首页安全播报安全快讯 › 腾讯移动安全实验室2018年手机安全报告

腾讯移动安全实验室2018年手机安全报告

2019-01-03

摘要

手机病毒

2018年,Android新增病毒包达800.62万个,同比下降48.18%。支付类病毒包新增近5.90万个,同比下降68.18%。

2018年,Android手机病毒感染用户数近1.13亿,同比下降了40.21%。支付类病毒感染用户数近394.21,同比下降了59.57%。

2018年,腾讯手机管家共查杀病毒达8.12亿次,同比下降34.64%。

2018年,手机病毒类型主要是资费消耗和恶意扣费,占比分别为38.47%和28.45%。

2018年,手机病毒感染用户最多的省份是广东,占比为10.24%,其次是浙江和江苏。

2018年手机病毒来源渠道主要以手机资源站、软件捆绑和电子市场为主,占比分别为19.37%,18.64%和17.50%。

垃圾短信

2018年,腾讯手机管家用户共举报垃圾短信达18.21亿条,同比增长31.83%。

2018,垃圾短信类型依旧以广告类为主,占比95.66%,诈骗短信占比2.81%。

2018年,诈骗短信举报总量近5109.37万条,相较2017年,同比小幅增长15.26%。

骚扰电话

2018年,腾讯手机管家用户共举报骚扰电话近3.70亿次,较去年减少6.93%,其中诈骗电话近6137.04万,同比下降8.63%。

2018年,iOS用户共标记骚扰电话达2203.08次,其中诈骗电话接达371.30万。

2018年,在各类骚扰电话中,响一声电话占比最高,为37.48%,普通骚扰电话排名第二,占比25.62%。

根据腾讯手机管家用户主动上报的恶意线索显示,转账到安全账户、冒充领导、索要验证码、我犯法了和网络订单有问题,是常见的骚扰电话恶意线索关键词,占比分别为29.23%、18.30%、15.96%、12.27%和11.21%。

2018年,用户举报骚扰和诈骗电话最多的省份是广东省,占比分别为12.47%和15.30%。北京和深圳是骚扰、诈骗电话用户举报数最多的城市。

恶意网址

2018,腾讯安全实验室检测到恶意网址达1.82亿次,拦截恶意网址达5554.07亿次。

2018年,色情网站和博彩网站是最常见的恶意网址类型,占比分别达57.06%和34.46%

风险WiFi

2018年,根据腾讯WiFi管家数据显示,截至12月,已发现的公共WiFi总数近7.37亿,连接公共WiFi的人群以30岁以下用户为主,男性用户多于女性。

2018年,在公共WiFi中,未发现风险WiFi占比53.91%,风险WiFi占比46.08%,其中高风险WiFi占比22.92%,低风险WiFi占比23.16%

2018年,高风险WiFi攻击行为以ARP攻击为主,占比高达99.47%,其次是虚假WiFi和虚假DNS,占比分别为0.47%和0.06%。

2018年,广东和山东是高风险WiFi最多的省份,占比分别为10.86%和7.05%,江苏和河南并列第三,占比都是6.18%。

第一章 2018年手机病毒现状分析

2018年,基于腾讯移动安全实验室新增病毒包数、手机病毒感染用户数、病毒查杀次数、感染地域分布等数据进行统计分析发现,Android平台的安全形势有所好转,但依然严峻。工信部将重点推进网络安全试点示范项目相关工作,开展移动恶意程序专项治理工作等。

1.1 2018年手机病毒包增长趋势进一步减缓

    

根据腾讯手机管家数据显示,2018年手机病毒包新增800.62万个,较去年同期减少48.18%,为近年来最低。随着工信部开展移动恶意程序专项治理工作,及时发现和消除移动恶意程序等网络安全威胁,手机病毒的增长将会进一步有所遏制。


2018年病毒包平均单月新增近67万个,下半年增长趋势比上半年减缓。3月份是病毒增长高峰期,新增病毒近86.91万个,11月份新增最少,仅46.74万。

1.2 2018年感染病毒用户数近1.13亿


2018年病毒感染用户数近1.13亿,同比下降了40.21%,感染情况有所好转。虽然手机自身安全能力和手机安全软件拦截能力有全面的提升,但另一方面病毒类型也持续朝着多样化隐秘化方向发展,通过各种壳、动态加载等对抗技术绕过安全软件的查杀,影响的用户数往往达百万、千万级别。纵观2018年,影响用户量较大的病毒并不少:“Fake System”木马新变种,在用户设备上存在私自获取设备信息、后台频繁安装应用、后台发送短信等可疑行为,影响用户数近百万;涉及一百多款儿童游戏应用的“BlackBaby”系列木马,加载恶意广告插件,通过将广告展示界面设置为不可见,进行广告盗刷行为,疯狂消耗用户流量,累计影响用户数达百万;隐匿于色情和游戏类应用的“隐流者”病毒家族,利用多种黑客技术手管恶意篡改应用推广渠道号,影响用户数预计在200万左右。


2018年第四季度手机病毒感染的用户量较前三季度略有降低,第一季度感染用户量最多,达3272.19万。全年每月平均感染938.71万用户,日均感染30.86万用户。


广东连年来病毒感染用户人数最多,2018年病毒感染用户数最高的省份仍旧是广东,感染人数近1418.61万,占比10.24%。浙江、江苏和河南位列广东之后,也是近年来病毒感染的大省,感染人数分别为892.72万、850.87万和841.64万,占比6.45%,6.14%和6.08%。

1.3 2018年腾讯手机管家查杀安卓病毒达8.12亿次


在新增病毒包数和病毒感染用户数都大幅度下降的情况下,2018年腾讯手机管家查杀病毒次数近年来同比首次下降,总数达8.12亿,同比下降34.64%。腾讯手机管家依托自研杀毒引擎TAV和新一代TRP-AI反病毒引擎,针对网络环境、系统漏洞、病毒木马、支付环境、隐私保护等进行检测,实现对病毒的精准识别和查杀。


