点击蓝字
关注我们
11月移动端新增威胁数据
· 新增移动恶意样本10,822例
· 新增手机银行木马308例
· 新增移动间谍木马1,688例
11月移动端攻击活动主要趋势
· 8大类移动恶意软件类型整体呈波动下降趋势,“恶意扣费”类负增长最为突出
· 活跃手机银行木马主要为Cerberus木马以及GBanker家族多个变种
· 移动间谍软件中多个商业间谍木马持续高频活跃
· 国内各省感染终端量环比下降均值为5.23%
· 本月移动端恶意木马整体活跃减弱,Dropper家族影响终端量环比下降尤为明显
一、常见恶意软件活跃情况
安天Avl威胁情报中心每月会对移动端活跃的恶意软件进行跟踪,移动端恶意软件主要分为8大类:资费消耗、流氓行为、隐私窃取、系统破坏、诱骗欺诈、恶意扣费、远程控制、恶意传播。
月度移动端常见恶意软件类型活跃趋势对比如下图:
本月移动端恶意软件整体呈波动下降趋势,其中5类恶意类型感染终端量皆出现了负增长,“恶意扣费”、“远程控制”以及“系统破坏”类终端量下降更为明显,分别环比下降58.38%、35.24%和27.02%。
排名前4的恶意软件类型中有3类环比小幅增长,分别为“流氓行为”+3.61%、“资费消耗”+0.38%和“诱骗欺诈”+13.38%。
本月移动端活跃恶意木马家族TOP10如下图:
本月移动恶意木马家族排行依旧变化不大,TOP10中新出现了一个恶意木马 Trojan/Android.Nakedchat.dv
(1.36%),该家族程序多伪装成正常应用,运行后可能会窃取联系人、设备信息等用,造成用户隐私泄露和资费消耗。
分析发现,本月排名靠前的Dropper家族影响终端量环比下降尤为明显,分别为:
Trojan/Android.Dropper.fo
(63.30%)已连续三月活跃排行Top1,该家族活跃恶意应用多为色情应用,木马主要功能为下载和传播恶意子包,通过恶意子包进行恶意活动,从而给用户造成资费消耗。
Trojan/Android.Dropper.fr
(4.55%)是一款视频播放器应用,运行时下载并加载未知子包,可能会造成用户资费消耗。
Trojan/Android.Dropper.fm
(2.05%)该家族多为无实际功能的应用,运行后私自下载其他子包插件,可能会造成用户资费消耗。
其余较为活跃的移动恶意木马为:
Trojan/Android.MTCrackApp.a
(17.70%)本月排名Top2,是指被攻击者使用MT管理器进行了破解、重打包之后的非官方应用,通常会植入一些广告或恶意代码,这类应用会给用户带来未知风险和资费消耗。
Trojan/Android.Locker.cj
(4.95%)通常伪装成游戏辅助类应用,运行置顶勒索界面,要求用户付费解锁,影响用户手机的正常使用。
Trojan/Android.jmelon.b
(2.22%)伪装成计算器相关的恶意样本,主要功能为联网上传设备固件信息和安装应用列表信息,以及后台推送广告。
Trojan/Android.GLocker.u
(1.33%)该家族应用为勒索软件,会请求激活设备管理器,强制置顶界面,造成用户手机无法正常使用。
Trojan/Android.kinkin.a
(1.27%)该家族应用运行以领取道具名义诱导用户点击付费,且设置付费字体颜色不明显,造成用户资费损耗。
Trojan/Android.MalCrypt.y
(1.27%)该家族应用通常使用NPStringFog5混淆模块加固保护,疑似为恶意应用。
二、活跃手机银行木马
本月移动端银行木马家族TOP5如下图:
本月移动端银行木马Top5排名略有变化。排名首位的为 Trojan/Android.GBanker.gz
(35.71%),通常伪装成正常应用,运行后隐藏图标,诱导用户激活无障碍服务和设备管理器,加载未知子包,窃取短信息、通讯录等隐私信息,还能发送短信至指定号码,导致用户隐私泄露和资费消耗。
Trojan/Android.GBanker.dn
(25.00%)该家族应用运行后隐藏图标,诱导用户激活设备管理器或修改系统设置,窃取位置信息,拦截窃取短信,造成用户隐私泄露。
Trojan/Android.Cerberus.a
(17.86%)该家族是一款臭名昭著的银行木马,最早出现于2019年6月,运行激活设备管理器,隐藏图标,监听用户的短信、通知栏信息,接收远程指令,窃取通讯录、日志、短信等信息并联网上传,私自发送短信,访问未知页面,造成用户的资费消耗和隐私泄露。
Trojan/Android.GBanker.bz
(10.71%)伪装成其他应用,程序运行会请求激活设备管理器,监听短信,窃取用户短信、银行账号密码等隐私信息,造成用户隐私泄露和资费消耗。
Trojan/Android.GBanker.bq
(10.71%)该家族应用运行隐藏图标,诱导激活设备管理器,联网获取配置信息,发送并拦截指定短信,同时还会跳转虚假钓鱼界面,诱导用户输入银行账户相关信息,造成用户财产损失。
三、活跃移动间谍木马
11月间谍木马家族活跃趋势如下图:
本月活跃间谍木马Top1依旧为 Trojan/Android.SpyCamcorder.a
,占比46.64%,环比上月活跃减弱,该家族为商业间谍木马,恶意功能主要为静默拍照或摄像,并联网上传隐私。
Trojan/Android.BankerSpy.d
本月占比29.99%,样本会伪装成安全防护类软件,运行后拦截用户短信,上传用户短信箱、联系人、手机基本信息、银行相关隐私信息,造成用户隐私泄露。
Trojan/Android.spymax.d
同样是一款间谍软件,本月占比11.05%,较上月活跃减弱,该家族样本运行后隐藏图标,联网私自下载恶意间谍子包,窃取用户地理位置、wifi信息、私自拍照、录像,造成用户隐私泄露。
Trojan/Android.Fonobospy.a
(8.67%),样本会伪装成系统应用,安装后隐藏图标,后台上传用户位置信息、通讯录、通话记录以及短信记录等,可能会加载广告,造成用户隐私泄露和流量资费消耗。
Trojan/Android.spymax.i
(3.64%)是Spymax家族的另一个变种,主要通过动态从服务器获取加载恶意代码来执行其恶意行为。
四、国内受害区域分布情况
移动端攻击活动国内受害区域分布趋势如下图:
国内受害终端区域分布连续4月整体呈负增长趋势,本月下降趋势减缓,均值为-5.23%。其中湖南、湖北和河南相较其他省份,本月受害终端数量下降更为明显。
▼▼▼
“
推荐阅读
/////
关于安天移动安全
武汉安天信息技术有限责任公司(简称安天移动安全)成立于 2010 年,是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎,在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖,实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累,公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作,为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航,已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命,通过自主创新国际领先的安全核心技术,与产业链各方共同打造操作系统内生安全的绿色生态链,为新时代用户打造国民级安全产品,在万物互联时代营造更安全和可持续的全场景健康数字体验。
关于安天移动威胁情报团队
安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究,由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年,成功通过基于安天移动样本大数据的APT特马风控预警运营体系,持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动,并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究,以安全普惠为核心价值观,建设一支召之即来,来之能战,战之必胜的顶尖网络安全团队,并将长久且坚定地维护移动网络世界安全。