首页 > 清静研究 > 清静转达 > 清静简讯

【报告分享】卡巴斯基年度报告系列（一）-2018年移动威胁景观

宣布时间 2019-04-26

一、年度数字

2018年卡巴斯基实验室的产品和手艺共检测到：

? 5,321,142个恶意装置包
? 151,359个新的移动银行木马

? 60,176个新的移动勒索软件

二、年度趋势

2018年移动用户遭到有史以来最为强烈的网络攻击。在这一年中，我们不但视察到新的熏染手艺（例如DNS挟制攻击），还视察到撒播模式的升级（例如SMS垃圾短信）。病毒开发者专注于：

? 旨在绕过检测的Dropper（木马释放器）
? 攻击银行账户
? 可造成损害的灰色软件（RiskTool）

? 广告软件

2018年，我们发明三个使用移动平台的APT攻击运动，这些攻击运动旨在监视用户，包括用户的社交网络谈天。除此之外，本报告对2018年全球规模内的主要移动威胁事务都有涉及。

2.1 Dropper的崛起

在已往三年中，Dropper已经成为移动犯法分子的首选武器。这种恶意程序类似于俄罗斯套娃，它的装配流程越来越流水线化，犯法分子可以容易地建设、使用和出售它们。一个Dropper可能服务于多个客户，包括勒索软件、银行木马以及广告APP。Dropper作为隐藏原始恶意代码的手段，其利益在于：

? 逃避检测。尤其是哈希检测，由于Dropper每次都可以天生一个新的文件哈希值，而内部的恶意软件完全稳固。

? 建设恣意数目的差别文件。病毒开发者在使用虚伪应用市肆举行攻击时会用到这个功效。

只管Dropper并不新鲜，但2018年Q1其攻击数目急剧增添，其中Trojan-Dropper.AndroidOS.Piom家族的孝顺最多。这一趋势在Q2及之后的季度有所放缓，但总体增添趋势稳固。毫无疑问，尚未接纳这一手艺的犯法团伙将很快接纳行动，或者建设自己的Dropper，或者购置成熟的产品。这种趋势将会影响移动威胁的大图景：移动恶意软件家族的数目变少，但差别种类的Dropper变多。

2.2 银行木马乘风破浪

2018年银行木马的统计数据十分夺人眼球。2018年头，不管是在样本数目或是在受攻击的用户数目方面，这种类型的攻击都十分稳固。但到了Q2情形急转直下，在木马数目以及受攻击的用户数目方面都立异高。这一情形的实质缘故原由尚不清晰，但罪魁罪魁是Asacub 和Hqwar木马。前者历史悠久 – 凭证我们的数据，犯法团伙至少运营了三年。Asacub自己是从一个SMS木马演变而来，该木马从一最先就配备了阻挡电话和SMS短信以及实现长期性的工具。厥后，木马开发者增强了逻辑，并最先使用SMS短信-社交工程攻击举行大规模分发。在线论坛成为目的手机号码的泉源地。接下来，随着受害者酿成撒播者 – Asacub会向通讯录中的每一个号码都发送自己 – 雪崩式撒播最先了。

2018年银行木马不但仅是在规模方面引人注目，其机制同样值得关注。其中一个角度是对Accessibility Services（辅助功效）越来越普遍的使用。这可能是对新版本Android的一个回应 - 在新版本Android中在银行APP上层叠加垂纶窗口变得越来越难题。另外，这也可能是由于辅助功效使得木马越发顽固 – 用户无法自行删除它。并且，犯法分子还可以使用辅助功效挟制正当的银行APP举行转账。另一个角度则是反动态剖析手艺；好比说，Rotexy木马会检测沙盒情形。这种行为虽然不是新泛起的，但值得注重的是，团结混淆手艺，病毒开发者可能会有用绕过应用市肆的静态和动态检测。只管沙箱检测在犯法分子中还未普及，但这一趋势不可阻止，我们倾向于以为这种手艺在不久的未来会变得越发重大。

2.3 广告软件和灰色软件

在整个2018年，这两类APP在装置包数目上面一直位列前三。造成这一趋势的缘故原由有许多，但主要是由于广告软件及针对广告商的攻击是一条相对“清静”的“致富路径”。除了一些特例之外（广告软件导致的过热及起火），这类攻击并不会敌手机主人造成损害。损害主要是针对广告商的，由于他们要为机械人（受熏染的装备）对广告的点击举行付费。虽然，一些广告APP会使得装备的使用体验极差，好比说，受害者必需要点击一堆广告才华发短信。问题在于，初始阶段用户很难发明哪一个APP导致了广告的泛起，可能是一个手电筒APP，也可能是一个游戏，而广告是在广告APP之外随机泛起的。并且，只要装置了一个此类APP，很快你的手机就会泛起大宗同类APP，把装备酿成一个广告软件的乐园。最坏的情形下，广告APP会把自己写入system目录或出厂设置回滚剧本，导致唯一可以删除它们的要领是机刷原始固件。

