《全球移动安全趋势分析》

大家好，下面由我带来猎豹对于《全球移动安全趋势分析》的一些分享。

从上半年移动安全的特点来看，主要总结出以上三点：一是Android病毒数量仍然大幅度增长，从2011年Android迅速的普及以来，病毒数量随着普及的程度一直在处于增长的状态；二是支付类的病毒表现突出，影响遍布全球。这一点是从PC上面的网银向手机支付上普及一个比较吻合的点；三是以”心脏出血”漏洞为代表的漏洞攻击影响了多个平台。下面我就基于猎豹移动安全实验室的数据分析以及具体的案例，来给大家做一下分享。

截止到2014年5月，我们可以看到，从2012年开始到2014年第二季度整体的一个病毒的增长趋势，215万病毒的量是2014年全年的2.5倍，我们可以看出，2014年每一个季度都相当于2013年全年的病毒增长数量。从病毒样本来看，支付类的病毒占了整体病毒分类的84%，资费消耗类病毒占据第二位，达到了16%。这一点是和手机支付的迅速普及，和病毒作者利益相关的一些东西在增长趋势上是吻合的。目前可以说，从2014年以来，包括在未来的一段时间里，能够和用户财产相关的病毒会占据整体病毒很大的比重。

下面我们看一下全球病毒的感染趋势。这些颜色越深的区域就是表示这个地区整体的病毒用户的概率是比较高的，右侧是我们监测的范围内用户量比较小的，没有计算。从这个图上可以看到，亚洲的地区分布是比较多的。下面我们从大洲的情况来看，左边是亚洲，中间是欧洲，右边是美洲。从整体的中毒趋势来看，亚洲用户的中毒概率要大于欧洲，最后是大于美洲。亚洲中毒概率最高的是越南，其次是印度，再就是中国，占到2.45%，这个整体上是处于世界上中毒概率相对较高的水平。

我们再看一下欧洲地区的感染情况，整体欧洲排在第一的是法国，是2.97%，其次是俄罗斯。德国是相对比较安全的地区，它的用户的中毒概率只有0.66%。下面我们再来看一下美洲地区，美洲地区除了墨西哥，它的用户中毒概率达到1.02%。其他的地区用户中毒概率基本上都在0.6%以下。为什么每一个大洲都有用户概率的高低区别呢？经过猎豹安全实验室的分析，有一个显而易见的结论。86%的病毒都是来自于第三方用户市场，第三方用户市场的市场审查机制和Google上的审查是有差距的，这就导致了病毒在市场还是主要的渠道，和用户相关的占到整体病毒的76%。这76%当中，其中就可以分为诱导支付，就是诱导用户去填一些个人信息、帐号密码，导致用户财产损失的达到47%，其次是后台扣费类的病毒，比如自动定制一些移动的SP服务，达到19%。盗取支付信息的占了18%，其他的小额支付、银行诈骗类的也有一定的比例。

整体支付类的病毒可以看到，从2013年7月开始，每天我们可以监控到一天1500个左右和支付相关的病毒。到2014年2月份，支付类的病毒开始迅速的向上增加。截止到今年上半年6月份，支付类的病毒已经增长了4倍。中毒用户也是处于一个缓慢增长的状态，平均每月我们监控到有19万用户都是中了支付类相关的病毒。

从上半年全球支付类病毒的中毒地区看，它和整体刚才分析到各大洲的市场审查机制，包括用户的中毒概率是吻合的，像俄罗斯和部分西欧地区，以及南亚，越南部分地区，支付相关的病毒，用户的感染几率也是更高的，我们可以看一下具体的排名。排在越南的我们可以看到它的一个感染量，排在前三位的可以念一下。第一位的是越南，其次是俄罗斯，然后是马来西亚，其实病毒主要的传播渠道还是来自于应用市场。

下面我就结合今年上半年发生的具体的案例，包括热点病毒和大家做一下分享和交流。今年4月份报出的”心脏出血”漏洞大家都知道，不用再具体介绍了。据猎豹安全实验室监控发现，这个漏洞影响到了全球102个国家，涉及到的服务器达到了1100万台。整体上和银行支付相关的，包括邮箱和社交网站相关的网站基本上都受到了影响。这个漏洞会导致用户的帐号密码信息泄漏。当时我通过这个漏洞直接的看了一个比特币的网站，当时拿到了用户的帐号密码，可以看到这个用户有多少比特币，这个漏洞的影响还是相当大的。

在上半年eBay的数据泄漏影响了1.45亿的用户，在eBay的网站上公布，主要是泄漏了这些歇息，包括用户的登录帐号、邮件地址、联系地址、电话号码以及出生日期。携程网也在上半年的后半段发生了一个信息泄漏的事件，它的安全支付日志可以随机下载，导致用户信息泄漏。它泄漏的这些包括持卡人姓名、身份证、银行卡类别、卡号，包括背后的校验码和六位的码，这些信息都可以拿到支付网站上进行交易。这些漏洞可以看出它和病毒有一个区别，漏洞的爆发影响是爆炸式的，它的影响如果是一个级别很高的漏洞，基本上能影响到全球的用户，而且可以看携程网的例子，它能够直接的导致用户的财产损失。