2018年平均每月查杀病毒6767.01万次,由于下半年病毒包增长数和感染用户数均比上半年降低,病毒查杀次数也有所降低。1月份是查杀高峰期,近7908.36万次,随后波动降低,11月查杀病毒数最少,5540.68万次。

1.4 2018年手机病毒类型:以资费消耗和恶意扣费为主


针对不同的场景和牟利作恶手段,手机病毒多种多样, 2018年手机病毒总结概括起来,资费消耗和恶意扣费这两种类型占比最高,分别为38.47%和28.45%,隐私获取和流氓行类型占比17.36%和14.12%。由于手机与吸费挂钩,且存储了短信通讯录、照片、账号密码等大量的隐私信息,价值很高,资费消耗、恶意扣费和盗取隐私是病毒的主要攻击方向。病毒的趋利性十分明显。


TRP-AI反病毒引擎捕捉到的“BlackBaby”木马家族,潜藏在儿童类手机游戏作案,存在盗刷流量、恶意加载广告插件等风险行为。该木马家族感染了一百多款儿童游戏应用,数百万用户遭受不同程度的影响。


6月高考如火如荼时,与高考相关的各类恶意软件也层出不穷。腾讯手机管家精准查杀的一款名为“高考复习大全”App,内含名为“a.gray.floatgame.t”的木马病毒,该病毒会启动软件内的恶意广告插件,在屏幕上疯狂弹出广告弹窗,严重影响用户的手机使用,更有甚者,私自安装第三方应用,或者泄露银行卡信息导致银行卡被盗刷等。


TRP-AI反病毒智能引擎捕捉到的“Fake System”木马家族的新变种,其恶意行为主要分为以下三种:恶意推广应用,从云端获取应用推广任务,向不同用户推广各类应用;恶意扣费,从云端获取扣费短信任务,在用户不知情的情况下发送扣费短信;恶意广告刷量,修改多家广告平台的SDK(软件工具开发包),伪造广告请求,或者后台自动点击广告,达到刷量目的。


TRP-AI反病毒引擎捕获到恶意推送信息的SDK——“寄生推”SDK,用户下载安装后,该SDK开发商可以通过云端控制的方式对目标用户下发包含恶意功能的代码包,进行Root提权,静默应用安装等隐秘操作。多款百万级别用户量的应用都集成了“寄生推”SDK,共涉及300多款应用潜在影响用户近2千万。实验室大数据显示,已有数十万用户设备ROM内被植入相关的恶意子包,受到影响的设备会不断弹出广告和地下推广应用。此外,这些恶意子包可以绕过大多应用市场的安装包检测,导致受感染的应用混入应用市场,给用户和应用开发者带来重大损失。


七夕节前后,腾讯手机管家病毒查杀了包括“七夕表白”、“七夕约会宝典大全”、“七夕免费福利”、“七夕情人节怎么过”在内的多款七夕风险APP,若用户不慎下载,会在手机中安装名为a.gray.downread或a.gray.andrsca.f的病毒,病毒启动后即安装风险子包,不仅会导致手机运行卡顿,还有可能带来个人信息泄露等安全隐患。


临近春节抢票,腾讯手机管家成功查杀“12306抢票专家”、“春运购票”、“春运火车票抢票利器”和“火车票抢票”等多款春运抢票山寨软件,这些恶意抢票软件打着“抢票成功率100%”、“抢不到票立马退款”等的旗号,诱导用户下载病毒软件,趁机恶意扣费,给用户造成财产损失。


从细分类型来看,纯色情类、短信扣费类、其他扣费类和流氓推广软件类,是手机病毒占比最高的类型,占比分别为19.04%,14.44%,12.42%和10.94%。

色情类病毒往往藏匿于用户浏览的网页、视频中,伪装成各种美女壁纸应用或正常应用,诱骗用户下载,安装进用户手机后,存在自动发送短信定制扣费业务等私自操作。因其牟利性和庞大的感染用户量,多年来位居病毒类型榜首。

扣费类病毒以游戏类手机应用为主,私自扣费、推送广告弹窗,对用户的手机使用造成了严重的威胁。常见的恶意扣费形式主要分为明扣和暗扣两种,与明扣相比,暗扣的方式更为隐蔽,用户难以察觉,并且主要通过三种形式进行:其一,软件后台私自向固定号码发送扣费短信;其二,后台私自上传用户的手机号码等信息到服务器,获取指定短信内容后,发送订阅短信订购收费业务;其三,拦截或屏蔽运营商的回执短信,自动回复并确认订购短信,随后删除该订阅信息。

流氓推广软件作为一条成熟的黑色产业链,因其数量惊人已经成为黑色暴利产业,也是用户最常见和困扰的病毒行为之一。一些渠道代理商通过恶意软件联网自动下载、强行刷机内置的流氓推广的方式来强推应用,然后根据安装量领取相应的报酬结算分成,从中谋利。

此外,短信消耗、游戏诱导扣费、虚假诱骗类等,也是常见的病毒风险类型,破坏用户的手机使用体验,威胁用户的信息安全与财产安全。

1.5 2018年手机支付类病毒增长进一步减缓


2018年支付类病毒包新增近5.90万个,与去年同比减少36.37%,占新增病毒包总数的0.74%,增长速度进一步减缓。


2018年新增支付类病毒包数量波动较大,单月平均新增4916个,截至8月,单月新增支付类病毒包数总体呈上升趋势, 8月份上升到最高8502个。2月新增的支付病毒最少,仅3624个。


根据腾讯手机管家数据显示,2018年支付类病毒感染用户近394.21万,同比去年减少59.57%,占手机病毒感染总人数的3.50%。支付类病毒通过隐藏图标潜伏在受感染的用户手机里,远程控制用户的手机,盗取手机里的敏感信息,激活设备管理器导致无法卸载,最后通过监控手机的银行短信验证码,窃取被感染用户银行卡里的金钱。


2018年支付类病毒感染的用户数逐月下降,1月感染人数最多,近51.55万,至12月份时感染人数下降为19.84万。


支付类病毒感染最严重的地区多为经济大省或人口大省,其中最严重的省份是北京、广东和江苏,感染人数分别为55.10万、40.54万和30.29万,占比10.95%、8.06%和6.02%。