另外一方面，由于一次点击的本钱可以忽略不计，因此总是有无限无尽的广告APP泛起 – 犯法分子开发和撒播的广告软件越多，他们所能赚的钱就越多。最后，广告APP通常都不体贴数据的传输加密，这意味着受害者的信息，包括位置信息，都可能在与广告商基础设施的HTTP通讯中袒露。

灰色软件的情形略有差别�；疑砑�2018年的移动威胁中所占的比例最大。在全球规模内，应用内购置一直是一项正常的功效，它通过装备账户关联的银行卡举行，购置流程对用户而言是透明的，并且可以随时作废�；疑獳PP也包括内购功效，可能是游戏中的新关卡，也可能是一张漂亮女人的照片，但购置流程对用户完全不透明。在用户不知情的情形下，APP会自动向特定号码发送短信，并吸收到响应简直认短信；灰色APP在吸收到确认短信后，就会显示付费内容，但这些内容可能是APP开发职员随意指定的。

这样，海量的灰色软件被用于销售无意义的内容，并且其开发事情还很简朴 – 在手艺方面，任何新手程序员都能实现发送SMS短信。

没有任何证据批注广告软件和灰色软件的攻击浪潮会消退，2019年这一图景很有可能会继续。

2.4 移动矿工大幅增添

2018年，我们视察到移动矿工的攻击数目增添了五倍。这一增添可归因于以下几个因素：

? 移动装备的GPU变得亘古未有的强力，这使得它们很适合挖矿。
? 熏染移动装备相对容易

? 移动装备无处不在

虽然矿工不是最引人注目的移动恶意软件，但它们对装备算力的大宗消耗很容易被发明。一旦装备主人发明了可疑运动，他们就会接纳步伐消除熏染。因此，为了填补受害者的流失，犯法分子们安排了新的大规模恶意运动，并增强了它们的反移除机制。

移动矿工在手艺上都很谦逊，它们通常是基于现有的跨平台恶意软件代码（例如Linux恶意代码） - 所需要做的事情只是把加密钱币钱包的收款地点植入代码，并把payload打包成一个移动APP。撒播途径照旧典范的垃圾短信等。

只管不可说2018年移动矿工已经将其它移动恶意软件赶下了王座，但也不可说这种威胁不敷严重。若是矿工开发者过于贪心或是代码不完善，该恶意软件可能会对装备电池造成很大损害，甚至是过热及报废。

三、统计剖析

2018年我们共检测到5,321,142个恶意装置包，比2017年镌汰了409,774个。

只管恶意装置包的数目下降了，但2018年我们检测到的攻击数目增添了一倍：1.165亿次（2017年为6640万次）。

尊龙凯时·(中国区)人生就是搏!

2018年卡巴斯基检测到的移动攻击数目

遭受攻击的用户数目同样延续了上涨趋势。从2018年1月初到12月末，卡巴斯基共�；ち�9,895,774个差别的Android用户 – 比2017年增添了774,000个。

尊龙凯时·(中国区)人生就是搏!

2018年遭受攻击的用户数目

尊龙凯时·(中国区)人生就是搏!

2018年遭受攻击的用户的地理漫衍

遭受恶意软件攻击的移动用户比例最高的国家/地区Top 10

国家/地区*	%**
伊朗	44.24
孟加拉国	42.98
尼日利亚	37.72
印度	36.08
阿尔及利亚	35.06
印度尼西亚	34.84
巴基斯坦	32.62
坦桑尼亚	31.34
肯尼亚	29.72
菲律宾	26.81

*本表格不包括报告期内卡巴斯基移动解决计划用户数目少于2.5万的国家/地区

**该国家/地区所有卡巴斯基移动用户中遭受攻击的比例

伊朗（44.24％）和孟加拉国（42.98％）继续在前十名中坚持领先位置，但伊朗的份额大幅下跌了13个百分点。同2017年一样，2018年伊朗撒播最普遍的恶意软件是Trojan.AndroidOS.Hiddapp家族。而在孟加拉国，2017年和2018年最常见的恶意软件是Ewind家族。

尼日利亚（37.72％）从2017年的第五名攀升至2018年的第三名；最常见的广告软件是Ocikq、Agent和MobiDash家族。

3.1 移动恶意软件的类型漫衍

尊龙凯时·(中国区)人生就是搏!

