蓝点网
给你感兴趣的内容!

2014 年年度 Android 恶意代码发展报告

一、摘要

  • 2014 年,Android 恶意代码出现两个传播高峰:第一个高峰出现在 3、4、5 月,当时国内某知名应用市场出现了大量捆绑木马,另一个高峰是由于 12 月爆发了大量恶意色情应用。
  • 2014 年,Android 恶意代码的主要行为依然是恶意扣费。由于短信拦截木马的爆发,导致隐私窃取类恶意代码数量增长明显。
  • 2014 年,Android 恶意代码利用各种技术手段躲避手机安全软件的查杀。
  • 2014 年,大量广告应用被植入恶意代码,主要用于窃取用户重要隐私信息、推送其他恶意应用等,严重侵犯用户利益。
  • 2014 年,恶意代码紧盯手机用户的网银支付账号密码,手机支付类病毒越来越多。网银信息泄露会给用户造成无法估量的经济损失。
  • 2014 年,短信拦截木马大面积爆发。攻击者通过伪基站传播钓鱼网站,诱导用户安装短信拦截马。该木马主要用于窃取用户银行卡信息,最终实现资金窃取。
  • 2014 年,恶意色情应用利用其诱惑性引诱用户下载,安装后会在后台不断推送恶意应用,消耗手机流量、非法赚取推广费用甚至发送扣费短信,会给用户造成严重经济损失。

二、Android 恶意代码数量情况

1 总量变化趋势

AVL 移动安全团队统计 2014 年移动恶意代码数据时发现:本年度 Android 恶意代码总量已增至 123 万。

从历年恶意代码总量的发展趋势来看(如图 1),2014 年 Android 恶意代码总量的增长幅度没有延续去年猛增的势头,而是突然开始趋近平缓。

Android 恶意代码的传播速度真的减缓了吗?

2014年年度Android恶意代码发展报告 [来源:蓝点网 地址:http://www.landiannews.com]

图 1 Android 恶意代码数量变化情况

2014 年,Android 恶意代码的传播速度真的减缓了吗?

分类统计 Android 恶意代码后发现,近两年 FakeInst 家族恶意代码数量在全年恶意代码总量中比重较大(如图 2 所示)。

2013 年,FakeInst 家族恶意代码数量占全年总量的 43%。到 2014 年,该比例降到 22%,这在一定程度上影响了 Android 恶意代码全年总量的变化趋势。

2014年年度Android恶意代码发展报告 [来源:蓝点网 地址:http://www.landiannews.com]

图 2 FakeInst 家族恶意代码占总量比例情况

因此,为减少该家族恶意代码数量对总量趋势变化的影响,除去 FakeInst 家族后统计历年 Android 恶意代码数量(如图 3),我们看到 2014 年 Android 恶意代码数量依然保持高速增长,增幅并没有减缓的趋势。

2014年年度Android恶意代码发展报告 [来源:蓝点网 地址:http://www.landiannews.com]

图 3 历年 Android 恶意代码数量变化情况(除 FakeInst 家族)

2 每月数量变化情况

统计近两年每月 Android 恶意代码数量时发现:每年 1、2 月的恶意代码传播量均处于低峰;

2013 年恶意代码传播高峰出现在 7、8 月,因为当时出现大量利用 MasterKey 漏洞的恶意代码;

2014 年恶意代码传播出现了两个高峰:

第一个高峰出现在 3、4、5 月,当时国内某知名应用市场出现了大量捆绑木马,另一个高峰是由于 12 月爆发了大量恶意色情应用。

2014年年度Android恶意代码发展报告 [来源:蓝点网 地址:http://www.landiannews.com]

图 4 每月恶意代码数量变化情况

三、 Android 恶意代码详情分析

1 恶意代码家族 Top10

统计 2014 年所有恶意代码家族,可以发现恶意代码数量最多的依然是 FakeInst 家族,数量超过 27 万。

相比于 2013 年,减少了近 14 万。从地理位置上来看,该家族恶意代码主要存在于俄罗斯,世界其他地方同样也存在样本。

图 5 展示了 2014 年 Android 恶意代码家族 Top10 及传播情况。

2014年年度Android恶意代码发展报告 [来源:蓝点网 地址:http://www.landiannews.com]