1.6 2018年安卓手机病毒渠道来源持续多样化


手机病毒传播渠道多样化,常见的手机病毒传播七大渠道分别是软件捆绑、电子市场、手机资源站、二维码、网盘传播、ROM内置和手机论坛。

2018年19.37%的病毒是通过手机资源站传播。很多手机资源站尚未建立完善的安全审查机制,恶意程序监管鉴别机制缺失,依旧是最主要的染毒渠道之一。

18.64%的病毒通过软件捆绑的方式传播。不法分子在破解类、游戏类、工具类应用植入恶意代码、二次打包篡改软件版本,伪装成正常软件,用户将其安装到手机后,私自下载安装其他恶意软件,造成资费消耗、隐私泄露等后果。

安卓系统的开放性导致应用商店的无序性,虽然经过多年的治理,应用市场已逐渐建立起安全监测、安全审核和恶意App下架等机制,2018年仍有17.50%的病毒伪装成破解游戏和工具类等应用进行传播。相关法律法规对隐私安全的界定不清晰,给了恶意软件打擦边球的胆量和空间,安全审核机制薄弱的应用商店,为恶意手机应用的传播提供了便利通道。

第二章 2018年垃圾短信现状分析

2.1 2018年垃圾短信举报量达18.21亿


根据腾讯移动安全实验室数据显示,2018年腾讯手机管家用户垃圾短信举报总量达18.21亿,同比增长31.83%。短信最初的日常交流、沟通信息属性渐渐弱化,取而代之的是各类广告营销、贷款理财、违法诈骗、应用通知等信息。由于短信发送成本低,到达率高,各大型购物平台、企业商家、App应用等,发送各种拉新拉活、促销优惠、金融广告等内容,垃圾短信数量仍在逐年攀升。


2018年腾讯手机管家用户平均每月举报垃圾短信近1.52亿条,每天举报近498.97万条。11月是垃圾短信举报高峰期,近2.16亿条,远远高于其他月份。受春节等原因影响,2月份垃圾短信举报量最少,仅8867.47万条,是唯一一个低于垃圾短信1亿条的月份。


垃圾短信分布较为集中,超过一半都是集中在排名前十的省份。虽然垃圾短信在地域上具有普遍性,但很明显,经济发达的沿海地区和人口众多的内陆省份受到的影响更为严重,排名前三的都是沿海城市。广东用户举报最多,达到2.13亿条,占比11.70%。江苏和浙江紧随其后,分别为1.23亿和1.00亿,占比6.76%和5.51%,此外山东、河南、四川、河北、湖南、福建和湖北也位列前十。


在城市的分布上,深圳经济发达、人口众多,依旧是垃圾短信的首要目标城市,2018年的垃圾短信近6615.64万,远远超过其他城市。苏州、成都、广州和东莞等城市也是垃圾短信的泛滥区。

2.2 2018年垃圾短信类型:广告类垃圾短信占比近96%


在用户举报的垃圾短信中,将近96%都是广告类短信,而这些广告短信绝大多数又都是由106短信平台发送的。目前垃圾短信还没有相关的法律法规判定标准,一些不法分子趁机钻空子,随意、强制性地给用户发送垃圾短信,并且为了绕过骚扰拦截,还使用异形字来代替原有关键词,增加了骚扰识别与拦截的难度。

诈骗短信和违法短信的占比分别为2.81%和1.53%。除了用个人手机号发送, 高额的利润回报、便捷的运作手段让一些经营106短信平台的企业为追逐利润,放宽对申请者的资质要求和内容审核,博彩、贷款、办理假证、色情广告等黑灰产内容甚至违法、诈骗短信也通过该短信通道进行传播,对普通用户而言迷惑性十分强。

2.3 2018年诈骗短信同比增长15.26%


2018年,腾讯手机管家共收到用户举报诈骗短信近5109.37万条,与2017年同期相比小幅增长15.26%。


纵观2018年诈骗短信举报数量,全年波动较大,用户平均每月举报量达425.78万条。5月是诈骗短信举报的高峰期,举报量达792.71万条,2月举报量较少,82.10万条。


沿海省份不仅是垃圾短信重灾区,也是诈骗短信的重灾区,如广东、福建、浙江和江苏等省。广东诈骗短信总量达838.07万,占比16.40%,是用户举报诈骗短信最多的省份。


广东省的诈骗短信,主要集中在深圳、广州和东莞,这三个城市是用户举报诈骗短信数最多的城市,分别占2018年诈骗短信总数的4.99%、2.14%、和1.62%。成都、苏州、大连、南宁、武汉、郑州和福州的诈骗短信举报量也位列前十。

2.4 2018年常见的诈骗短信类型


据腾讯手机管家监测数据显示,2018年最常见的诈骗短信类型分别为普通诈骗短信、非法贷款、高薪招聘和病毒软件&恶意网址。

不法分子通过各种渠道获取到用户的个人信息,通过短信的形式,以各种由头寻找潜在的受害人,将其诱导到电话联系、社交平台联系、钓鱼网站、恶意应用等,进一步实施诈骗。

无抵押办理大额贷款”“银行贷款快速办理”……很多套用银行信誉的贷款广告,其发送主体都是民间小贷公司和担保公司,并不具备从事金融业务经营的资质,有些甚至未经工商部门注册。这些贷款广告实质是在变相宣传民间高利贷、公开宣传信用卡套现等违规行为,一般都会收取高额的中介费、手续费、资质审核费等,为诈骗分子提供诈骗机会。

招聘相关的诈骗短信占比,由2017年5.59%,上升至2018年的10.79%。随着网络安全隐患日益严重,招聘诈骗的形式日益繁多,除了过去常见的收取高额培训费、手续费再编理由辞退、网络兼职诈骗套路,还有整容贷诈骗和培训贷诈骗等新型诈骗形式,先用高薪高福利“钓鱼”、后诱导受害人开通分期贷款。

