》显示，2020年奇安信威胁情报中心累计截获Android平台新增恶意程序样本230万个，平均每天截获新增恶意程序样本6301个。

其中，恶意样本类型主要为恶意扣费(占全年移动端恶意样本的34.9%)，其次是资费消耗(占比24.2%)、流氓行为(占比22.8%)。不难看出，大半的移动恶意程序是直接冲着用户“钱包”来的，切实关系到用户直接的经济损失。

对此，奇安信威胁情报中心建议，普通用户应使用正版和正规官方应用市场提供的APP应用，并且避免连接未知网络、扫描未知二维码，同时积极学习网络安全知识，提升安全意识，避免陷入“社交约会类”“兼职类”“金融理财类”“冒充身份类”等骗局中。

网银木马泛滥成灾，善于易容成日常主流应用

2020年奇安信威胁情报中心累计截获Android平台新增网银盗号木马样本约20万个，其中TOP5的网银盗号木马家族样本多达近16万个。

网银盗号木马常常伪装成其他应用程序诱骗用户下载安装。监测显示，Chrome(23.7%)、佐川急便(8.2%，日本流行的快递应用)、Flash Player(4.7%)是被伪冒量最多的应用。

针对攻击手法分析发现，国外黑客团伙主要通过以下四种方式方式盗取用户银行卡凭证信息：

第一，利用钓鱼页面，如弹出银行卡绑定页面诱骗用户输入银行卡凭证；

第二，伪冒银行APP，将木马程序伪装成合法网银APP，窃取用户网银信息；

第三，弹出钓鱼页面覆盖银行APP，攻击者将木马程序隐藏在手机后台，一旦网银启动便弹出钓鱼页面覆盖原网银页面，来诱骗用户输入银行卡凭证进行窃取；

第四，利用无障碍服务，木马启动后要求用户开启Android系统为残障人士提供的无障碍服务来监听用户使用银行APP情况，木马还会记录键盘输入信息来进行窃取银行卡凭证。

相比之下，由于国内网络监管审查更加严格，移动互联网治理工作更有成效，仿冒其他应用的网银类木马数量要比国外少得多。

移动黑产目标库“上新”，物联网设备安全引人关注

与此同时，奇安信威胁情报中心监测显示，随着物联网领域的兴起，越来越多的物联网设备开始搭载Android系统，且物联网设备的整体安全防护及安全管理能力都远远不及智能手机。所以，物联网设备已经成为很多黑产团伙盯上的新目标。

对此，《报告》披露了两类典型的物联网设备攻击事件。

第一类，挖矿木马。

“AdbMiner”挖矿木马诞生于2018年，直至2020年依然存活，是2020年Android平台最流行的一款挖矿木马，其感染对象几乎全都是物联网设备，包括电视盒子、充电桩等Android平台设备。统计数据显示， AdbMiner在全世界感染量接近万级，国内感染量达到千级。

第二类，充电宝木马。

正规的共享充电宝只提供充电功能，而不会提供包含数据传输线路的功能，因此插上充电线后不会有任何弹窗。而恶意改造的充电宝会存在申请权限访问用户个人隐私数据或者弹窗显示是否允许访问手机上的数据等。

揭露七大黑产惯用套路，普及更多安全常识

《报告》显示，2020年国内依然有多条黑色产业链持续活跃，对用户的隐私、财产安全威胁严重。其中，山寨网贷、刷量广告、棋牌私彩、诱惑视频、裸聊勒索、黑卡、群控这七大黑产最为突出。

山寨网贷黑产通过仿冒正规网贷APP、完全虚假的网贷APP盗取用户网银账号，甚至进行诱骗欺诈，总的来说可以概括为“先推广再注册，虚假客服套路多”。
刷量广告黑产同样会伪装成正规APP，或通过对热门APP二次改包的方式来注入广告模块并将广告收益人指向自己。
棋牌私彩黑产一般通过盗版视频推广、群推广等多种渠道推广木马程序，引诱受害者进行赌博并通过木马程序控制赌博结果来骗取受害者钱财。
诱惑视频木马通过伪冒色情APP引诱用户购买VIP来骗取钱财，但并不提供任何完整色情视频。
相比诱惑视频的“浅尝辄止”，裸聊勒索黑产在引诱男性受害者下载安装裸聊木马并引诱其进行裸聊后，通过木马窃取受害者裸聊视频并对受害者进行威胁恐吓来获取钱财。
新型黑卡产业通过木马远程控制受害者设备的方式，将受害者的设备作为自己的基础设施来向下游黑产人员售卖服务进行收益。
群控黑产继续发展，通过最新云控来登录大量虚假账户，然后通过注册水军等多种方式获取收益。