图 5 Android 恶意代码家族 Top10

2 伪装应用名称 Top10

恶意代码往往通过伪装成其他应用,诱导用户下载安装。

统计 2014 全年恶意软件伪装的应用名称后发现,大多都是极具诱惑力的色情应用名称,因此建议用户不要被低俗内容所诱惑,不要轻易访问自己不熟悉的视频网站。

图 6 展示了 2014 年恶意软件伪装名称 Top10。

2014年年度Android恶意代码发展报告 [来源:蓝点网 地址:http://www.landiannews.com]

图 6 恶意软件伪装名称 Top10

3 恶意行为类型分布

恶意扣费依然是 Android 恶意代码的主要行为,体现出恶意代码的趋利性。

2014 年,由于短信拦截木马的大规模爆发,导致隐私窃取类的恶意代码数量增长明显。

攻击者通过窃取用户银行账户、密码等重要隐私信息,最终给用户造成资金损失。

因此 AVL 移动安全团队建议用户,不要随意点击短信、QQ、微信等聊天工具中发来的链接。

2014年年度Android恶意代码发展报告 [来源:蓝点网 地址:http://www.landiannews.com]

图 7 恶意代码行为类型比例情况

4 典型恶意行为特征

2014 年,Android 恶意代码出现很多新的恶意行为,其中较为典型的恶意行为如下:

  • 通过疯狂截图来获取聊天信息、短信内容等,以窃取用户隐私信息;
  • 利用手机僵尸网络“挖矿”——CoinKrypt 家族木马;
  • 通过手机架设 Web 服务器,窃取用户隐私,反向链接的行为更加隐蔽——Gandspy 家族木马;
  • 将移动设备加密锁屏后,对用户进行勒索——simplelock 家族;
  • 伪造关机,实际上在后台窃听——shutdownhack 家族木马;
  • 恶意刷 Google Play 榜的“刷榜客”僵尸木马;
  • XX 神器爆发后,短信蠕虫泛滥。

四、 Android 恶意代码技术新趋势

1 Rootkit 和 Bootkit 攻击技术

2014 年,采用 Rootkit 攻击技术的木马有:长老木马、PoisonCake 家族等;Android 平台上首个采用 Bootkit 技术的木马:Oldboot(中文名:不死木马)。

这些木马虽然目前只能通过 ROM 植入方式来传播,需要 Root 权限才能查杀。

但是移动安全厂商也不可掉以轻心,需要努力建立更为强大移动恶意代码对抗方案。

2 编程语言多样化

Android 应用支持多种开发语言,除常规的 Java 与 C/++,还有易语言、VB、C#、HTML5 等。

2014 年开始捕获到使用易语言和 C#开发的恶意应用,其中易语言开发的恶意代码应用已超过 200 余个。

3 恶意软件加壳技术

2014 年,更多恶意软件采用加壳技术躲避安全软件的查杀。2013 年到 2014 年仅一年时间,加壳恶意软件数量就增长了约 18 倍(如图 8 所示)。

2014年年度Android恶意代码发展报告 [来源:蓝点网 地址:http://www.landiannews.com]

图 8 加壳恶意软件数量增长趋势

到目前为止,AVL 移动安全团队共发现 20 余种 Android 应用加壳方案。

图 9 中统计了被恶意软件使用最多的十大加壳方案。

2014年年度Android恶意代码发展报告 [来源:蓝点网 地址:http://www.landiannews.com]

图 9 恶意软件加壳技术 Top10

值得注意的是,使用 DexProtect 和 apkprotect 加壳技术的恶意软件占比极高(如图 10 所示),很可能是专门为恶意代码开发的加壳方案。

2014年年度Android恶意代码发展报告 [来源:蓝点网 地址:http://www.landiannews.com]

图 10 使用加壳技术的恶意软件比例情况

五、典型恶意软件发展现状

1 恶意广告应用愈加火热

据 AVL 移动安全团队统计数字表明,近两年恶意广告数量增幅较大(如图 11 所示)。

用户每安装三个 APP,其中至少有一个包含了广告。

2014年年度Android恶意代码发展报告 [来源:蓝点网 地址:http://www.landiannews.com]