病毒软件&恶意网址类的诈骗短信,占比5.84%。诈骗分子将病毒链接、恶意网址写入短信中,冒用官方身份发送短信进行传播,用户下载安装后,窃取验证码、短信和通讯录等。积分兑换类、会员类、相册类、校讯通、交通违章查询类的诈骗短信是这类诈骗的典型代表。

对比2017年,2018年伪基站类型的诈骗短信已由9.77%下降至2.77%,经过相关部门的一系列整治措施,伪基站类诈骗短信大大减少。

其他的诈骗短信类型,还有网购、窃听、冒充官方机构汇款、考试和投资诈骗等等。

第三章 2018年骚扰电话现状分析

3.1 2018年骚扰电话标记近3.70亿个


根据腾讯移动安全实验室数据显示,2018年腾讯手机管家用户共标记骚扰电话近3.70亿个,较去年同时期减少6.93%,用户平均每月标记3080.45万个骚扰电话。随着信息通信业的发展和提速降费工作的深入推进,电话营销作为推广业务、吸引客户的重要手段,骚扰电话泛滥,严重影响用户的正常生活。今年下半年初,工信部联合十三部委制定了《综合整治骚扰电话专项行动方案》,重点对商业营销类、恶意骚扰类和违法犯罪类骚扰电话进行整治,规范通信资源管理。但另一方面,人工智能发展,一些商家使用人工智能进行无差别、全覆盖的广告推销,骚扰电话呼出成本更低,呼出频率可能将更高,甚至涉及诈骗电话。


2018年腾讯手机管家用户标记的骚扰电话数,下半年明显比上半年增长,7月和8月是骚扰电话高峰期,7月份达到4460.25万,将近是最低月份2月份的4倍。


广东近年来都是骚扰电话大省,2018年骚扰电话数量达到4609.54万,占比12.74%。江苏和北京次之,分别为2643.45万和2182.57万,占比7.15%和5.90%,其次是浙江、山东、四川、河南、河北、湖南和湖北。


城市方面,北京、深圳和成都的骚扰电话标记数最多,三个城市总数近5293.03万。其他省会城市或经济发达城市,如杭州、广州、上海、南京和长沙等,骚扰电话的数量也排名前十。

3.2 2018年骚扰电话类型


2018年,在用户标记的近3.70亿个骚扰电话中,可以分为响一声、普通骚扰电话、诈骗电话、广告推销、房产中介和保险理财六大类型,这也是在今年工信部等十三部门综合整治骚扰电话专项行动的治理重点。

以37.48%的占比排名第一的是响一声电话,诱导用户回拨电话进行广告宣传,获取广告费,或者进行灰黑色地带信息宣传甚至诈骗。今年的骚扰电话专项行动加大对“响一声”电话的治理,甄别拦截“响一声”电话,且全面清理各类骚扰软件,如网上的“呼死你”,切断相关软硬件推广、销售和使用渠道。

诈骗电话排名第二,占比16.77%。诈骗电话的治理,不单需要侦破利用电话实施诈骗、敲诈勒索、虚假广告宣传等违法犯罪案件,还需加大对侵犯公民个人信息犯罪案件的打击力度,依法严厉打击各行政机关和电信、金融、医疗、教育、物业、物流、寄递等重点单位工作人员非法出售或者向他人提供公民个人信息的违法犯罪行为。

广告推销电话占比14.09%,此外还有占比较小的保险理财和房产中介,这些都是骚扰电话中的治理顽疾,也是骚扰电话治理工作的重点之一。工信部认为未经用户同意的营销电话即为骚扰电话,规范重点行业的商业营销行为,完善业内企业电话营销管理规则和制度要求,重点对贷款理财、房产中介、教育培训、证券股票、保险推销、人才招聘、家政服务、妇幼保健、旅游签证等业务的商业广告行为进行整顿规范,规范从业人员个人电话推销行为。


根据腾讯手机管家用户主动上报的恶意线索数据显示,2018年常见的骚扰电话恶意线索关键词是转账到安全账户、冒充领导、索要验证码、我犯法了和网络订单有问题等,这也是近年来最常见的电话诈骗类型。

转账到安全账户是用户上报最多的恶意线索,占比29.23%。诈骗分子以冒充公检法等手段,恐吓威胁用户将钱转到所谓的“安全账户”,诈骗金额一般较大。

冒充领导也是诈骗分子常用的手段,占比18.30%。诈骗分子通过非法渠道获取相关人员的通讯录或社交账号,随后利用虚拟电话号码或盗取的社交账号,假借名目要求用户将钱转至指定账号。

冒充类诈骗类型多样,除公检法和领导外,骗子还会冒充客服、熟人亲友、运营商等等,诱导恐吓用户转账。

索要验证码占比15.96%,排名第三。在移动互联网时代,手机验证码是用户在网上的身份证明手段,也是风险控制的关键一环。骗子从其他渠道获取用户的账户后,再利用诈骗电话从用户手中获取手机验证码,实施银行卡盗刷、金融账户盗刷等行为。

骚扰电话中常见的恶意线索关键词还有网络订单有问题、包裹被扣押、非法贷款、金融投资等。

3.3 2018年诈骗电话标记数近6137.04个


基于腾讯手机管家用户诈骗电话标记的相关数据显示,2018年用户标记诈骗电话近6137.04万个,比去年小幅下降8.63%。从2015年的3.06亿诈骗电话数下降至今年的6137.04万,电信诈骗治理已取得阶段性成果,未来工信部还将持续加强电信诈骗源头的综合治理。


2018年腾讯手机管家用户平均每月标记511.42万个诈骗电话,7月份骚扰电话最多,诈骗电话也最多,近618.39万个,2月份最少,仅250.45万个。


诈骗电话的地域分布与骚扰电话相类似。排名前三的省份是广东、江苏和北京,总数分别为938.73万、438.51万和394.11万,占比15.30%、7.15%和6.42%。浙江、四川、山东、河南、湖南、河北和湖北的诈骗电话标记量在全国范围内也是较高水平。


