2023年度移动设备威胁态势盘点
点击蓝字
关注我们
2023年移动端新增威胁数据
· 新增移动恶意样本362,343例
· 新增手机银行木马9,686例
· 新增移动间谍木马111,880例
2023年移动端攻击活动主要趋势
· 移动恶意木马家族移动恶意软件类型整体呈活跃下降趋势
· 移动端恶意软件依旧以“资费消耗”和“流氓行为”为主,二者合计占比超75%
· 移动端活跃恶意木马 Trojan/Android.Dropper.fo 最为突出,多通过恶意子包进行恶意活动,造成资费消耗
· 活跃手机银行木马主要为Cerberus木马以及GBanker家族多个变种
· 移动间谍软件中多个商业间谍木马持续高频活跃
· 国内受害终端主要集中在我国中东部及沿海地区
一、常见恶意软件活跃情况
2023年新增移动恶意样本总量为362,343例,以下将分析全年各季度增量变化情况。
各季度新增移动恶意样本检出情况如下图:
全年各季度移动端新增恶意样本量整体呈现短暂上升后直线下降趋势,新增样本数量在第2季度达到了峰值,随后在下半年急速递减。对比1季度与4季度,可以看出年末整体新增恶意样本量相较年初降幅超过50%。
安天Avl威胁情报中心对移动端活跃的恶意软件进行跟踪,移动端恶意软件主要分为8大类:资费消耗、流氓行为、隐私窃取、系统破坏、诱骗欺诈、恶意扣费、远程控制、恶意传播。
移动端常见恶意软件类型活跃占比情况如下图:
通过分析2023全年捕获到的移动恶意样本,移动端恶意软件依旧以“资费消耗”和“流氓行为”为主,占比高达41.89%和37.54%,当前国内移动恶意软件流行趋势以窃取用户资金为导向。
其次“隐私窃取”“诱骗欺诈”“系统破坏”三类木马家族较为流行,分别占比10.07%、4.35%和4.29%,余下三类“恶意扣费”、“远程控制”和“恶意传播”类的恶意软件则占比极少。
移动恶意软件类型整体活跃趋势如下图:
全年移动恶意软件类型整体呈活跃下降趋势,第3季度有一个短暂的回升,随后在第4季度继续加速减少。国内移动端恶意木马整体影响终端数量下降应与国内网络安全整治相关。
移动端活跃木马家族TOP10如下图:
2023全年移动端活跃恶意木马 Trojan/Android.Dropper.fo最为突出,占比40.98%,该木马主要功能为下载和传播恶意子包,通过恶意子包进行恶意活动,给用户造成资费消耗。
TOP10榜单中余下各木马家族则分布较缓,绝大部分木马家族都会造成用户“资费消耗”,该特征恰好印证全年最活跃的恶意软件类型。各木马家族具体特征及恶意功能如下:
Trojan/Android.GSmsPay.cf(11.1%),GSmsPay.cf内含恶意支付模块,在运行时会监听拦截短信,发送付费短信,给用户造成资费消耗。
Trojan/Android.MTCrackApp.a(10.49%)是指被攻击者使用MT管理器进行破解、重打包之后的非官方应用,通常会植入广告或恶意代码,给用户带来未知风险和资费消耗。
Trojan/Android.GFakeApp.db(6.96%)会伪装成系统应用,运行后隐藏图标,包含风险代码,并且私自下载造成用户资费消耗。
Trojan/Android.FakeInst.h(6.63%)伪装成其他应用的安装程序,运行后推送广告,在后台私自发送大量扣费短信,造成用户资费消耗。
Trojan/Android.Dropper.fr(6.01%)是一款视频播放器应用,运行时下载并加载未知子包,可能会造成用户资费消耗。
Trojan/Android.Jxt.a(4.89%)会检测杀软环境,运行时联网上传用户已安装程序列表、手机固件等信息,解析返回值,执行私发短信、删除回执短信并自动回复的操作。此外,还会联网推送其他应用,给用户带来经济损失。
Trojan/Android.FakeInst.ac(4.78%)作为FakeInst家族的另一变种,它的功能和FakeInst.h类似,首先会伪装成其他应用的安装程序,安装运行后发送扣费短信,然后下载正常应用,部分样本会在桌面创建某搜索引擎快捷方式。
Trojan/Android.vplayer.c(4.19%)主要发现在色情类应用中,运行时诱导用户安装恶意子包,联网上传手机信息获取指令和子包下载网址,根据指令发送付费短信,给用户造成资费损失。
Trojan/Android.sysService.a (3.96%)诱导用户点击视频,在后台私自定制扣费业务,并上传用户设备信息等到服务器,此外会释放恶意子包,造成用户资费损失,影响手机系统稳定。