2017-2018年，移动威胁的类型漫衍

在2018年我们检测到的所有移动威胁中，勒索软件（1.12%）的时势是最为乐观的，它们的份额急剧下跌了8.67个百分点。特工软件（1.07%）的情形也差未几，它们的份额下跌了3.55个百分点。与2017年相比，广告软件（8.46%）的份额同样有所下降。

Dropper是一个显着的破例，其份额从8.63%险些翻倍，达17.21%。这种增添反应出犯法分子使用Dropper打包种种payload的嗜好：不管是银行木马，照旧勒索软件、广告软件，等等。这一趋势看起来将在2019年一连下去。

不幸的是，同Dropper一样，针对金融行业的银行木马威胁也险些翻了一番 – 从1.54％增添至2.84％。

令人惊讶的是，SMS短信木马（6.20%）在前五名中挤得一席之地。这种即将消亡的威胁只在少数几个国家中肆虐，但其份额与2017年相比依旧有所增添。只管谈论这类威胁的重新崛起为时过早，但在您的移动装备上作废付费订阅仍然很有须要。

同2017年一样，2018年灰色软件依旧坚持活跃，它们不但再夺榜首（52.06%），其份额甚至略有增添。

移动恶意软件Top20

下表不包括任何潜在有害软件，例如灰色软件和广告软件。

Verdict（特征词）	%*
DangerousObject.Multi.Generic	68.28
Trojan.AndroidOS.Boogr.gsh	10.67
Trojan-Banker.AndroidOS.Asacub.a	6.55
Trojan-Banker.AndroidOS.Asacub.snt	5.19
Trojan-Dropper.AndroidOS.Hqwar.ba	3.78
Trojan-Dropper.AndroidOS.Lezok.p	3.06
Trojan-Banker.AndroidOS.Asacub.ce	2.98
Trojan-Dropper.AndroidOS.Hqwar.gen	2.96
Trojan-Banker.AndroidOS.Asacub.ci	2.95
Trojan-Banker.AndroidOS.Svpeng.q	2.87
Trojan-Dropper.AndroidOS.Hqwar.bb	2.77
Trojan-Banker.AndroidOS.Asacub.cg	2.31
Trojan.AndroidOS.Triada.dl	1.99
Trojan-Dropper.AndroidOS.Hqwar.i	1.84
Trojan-Dropper.AndroidOS.Piom.kc	1.61
Exploit.AndroidOS.Lotoor.be	1.39
Trojan.AndroidOS.Agent.rx	1.32
Trojan-Banker.AndroidOS.Agent.dq	1.31
Trojan-Dropper.AndroidOS.Lezok.b	1.22
Trojan.AndroidOS.Dvmap.a	1.14

*遭受该类型的恶意软件攻击的用户占所有遭受攻击的用户的比例

纵观2018年，移动恶意软件Top20中的榜首与前几年一样仍然是DangerousObject.Multi.Generic（68.28%）。

第二名是Trojan.AndroidOS.Boogr.gsh（10.67％）。

第三、第四、第七和第九名都被Trojan-Banker.AndroidOS.Asacub家族的成员所占有。该家族也是2018年的主要金融威胁之一。

第五和第八名是Dropper家族Trojan-Dropper.AndroidOS.Hqwar。该家族包括金融威胁及广告软件等多种差别的恶意软件。

老面目Trojan-Banker.AndroidOS.Svpeng.q（2.87%）也还在前十名中占有一席之地，该木马曾是2016年的最常见银行木马。该木马通过垂纶窗口窃取银行卡信息，还攻击SMS短信银行系统。

必需提到的是第13名Trojan.AndroidOS.Triada.dl（1.99%）和第20名Trojan.AndroidOS.Dvmap.a（1.44%），这两个木马使用超等用户的权限来实验恶意运动，因此极为危险。详细来说，它们将组件安排在用户只具有读权限的系统区域，使得自己无法被通例系统工具删除。

3.2 移动银行木马

2018年，我们共检测到151,359个移动银行木马的装置包，是2017年的1.6倍。

尊龙凯时·(中国区)人生就是搏!

2018年卡巴斯基检测到的移动银行木马装置包数目

在监测移动银行木马的运动时，我们发明这类恶意软件攻击数目上泛起了一个重大的奔腾。这种增添在以前历来没有泛起过。增添起始于2018年5月，并在9月抵达巅峰。罪魁罪魁是Asacub和Hqwar家族，这两个家族的成员以创纪录的频率举行撒播。

尊龙凯时·(中国区)人生就是搏!