北京、上海、广州和深圳不仅骚扰电话诈骗多,诈骗电话也多。诈骗电话标记数前十名的城市分别为深圳、北京、广州、成都、杭州、上海、南京、武汉、长沙以及西安,总数达2164.62万,占诈骗电话总数35%。

3.4 2018年iOS骚扰与诈骗电话现状


iOS方面,2018年骚扰电话、诈骗电话总标记数分别为2203.08万和371.30万,单月高峰均在7月。

第四章 2018年恶意网址现状分析

4.1 2018年恶意网址拦截次数达5554.07亿次


2018年,腾讯安全实验室共计检测恶意网址达1.82亿次,2月份检测到恶意网址的次数最多,近1998.48万次。用户点击进恶意网址,触发网站内恶意木马、病毒等程序,导致计算机被感染,面临帐号密码丢失或者隐私信息泄露等威胁。


在有效完成恶意网址的检测同时,2018年腾讯安全实验室共拦截恶意网址达5554.07亿次,极速响应拦截各类恶意网站,为用户的网络安全保驾护航。

4.2 2018年恶意网址类型:色情网站最多


根据腾讯安全实验室拦截的恶意网址数据,色情网站和博彩网站是最常见的恶意网址类型,占比分别达57.06%和34.46%。信息诈骗、恶意文件、社工欺诈和虚假广告虽然占比较低,但因其上当受骗、蒙受损失的用户不在少数。

色情网站包含大量的色情的内容或者提供色情服务,例如提供色情内容展示以及提供情色交友等服务。在“净网2018”专项行动中,“扫黄打非”各部门严厉打击网络传播淫秽色情信息违法犯罪活动,查封多个色情网站。

博彩网站包含大量的赌博推广的内容,或站点提供赌博交易平台,如虚假彩票类网站和在线赌博游戏网站,网站的资金安全无法保证,存在诈骗用户钱财的风险。博彩网站的盛行,也是博彩类的垃圾短信泛滥的原因。

第五章 2018年风险WiFi现状分析

5.1 2018年已发现的公共WiFi数量近7.37亿


根据腾讯WiFi管家数据显示,截至12月,已发现的公共WiFi数量达 7.37亿,这些公共WiFi广泛分布在商场、酒店、地铁、机场、银行、学校等场所。

5.2 2018年公共WiFi使用主力军:30岁以下人群 男性多于女性


从年龄段上看,2018年连接公共WiFi的主体是30岁以下人群,占比60.76%。30岁—42岁、42岁—54岁人群连接公共WiFi的占比则分别为25.39%和11.84%,54岁以上人群连接WiFi占比仅2.01%。不同年龄层对WiFi的需求跟上网需求基本一致。


性别方面,2018年连接公共WiFi用户中,男性多于女性,男性占比为51.60%,女性占比40.12%。

5.3 2018年风险WiFi占比51.22%


从腾讯WiFi管家监测数据可以看出,2018年公共WiFi中,未发现风险WiFi占比53.91%,风险WiFi占比46.08%,风险WiFi的数量还是挺庞大的。

在风险WiFi中,高风险WiFi指已经确认有ARP攻击、DNS攻击或虚假WiFi行为的WiFi,占比22.92%,对用户的隐私安全和财产安全存在着隐患和威胁。低风险WiFi指未加密、未经认证,存在潜在风险的WiFi,占比23.16%。

5.4 2018年高风险WiFi攻击行为以ARP攻击为主


2018年,高风险WiFi的攻击行为以ARP攻击为主,占比99.47%。ARP攻击通过伪造IP地址和MAC地址实现ARP欺骗,在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。

虚拟WiFi占比0.47%,虽然占比较小,但对普通用户而言,生活中经常需要连接WiFi,一旦连接到虚假WiFi,被不法分子窃取身份信息、网银账号密码等隐私数据,后果堪忧。

此外还有一种攻击行为是伪造虚假DNS,又称域名劫持,指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,导致用户对特定的网络不能反应或访问的是假网址。

5.5 2018年高风险WiFi主要分布在广东、山东、江苏及河南


高风险WiFi 主要分布在经济发达或人口众多的省份,广东和山东是高风险WiFi最多的省份,占比分别为10.86%和7.05%。江苏和河南并列第三,占比都是6.18%。


在城市分布上,高风险WiFi主要分布在经济发达城市,重庆、上海和成都是高风险WiFi最多的城市,占比分别是2.17%,2.16%和1.96%。

第六章 2018年十大手机安全事件

1. 置顶勒索病毒加密对抗衍变:强制锁屏盗取钱财

2018年置顶勒索病毒事件频频发生,置顶勒索病毒是指具有系统破坏及流氓行为,启动后强制将自身界面置于设备屏幕上方或者修改用户设备的锁屏密码,致使用户无法正常使用设备,并以支付解锁对用户进行勒索。为了诱导用户下载安装,置顶勒索软件通常会伪装成各类极具诱惑力的软件,例如色情播放器、会员账号类、游戏外挂、WIFI密码破解等。


当手机被锁屏置顶后,用户无法再操作手机。黑客会在置顶窗口上显示黑客的联系方式或转账二维码,以此来勒索用户,向用户索要金钱,以达到谋取不正当利益的目的。当用户支付后,用拿到密码来解锁手机的锁屏置顶行为在悬浮窗上显示密码的输入框和黑客的联系方式。为了躲避检测,置顶勒索软件加密对抗版本更新十分频繁,花式多样,增加检测难度。

2. 新型挖矿恶意软件HiddenMiner来袭,导致手机电池耗尽

2018年3月安全研究人员发现了一款新型的门罗币挖矿恶意软件HiddenMiner,针对安卓手机用户发起新一轮的攻击,而且该恶意软件封装后没有调试器、控制器、切换功能,这意味着一旦手机感染后,无法人工停止运行,手机后台会一直开启,直到手机电池耗尽。