二、活跃手机银行木马
移动端银行木马家族TOP10如下图:
2023年活跃手机银行木马病毒家族TOP10中,GBanker家族占比极高,该家族木马高度活跃且变种细分较多,具备隐藏图标、启用钓鱼页面以及利用TGbot上传数据等恶意功能,主要以窃取用户资金为目的大量窃取用户短信、通讯录等隐私数据,与此同时会造成用户资费消耗,对于普通用户而言具备极高危害性。
Trojan/Android.GBanker.gx(30.22%)又名Coper家族,多伪装成Google Play 商店、Chrome浏览器,一旦安装就会释放 Coper 恶意软件,拦截和发送 SMS 文本消息,使 USSD(非结构化补充服务数据)请求发送消息、键盘记录、锁定/解锁设备屏幕、执行过度攻击和防止卸载。攻击者通过 C2 服务器远程控制并访问受感染设备,使其执行下发的命令,利用获取到的信息窃取受害者钱财。
Trojan/Android.SharkBot.a(16.40%) SharkBot是在2021年10月被发现的Android银行恶意软件,通常伪装成正常应用,运行后隐藏图标,连接至僵尸网络,引诱用户启用辅助服务,联网获取指令执行拦截短信、卸载应用、利用辅助服务窃取信息等,2022年3月团队发现SharkBot更新后样本会在使用时下载一个恶意模块,用于执行ATS(自动转账)等恶意功能。
Trojan/Android.Cerberus.a(11.62%)该家族是一款臭名昭著的银行木马,最早出现于2019年6月,运行激活设备管理器,隐藏图标,监听用户的短信、通知栏信息,接收远程指令,窃取通讯录、日志、短信等信息并联网上传,私自发送短信,访问未知页面,造成用户的资费消耗和隐私泄露。
Trojan/Android.GBanker.hs(8.91%)伪装成银行应用,运行后启动钓鱼界面诱导用户输入银行账户相关信息并上传至服务器,接收服务器指令,执行获取短信、发送短信、拨打电话、发送通知栏消息等功能。
Trojan/Android.GBanker.ih(7.99%)为2023年团队新发现归属于GBanker家族新变种,伪装成正常应用,运行隐藏图标,私自窃取短信消息、通知栏消息、固件信息等隐私信息,包含发送短信、卸载应用等功能,利用无障碍服务激活设备管理器、窃取社交应用账号密码。
Trojan/Android.GBanker.hl(7.70%)仿冒银行应用,窃取短信、设备信息、地理位置等,主要采用telegrambot上传用户短信信息和隐私数据。
Trojan/Android.GBanker.gz(5.12%)通常伪装成正常应用,运行后隐藏图标,诱导用户激活无障碍服务和设备管理器,加载未知子包,窃取短信息、通讯录等隐私信息,还能发送短信至指定号码,导致用户隐私泄露和资费消耗。
Trojan/Android.GBanker.dn(4.50%)该家族应用运行后隐藏图标,诱导用户激活设备管理器或修改系统设置,窃取位置信息,拦截窃取短信,造成用户隐私泄露。
Trojan/Android.GBanker.ic(3.83%)该银行木马家族多使用了加壳保护,脱壳后的dex多检出为GBanker.gx家族,代码进行了混淆保护,类名多为p0+数字+字符,同时存在一个fddo包。
Trojan/Android.GBanker.ga(3.71%)同样会伪装成正常应用,运行后隐藏图标,请求激活设备管理器,上传用户手机固件、联系人、短信、彩信、通话录音、程序安装列表等隐私信息。还会判断是否存在指定银行app包名,同时存在私发短信、修改手机设置、拨打电话、设置置顶虚假界面等高危行为,造成用户隐私泄露和资费损耗。
三、活跃移动间谍木马
移动端间谍木马家族TOP10如下图:
全年活跃移动间谍木马较为突出的为TOP3的木马家族,前三占比超过50%,其中排名首位的SpyCamcorder是一款功能强大的商业间谍木马,榜单中的活跃的间谍木马除大量窃取用户隐私信息外,多带有资费消耗属性。
Trojan/Android.SpyCamcorder.a(28.51%)适用于 Android、iOS 和任何移动设备,恶意功能主要为静默拍照或者摄像、联网上传隐私、隐藏应用程序和自毁等。
Trojan/Android.BankerSpy.d(16.29%)该家族样本会伪装安全防护类软件,运行后拦截用户短信,上传用户短信箱、联系人、手机基本信息、银行相关隐私信息,造成用户隐私泄露。