图 11 恶意广告 APP 数量变化趋势

从恶意行为来看,恶意广告件的趋利性更加明显。通过窃取重要隐私信息、频繁推送广告、静默下载安装其他应用、拦截短信等方式非法牟利。

2 手机支付软件暗藏风险

2014 年是移动购物强劲爆发的一年。各大网上商城的移动支付金额大幅增长。

移动支付业务的暴增,繁荣了移动支付市场,同时也引来了捆绑支付插件的恶意软件。

根据 AVL 移动安全团队统计数据表明,相比于 2013 年,2014 年被植入支付插件的恶意应用数量猛增近 8 倍。

图 12 展示了含支付插件的恶意应用的传播情况。

2014年年度Android恶意代码发展报告 [来源:蓝点网 地址:http://www.landiannews.com]

图 12 含恶意支付插件的应用数量情况

3 短信拦截木马盗取资金

2013 年 5 月,AVL 移动安全团队持续监测到了一类高活跃高危害的短信拦截类型木马,并在 2014 年 1 月开始大面积爆发。

到目前为止共捕获近 4 万余短信拦截木马。

图 13 为短信拦截木马每月数量情况。

2014年年度Android恶意代码发展报告 [来源:蓝点网 地址:http://www.landiannews.com]

图 13 短信拦截木马传播情况

目前比较常见的一种短信拦截木马行为是:

通过伪基站发送伪造钓鱼网站地址,用户访问钓鱼网站后,欺骗用户输入个人信息并诱导用户下载安装短信拦截木马,最后用户在线转账时通过拦截木马将网银验证码拦截转发到攻击者手机上,实现资金窃取。

图 14 展示了短信拦截木马的攻击模式。

2014年年度Android恶意代码发展报告 [来源:蓝点网 地址:http://www.landiannews.com]

图 14 短信拦截木马攻击模型

据统计,短信拦截木马一般会伪装成中国移动相关的应用名称,诱导用户下载安装。

当前伪基站只能针对 2G 网络,中国移动的 2G 用户基数最为庞大,因此短信拦截马主要是攻击使用中国移动 2G 网络的手机用户。

图 15 统计了短信拦截木马伪装应用名称 Top10。

2014年年度Android恶意代码发展报告 [来源:蓝点网 地址:http://www.landiannews.com]

图 15 拦截马伪装应用 Top10

4 恶意色情应用诱惑升级

2014 年,AVL 移动安全团队捕获色情应用超过 10 万个,其中恶意色情应用占比高达 65%。

图 16 展示了 2014 年每月捕获的色情应用及恶意色情应用的数量变化趋势,可以看出此类应用数量呈现出爆发式增长。

2014年年度Android恶意代码发展报告 [来源:蓝点网 地址:http://www.landiannews.com]

图 16 恶意色情应用捕获情况

恶意色情应用主要利用低俗内容引诱用户下载,安装后会在后台不断推送恶意应用,消耗手机流量、非法赚取推广费用甚至发送扣费短信,逐步形成一条通过恶意推广和恶意扣费进行非法牟利的灰色利益链。

2014年年度Android恶意代码发展报告 [来源:蓝点网 地址:http://www.landiannews.com]

图 17 恶意色情应用灰色利益链

六、 安全建议

面对愈加复杂的移动应用环境,AVL 移动安全团队建议广大用户:

  • 不要连接陌生的 Wifi,它们有可能是黑客设置的陷阱。
  • 切勿被低俗内容所诱惑,不要轻易访问自己不熟悉的视频网站;
  • 切勿随意点击短信、QQ、微信等聊天工具中发来的链接;
  • 在使用手机支付功能时,应清楚认识到手机支付过程中可能存在的安全威胁,并尽力避免风险。
  • 选用 AVL Pro 等手机安全软件定期为手机扫描体检,远离恶意应用威胁。

(via AVL TEAM

转载请注明来源于蓝点网及本文链接:蓝点网 » 2014 年年度 Android 恶意代码发展报告
分享到: (0)
以下评论内容由网友保留所有权,除非特别注明否则所有评论均不代表本站观点!

评论 2

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #2
    Unknown Unknown Unknown Unknown

    还是 wp 好 主要国内安卓不能用 google play 市场

    悠悠2年前 (2015-02-28)回复
  2. #1
    Unknown Unknown Unknown Unknown

    木头科学二百五2年前 (2015-02-27)回复