HiddenMiner伪装成合法的Google Play更新应用程序,它要求用户以设备管理员身份激活它。一旦受害者点击激活按钮,HiddenMiner将在后台开始挖掘门罗币Monero。这个门罗币Monero挖掘Android应用程序的自我保护和持久性机制,使用多种技术将自己从不知情的用户身上隐藏起来。受害者无法将其从设备管理员中删除,直到首先删除设备管理员权限。因为当用户想要停用其设备管理员权限时,恶意软件会利用技巧来锁定设备的屏幕。

3. “寄生推”SDK云控作恶,300多款知名应用不幸躺枪

2018年,“寄生推”SDK如寄生虫般的恶意推广手段严重影响上千万手机用户的使用体验, 300多款知名应用受“寄生推”SDK感染,潜在影响用户超2000万。“寄生推”推送SDK开发商可通过后门云控开启恶意功能,进行恶意广告行为和应用推广,以实现牟取灰色收益。有数十万用户设备ROM内被植入相关的恶意子包,对用户的影响巨大。


“寄生推”不仅影响范围广,在传播路径上更是“煞费苦心”。该信息推送SDK的恶意传播过程非常隐蔽,从云端控制SDK中实际执行的代码,具有很强的隐蔽性和对抗杀毒软件的能力,与“寄生虫”非常类似,故将其命名为“寄生推”。恶意SDK不仅对用户造成了危害,也伤害了这些集成恶意SDK的应用的口碑,给应用开发者和应用商城也带来重大损失,对各方来说都是一个极大的安全挑战。

4.  银行木马BankBot家族不断壮大,新变种兼具更多恶意功能

2018年3月,有安全公司发出警告称恶意软件BankBot重返江湖,新变种高达24种恶意功能,其新功能之一是能够查看已存储在受感染智能手机或平板电脑内存中的文件列表,将任何文件下载到管理服务器以及删除它们。


此外,它还能够被用于进行网络间谍活动,例如,监视受感染设备屏幕上发生的所有事情,进行屏幕截图并发送给攻击者以及能够使用内置麦克风监听周围环境中的声音。该木马攻击过14个国家的安卓用户,并且攻击者可以随时对目标列表进行更新,该木马攻击的目标可以是位于全球的任何一个国家,BankBot家族的发展同样也不可能就此止步。

5. Facebook数据频频泄露,上千万账户被黑并被黑客明码出售

2018是Facebook命运多舛的一年,3月Facebook 5000万用户信息被泄露,这些用户信息被第三方公司Cambridge Analytica用于大数据分析,根据用户的兴趣特点、行为动态精准投放广告和资讯内容,甚至被怀疑利用数据预测用户政治倾向,成为间接影响总统大选的隐形黑手。


9月Facebook披露了一个巨大的安全漏洞,并证实有3000万账户被黑。攻击者窃取了近一半可能让他们面临严重风险的用户的敏感个人信息,这些信息可令骗子伪装为Facebook本身、雇主或好友,向用户发出电子邮件以欺骗其在伪造网页上提供登录信息,或欺骗其点击附件以入侵用户电脑。

11月Facebook事件再次升级发酵,黑客明码出售8万用户信息。据报道,有黑客宣称其已经窃取1.2亿个Facebook用户账号的私人信息,并试图以每个账户10美分的价格在网站上出售,目前公布了至少8.1万个账号。Facebook方面回应称,被盗数据很可能是通过恶意浏览器插件而获取的,并已采取措施以防止更多账号受到影响。这对于今年数次因泄露丑闻被推上风口浪尖的Facebook来说又是当头一击。

6. 设备管理器权限遭恶意利用,衍生多种病毒攻击用户手机

Google在Android 2.2里新增了名为DevicePolicyManager的接口。DevicePolicyManage的开发是为了帮助用户解决手机丢失的数据泄露问题,可以帮助用户实现对手机安全管理和远程操作。很悲催的是,这样正规的功能在黑产的手中马上就变成了一种“商业模式”。


恶意利用设备管理器的病毒特点是利用安卓设备管理器的漏洞,当用户激活设备管理器后,该程序会在设备管理器列表隐藏。流氓申请激活设备管理器权限,用户点击取消激活的时候跳转到其他界面阻止取消激活设备管理器,并连续频繁弹出窗口,直至用户点击激活,当用户取消设备管理器时,会马上锁定受感染设备屏幕,致使用户无法正常使用设备。

随后植入多种病毒模块,从而拦截用户资金短信,窃取用户通讯录和通话记录等信息。此病毒还会仿冒公检法植入置顶勒索病毒模块,当用户取消设备管理器时强制将自身界面置于设备屏幕上方,致使用户无法正常使用设备,并以支付解锁对用户进行勒索。

7. Twitter自爆安全漏洞,3.3亿用户密码存泄露风险

作为全球最受欢迎的社交网络之一,Twitter也没逃过隐私安全问题。在2018年5月4日,Twitter 发布公告称,Twitter用户的密码都会被存储在服务器上,但都是经过加密才存储的,所以在外界看来,这些密码不过是完全不相关的数字和字母。然而最近他们发现,因为某个漏洞,在日志文件中记录的密码竟然并没有经过加密,这意味着每个访问密码日志文件的人,都能看到以明文存储的账号和密码,这意味着约有3.3亿Twitter用户密码存在泄漏风险。


Twitter表示,因为这个漏洞,用户密码会被存储在公司计算机系统的一个内部日志中,当他们发现了这一漏洞时立刻加以修复,并移除了日志文件中的未加密密码记录,采取有效措施防止这类漏洞再次出现。Twitter方面建议用户修改自己Twitter账号的密码,并开启双重身份验证服务,以防止帐户被黑客劫持。

8. “Fake System”木马病毒惊现新变种,影响近百万用户

2018年9月“Fake System” 出现新的病毒变种,藏身于色情、游戏类应用,或者借助已有木马样本、不正规的刷机渠道、不正规的电子市场等进行传播,该木马病毒私自在用户手机里获取信息,进行恶意推广应用。在用户不知情的情况下发送扣费短信,产生恶意扣费行为,此病毒影响近百万用户。