2017-2018年移动银行木马的攻击数目

尊龙凯时·(中国区)人生就是搏!

2018年遭受移动银行木马攻击的用户地理漫衍

遭受移动银行木马攻击的用户比例最高的国家/地区Top10

国家/地区*	%**
俄罗斯	2.32
南非	1.27
美国	0.82
澳大利亚	0.71
亚美尼亚	0.51
波兰	0.46
摩尔多瓦	0.44
吉尔吉斯斯坦	0.43
阿塞拜疆	0.43
格鲁吉亚	0.42

*本表格不包括报告期内卡巴斯基移动解决计划用户数目少于2.5万的国家/地区

**该国家/地区所有卡巴斯基移动用户中遭受银行木马攻击的用户比例

与2017年一样，第一名照旧俄罗斯，该国家2.32%的移动用户遭到银行木马攻击。最常见的家族是Asacub、Svpeng和Agent。

第二名是南非（1.27％），该国家最为活跃的银行木马家族是Agent。美国用户（0.82％）最常遇到的则是Svpeng和Asacub家族的成员。

总体来说，2018年最常见的移动银行木马家族是Asacub，在所有遭受银行木马攻击的移动用户中，62.5%的用户遇到的是该家族的成员。

3.3 移动勒索软件

不思量通过Dropper或Downloader撒播的勒索软件，移动勒索软件的攻击数目在2018年Q1泛起了大幅下降。缘故原由是犯法分子现在普遍使用两阶段攻击，通过Dropper来分发这些恶意程序。2018年整年我们共检测到60,176个勒索软件装置包，比2017年镌汰了9倍。

尊龙凯时·(中国区)人生就是搏!

2018年卡巴斯基检测到的移动勒索软件装置包的数目

2018年上半年移动勒索软件的攻击数目呈下降趋势，但到了6月份泛起了一个急剧增添，约增添至3.5倍。

尊龙凯时·(中国区)人生就是搏!

2017-2018年，移动勒索软件的攻击数目

2018年，卡巴斯基实验室的产品共为150个国家的80,638位用户提供了移动勒索软件防护。

尊龙凯时·(中国区)人生就是搏!

2018年，遭受移动勒索软件攻击的用户地理漫衍

遭受移动勒索软件攻击的用户比例最高的国家/地区Top10

国家/地区*	%**
美国	1.42
哈萨克斯坦	0.53
意大利	0.50
波兰	0.49
比利时	0.37
爱尔兰	0.36
澳大利亚	0.28
罗马尼亚	0.27
德国	0.26
瑞士	0.22

*本表格不包括报告期内卡巴斯基移动解决计划用户数目少于2.5万的国家/地区

**该国家/地区所有卡巴斯基移动用户中遭受移动勒索软件攻击的用户比例

美国一连第二年排名榜首，1.42%的用户遭到攻击。与2017年一样，2018年最常见的勒索软件家族是Trojan-Ransom.AndroidOS.Svpeng 。

第二名是哈萨克斯坦（0.53%），该国家最活跃的勒索软件家族是Trojan-Ransom.AndroidOS.Small和Trojan-Ransom.AndroidOS.Rkor。后者与其它勒索软件不太一样，它会向受害者展示一张不雅图片，然后指责受害者查阅不法内容。

事实上，正如它的忠言信息宣称的那样，该木马不会网络任何小我私家数据或中止装备的运行，但要从受熏染的装备删除它也禁止易。

四、结论

七年来，移动威胁一直演变，不但是在新变种的数目和手艺上一直生长，并且有更多的方法从移动装备中获取经济利益及高价值信息。2018年的数据批注，某些恶意软件会在一段清静期事后迎来爆发，2018年的例子是银行木马家族Asacub，而2019年或许是勒索软件的抨击浪潮。

声明：本报告中的统计数据泉源于卡巴斯基的移动清静解决计划（Android版手机杀毒软件及其它），因此与2017年同期统计的数据可能有所差别。由于卡巴斯基产品的使用率及笼罩规模的增添，这些统计数据越发可靠，也增强了对威胁景观的洞察。总的来说，我们在统计数据时使用的产品越多，我们对移动威胁景观的洞察也就越准确。

原文链接：https://securelist.com/mobile-malware-evolution-2018/89689/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

【报告分享】卡巴斯基年度报告系列（一）-2018年移动威胁景观

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线