Trojan/Android.SmsSpy.gd(10.58%)运行后隐藏图标,接收服务器指令并执行,可以拦截并窃取用户短信信息,窃取用户通讯录,发送短信至指定号码,造成用户隐私泄露和资费消耗。
Trojan/Android.spymax.i(9.15%)Spymax是恶名昭著的商业间谍木马,具有强大的隐匿功能,主要通过动态从服务器获取加载恶意代码来执行其恶意行为。
Trojan/Android.spymax.d(8.38%)Spymax另一变种,运行后隐藏图标,联网私自下载恶意间谍子包,窃取用户地理位置、wifi信息、私自拍照、录像,造成用户隐私泄露。
Trojan/Android.Fonobospy.a(6.87%)该家族样本会伪装成系统应用,安装后隐藏图标,后台上传用户位置信息、通讯录、通话记录以及短信记录等,可能会加载广告,造成用户隐私泄露和流量资费消耗。
Trojan/Android.GSpy.hr(6.09%)对受控设备进行远程控制,远控指令包含上传短信、联系人、通话记录、剪切板数据、安装应用列表、指定文件等隐私信息,造成用户隐私泄露。
Trojan/Android.Teardroid.a(4.91%)远控间谍软件Teardroid,运行请求激活设备管理器,接受远控指令,获取用户通话记录、短信、地理位置、联系人、已安装应用列表、sd卡文件目录、运行中的服务等隐私信息,执行发短信、拨号、上传文件、运行shell命令等操作。
Trojan/Android.BankerSpy.h(4.77%)伪装成正常应用,运行诱导激活设备管理器,隐藏图标,联网获取指令,上传用户信箱、联系人、安装列表、设备固件信息等隐私,私发短信、开启指定应用进行推送。
Trojan/Android.BqSpy.r(4.46%)伪装成系统应用,激活设备管理器并自动隐藏图标。后台监听、拦截、删除和转发短信。获取用户通话录音、通话记录、通讯录、短信阅读记录并通过邮件发送。
四、国内受害区域分布情况
移动端攻击活动国内受害区域分布占比如下图:
2023年国内受害区域分布占比前10的省份几乎无变化,移动端受害终端主要集中在国内中东部及沿海省份,尤其是东部区域:广东、河南、江苏、山东、浙江,其次受害较多区域为中西部人口较多地区。
各季度国内移动受害终端检出情况如下图:
国内移动受害终端检出量整体呈现上半年小幅增长,第4季度显著降低的情况,2季度环比增量为23.72%,4季度则环比下降44.87%。
“
推荐阅读
/////
关于安天移动安全
武汉安天信息技术有限责任公司(简称安天移动安全)成立于 2010 年,是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎,在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖,实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累,公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作,为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航,已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命,通过自主创新国际领先的安全核心技术,与产业链各方共同打造操作系统内生安全的绿色生态链,为新时代用户打造国民级安全产品,在万物互联时代营造更安全和可持续的全场景健康数字体验。
关于安天移动威胁情报团队
安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究,由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年,成功通过基于安天移动样本大数据的APT特马风控预警运营体系,持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动,并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究,以安全普惠为核心价值观,建设一支召之即来,来之能战,战之必胜的顶尖网络安全团队,并将长久且坚定地维护移动网络世界安全。