“Fake System”木马病毒常假冒系统应用的软件名,诱导用户点击。由于没有图标,用户很难感知其风险,更别说提前防范。该病毒还会采取18种设备状态实时监控、云端下发恶意指令等,躲避杀毒软件的“蜜罐检测”。用户一旦不慎感染“Fake System”病毒,手机将可能沦为不法分子恶意推广、刷量的工具。

9. “隐流者”病毒家族后台恶意刷榜

当前移动端风险形势十分严峻,木马病毒成为用户手机安全的威胁之一。2018年5月,腾讯安全联合实验室捕获一个名为“隐流者”的应用刷榜病毒。该病毒家族隐蔽性极强,通过潜藏在色情、游戏应用的支付插件中伺机作案,目前已入侵国内七成应用市场,给用户的财产安全造成一定影响。


该病毒逆向分析各大手机应用市场的搜索协议,随后在用户不知情的情况下发送模拟搜索请求,并通过解析应用市场反馈的数据获取指定刷榜应用信息,进行指定应用下载安装的操作,最终完成指定应用的刷榜行为。此外,该病毒还针对竞争对手进行虚假下载攻击,让应用开发者遭受巨大的损失。

10. 日韩涌现大批支付木马病毒,藏身知名应用诱导用户安装

腾讯手机管家发布的《2018上半年日韩支付类病毒变化趋势研究报告》指出,日韩境内出现了一批支付木马病毒,伪装成快递应用诱惑用户安装,窃取个人信息和财产,日韩支付木马病毒为了绕过安全软件的查杀,采用了动态加载等对抗技术,朝着隐秘化方向发展。


譬如,支付木马病毒进入手机后,会自动隐藏图标让用户难以察觉,并远程控制其手机,通过短信拦截、盗走用户网银或第三方支付账号的资金。值得注意的是,日韩支付病毒集中在网民网络资产所在的银行、游戏、贷款、动态令牌及邮箱账号方面,伪装APP也较为单一,主要快递类APP。

第七章 2018年手机安全特征与趋势分析

1. 仿冒公检法诈骗高速增长,受害群体呈现上升趋势

移动互联网时代,用户越来越依赖智能手机,在浏览新闻、手机购物、娱乐聊天过程中,在手机上保留了大量敏感的隐私信息,如银行卡账户、密码等,这时不法分子瞄上了用户的“手机钱包”。随着网络技术的更新,不法分子从原来只靠电话忽悠,进化到联合恶意链接、病毒APP、伪造逼真的电子文件的仿冒公检法诈骗,诱导用户下载安装。实现套取用户钱财目的。据介绍,木马病毒入侵用户手机后,可以获取和控制通话、通讯录、地理位置、银行卡信息、屏幕操作控制、资金转移等功能。

2018年以来仿冒公检法类恶意应用增长70%,相关钓鱼网站同比增加200%。仿冒公检法作恶团伙正在不断升级其作案手段,通过传统单点防御的方式将很难阻断诈骗黑产的针对性攻击,安全厂商以及手机厂商可以从仿冒公检法病毒的传播、落地、作恶的各个环节深度合作,层层设防,最大程度阻断电信诈骗。

2. 移动端黑产规模宏大,恶意推广日均影响用户超千万

伴随移动应用的影响力超过电脑应用,主要互联网黑产也迁移到手机平台。2018年手机病毒类型多达几十种,大部分病毒都属于资费消耗、恶意扣费和隐私获取这三种类型,主要有以下四大主流黑产链条:

(1)暗扣话费“抢钱”产业链

大部分用户会预充值一些话费用于支付套餐的消耗,平时也很少再关注话费。实际上,这些预存的话费余额还可以用来订阅各种增值服务。移动黑产正是利用这一点,串通利益共同体一起窃取用户话费余额并牟取暴利。

此类黑产以稀缺的SP提供商为上游,将这些SDK植入到伪装成色情、游戏、交友等容易吸引网民的应用中,诱导用户下载安装。实现暗扣话费变现后,利润通过分成的方式被整个产业链瓜分。此类手机恶意应用每天影响数百万用户,按人均消耗几十元话费估算,日掠夺话费金额数千万,可谓掘金机器。

(2)广告流量牟取暴利

当前中国网民对手机应用中广告的态度整体较为宽容,国内消费者为应用付费的习惯尚待养成,正规的软件开发者同样需要通过广告流量来获利收益。然而,某些内置于各类应用中的恶意广告联盟,主要通过恶意推送广告进行流量变现的形式牟利。

这些恶意广告联盟推送的广告内容更加无底线,在某些时候突然推送出色情擦边球应用、博彩甚至手机病毒也不足为奇。受这些广告影响的用户群体也很庞大,平均每天新增257个广告病毒变种,影响大约676万的巨大用户群。

(3)手机应用分发黑产

在应用市场竞争日益激烈的情况下,软件推广的成本也在升高。一些初创公司较难在软件推广上投入大量成本,部分厂商便找到了相对便宜的软件推广渠道:通过手机应用分发黑产,采用类似病毒的手法在用户手机上安装软件。

软件恶意推广地下暗流整体规模在千万级上下,主要影响中低端手机用户。例如部分用户使用的手机系统并非官方版本,经常会发现手机里莫名其妙冒出来一些应用,这就是地下软件黑产的杰作。通过手机恶意软件后台下载推广应用,是手机黑产的重要变现途径。

(4)APP刷量产业链

为了将自己开发的手机应用安装在用户手机上,软件开发者会寻找推广渠道并为此付费。一部分掌握网络流量的人动起歪脑筋,利用种种作弊手段去虚报推广业绩,欺骗软件开发者。

该产业链主要有三个阶段,第一阶段是模拟机刷。通过模拟器模拟出大量手机设备伪装真实用户,随着对抗后期则主要通过购买部分真实手机设备通过群控系统来实现。

第二阶段是众筹肉刷,常常以手机做任务就可以轻松赚钱为噱头吸引用户入驻平台,用户可以通过APP提供的各种任务来获取报酬,比如安装某个应用玩十分钟可以获取一块钱。

第三阶段是木马技术自动刷量,人工刷量需要大量的真实用户帐号,或者较多的设备,还得人肉操作,导致效率较低。2018年有一批聪明的开发商已经开始布局木马自动刷量平台。木马SDK通过合作的方式植入到一些用户刚需应用中进行传播,然后通过云端控制系统下发任务到用户设备中自动执行刷量操作。

3. 供应链攻击事件不断复杂化,安全问题仍需重视

2018年,网络安全将全面进入这种新常态,安全威胁也越来越凸显出攻击复杂化、漏洞产业化、网络军火民用化等日益升级的特点。现在与Android应用供应链相关的安全事件越来越多,恶意软件作者通过层出不穷的攻击手法投递恶意载体,受影响用户数多在百万级别,造成难以估量的损失。从影响用户数来说远超一般的漏洞利用类攻击。隐蔽性更强,潜伏周期更久,攻击的发现和清理也都比较复杂。

在趋于更加复杂化的互联网环境下,软件供应链所暴露给攻击者的攻击面越来越多,并且越来越多的攻击者也发现针对供应链的攻击相对针对应用本身或系统的漏洞攻击可能更加容易,成本更低。针对供应链的攻击事件增多,攻击的深度和广度的延伸也给移动安全厂商带来了更大的挑战。

4. 广告短信持续暴增,手机用户备受其扰

垃圾短信一直是困扰手机用户的难题,很多手机用户都会被各种短信轰炸。经过治理,诈骗短信虽然得到遏制在减少,但垃圾短信仍然在增长的主要原因在于广告短信。由于传统广告一般具有媒体定价的行规且营销资费昂贵,而短信广告不受限制,相对来说没有这么高的预算,短信成本比较低廉,也大大降低了企业广告的成本。

其次,广告具有很强的散播性,速度快。每条短信都可以选择即时发送,瞬间万人传播!且信息易保存,可反复阅读快速转发,大大扩大了传播范围。因此,短信便被各行业广泛应用,成为各商家喜欢的营销方式之一。但是广告短信的泛滥却让手机用户很头疼,广告短信总是猝不及防的出现在手机上,成了手机用户无法摆脱的骚扰。

第八章 安全专家建议

2018年,基于手机恶意程序、电信骚扰诈骗和用户隐私等问题,Android手机的安全形势仍不容乐观,腾讯移动安全实验室专家对此提出如下建议:

1. 通过正规安全的渠道下载官方版支付、工具、游戏等手机应用。互联网上充斥着形形色色的第三方APP下载站点,恶意应用经常伪装成正常应用,混入其中。腾讯手机管家查杀的“Fake System”病毒家族藏身于色情、游戏类应用,或借助已有木马样本、不正规的刷机渠道、不正规的电子市场等进行传播。建议从官方网站或正规应用市场下载安装应用,不要随意点击广告弹窗、不明URL链接和扫描安全性未知的二维码信息,不安装来自非可信渠道的应用;在不得不从第三方站点下载软件时,认真甄别,保持警惕,防止误下恶意应用造成不必要的麻烦和损失。

2.增强恶意软件的识别能力,谨慎下载安装各类破解以及盗版应用。恶意软件经常伪装成游戏类、色情类等应用,或通过重打包流行应用诱导用户下载,软件名通常带有外挂、破解、刷钻、神器、免费等字眼,诱导用户下载安装。恶意软件还经常假冒系统应用的软件名,诱导用户点击,由于安装后没有图标,用户很难感知其风险。

3. 保护个人隐私信息,不轻易向他人透露个人信息。在当前的移动互联时代,手机号码在网络上的使用越来越广,注册账号、找回密码、绑定账号等等,被赋予的权限越来越高,如同用户的另一张“身份证”。用户应当掌握自己的手机号码在互联网以及各平台上的使用的范围,在换号时解绑相应的账号,切断该号码与自身的联系。同时,2018年手机病毒类型中,17.36%的病毒属于窃取隐私型谨防各类应用获取越界权限,谨防来历不明的恶意软件窃取隐私,

4. 移动支付需谨慎,警惕移动支付陷阱。支付行为转移到移动端后,针对移动支付的诈骗手段、支付病毒层出不穷,手机支付安全的状况不容乐观,诈骗短信、诈骗电话也在一定程度上造成了手机支付风险,在支付时应当警惕支付环境,同时,连接公共网络不随意进行移动支付,以免支付账号密码等信息被窃取。

5. 及时更新手机应用版本和手机安全软件。相比高版本,低版本安卓系统存在的大量已知高危漏洞面临时手机面临更严峻的安全风险,例如影响近百万用户的“Fake System”病毒感染的用户手机系统版本多为Android5.1、Android5.0,版本较低。建议及时更新手机系统,修复已知的安全漏洞,降低风险。当手机使用中异常发热、运行卡顿或其他异常时,可及时使用腾讯手机管家进行扫描检测。针对最新流行且难以清除的病毒或者漏洞,可下载专杀工具及时查杀或修复。此外,开启腾讯手机管家骚扰拦截功能,可有效拦截诈骗电话、短信,提升手机安全。

 

腾讯手机管家官方网站:http://m.qq.com

腾讯手机管家新浪微博:http://weibo.com/txmanager

腾讯手机管家微信公众号:微信搜索“腾讯手机管家”或扫描以下二维码即可关注

腾讯移动安全实验室2018年1月2日

版权声明:本报告中凡注明来源于“腾讯手机管家”等一切图表数据及研究分析结论均属于腾讯公司版权所有,如需转载或摘编,敬请注明出处。


安全快讯 更多

2018年网络隐私报告

2018年网络隐私报告

2019-01-30
2018年手机安全报告

2018年手机安全报告

2019-01-03
国内十大城市商场WiFi报告

国内十大城市商场WiFi报告

2018-12-11

安全视频 更多

小管说安全(4)——狗阿旺的案情回顾

2017-12-06

手柄助手完美适配光荣使命

2017-11-30

小管说安全(3)——谣言有毒

2017-10-24