我挑了几个上半年比较典型的病毒，具有代表性的和支付相关的”敲诈者病毒”、”宅急便病毒”，还有”顽固木码病毒”和”手机预装马病毒”。

“敲诈者病毒”最早在美国地区发现的，用户不小心下载了这个应用，点击运行以后，就会在你手机的全屏中弹出这么一个窗，告诉你被FBI监控到了，说你手机上所有信息都被加密了，用户如果按中间这个Home键，会退到桌面，每两秒这个界面又会再弹出来。这样的话，用户根本来不解卸载这个应用，这个界面又弹出来了，这样的话，就导致用户根本就无法使用这个手机了。对于一些小白用户来讲，唯一的途径就是交他的赎金了。整体的流程，这个截图大家可以看到，是海外的一个支付的页面，让用户去交他的300美金的赎金。病毒的流程可以分成四步，第一步会把用户SD卡相关的照片、文档等等都加密，第二步弹出窗口，强制用户付费，第三步判断用户是否付费成功，如果没有付费的话，就会一直弹出，如果判断用户付费的话到第四步就会卸载；面对敲诈者病毒，猎豹移动也出了相关的工具。

今年5月份在台湾地区爆发了一个”宅急便病毒”，这个病毒有几个特点，据我们监测，每天台湾地区的用户都会受到2万条的诈骗短信，如这个图上面所表达的，说先生，你的宅急便的快递通知单到了，请签收。这是一个短连接，用户点了之后会直接下载App。这是属于一个典型的病毒式传播，整体感染了台湾地区200万的用户，整体的中毒率达到了10%，据不太精确的数字，可能台湾地区整体的Android端移动用户群体在2千万。这个病毒整体的吸费金额达到了千万级别。这个病毒整体的特点可以给大家介绍一下，它的应用名字和图标都是伪装成Google服务的，普通用户进到设置，应用程序里，看到这样的图标是不敢强制卸载和解除的，这是它做了一个伪装。用户中了病毒以后，他会读取你的联系人，向你的每一个联系人去发送刚才如图那样的一个诈骗短信。有一个特点就是短信中会带联系人的名字，比如你叫某某某，你的快递到了，这样的话更具欺骗性。然后就是利用小额支付功能来盈利，下面有一个流程图大家可以参考，从三点钟位置受骗下载安装病毒开始，是整体的一个闭环的病毒式的传播。就是用户中了这个安装病毒以后，首先这个病毒作者就会利用受骗用户的电话进行购物。刚才提到小额支付是台湾地区手机用户和运营商之间有一个支付协议，它只需要通过手机收到的验证码，就可以完成这个支付功能。

其中关键的一步就是病毒拦截小额支付的短信认证码，把它转发到病毒作者的手机上，就可以完成支付了，下一步是做传播，就是病毒偷取用户的通讯录以后，利用用户的手机发送短信给朋友，所以这个是相当具有欺骗性的。对于一个受害者来说，他可能看到的是我的朋友或者我的同事给我发来这么一条短信。这个病毒正好是猎豹安全实验室在台湾地区做招聘，其中来面试的同事中，来了6个人，其中有3个人都收到过这样的短信。其实我们从抽样的数据来看，可以看到对于台湾地区的影响是巨大的。

下面提一下和对抗相关的”顽固木马系列病毒”，这是今年猎豹推的顽固木马专杀时做的一个解决方案。”顽固木马”每日有6千用户中招，防毒软件无法卸载，必须使用特殊的清楚逻辑。为什么防毒软件无法卸载呢？下面给大家介绍一下。这里面涉及到大概有三个类型的对抗方式，包括利用漏洞，还有就是在取消时进行干扰，还有就是在取消激活后强制激活，这是说的对于设备管理器。如果在设备管理器当中的应用是没有办法卸载的，首先要取消这个设备管理器。

下面会具体讲一下这个案例，病毒利用漏洞在激活成功后，不会显示在设备管理器的列表当中，这样的话，普通用户根本找不到取消设备管理器的途径，下一步就更无从谈卸载了。还有一种方式就是在取消设备管理器时进行干扰。其实对于大部分的杀毒软件来说，它是没有Root权限的，它卸载一个应用，或者取消设备管理器的时候，会弹出一个确认窗口。弹出这个确认窗口的时候，这个病毒应用就把这个对话框里面的描述改了，提示用户，如果你点击确认的话，就会导致所有的数据丢失，用户就不敢点了，只能点取消。

在取消设备管理器时做的对抗。在用户点取消设备管理器，点OK按钮的时候会给你锁屏，用户操作不成功。还有就是病毒作者监控到你要取消他的设备管理器的时候，会在整体手机页面上覆盖一个全屏的悬空窗，屏蔽所有的消息，这样的话用户只能重启手机，没有其他的解决方案。不断的调用激活页面，强制激活。如果用户监测到他自己不是设备管理器，他就不断的弹出确认窗口，让用户同意，直到用户妥协了未知。我们可以看一下整体”顽固木马系列病毒”在各地区的感染量，主要是在俄罗斯地区，达到了每天9千多。

“手机预装马病毒”比较有名，3·15的时候也公布这个事件。它就是出厂后，销售商往这个手机里面直接刷进去的病毒，是没有办法卸载的。如果用户没有Root权限是卸载不了的，更甚至有些是类似于和系统的一些进程做关联，一旦这个系统发现病毒被卸载以后会再释放出来。这种手机预装的病毒主要是为了恶意扣费，现在也有做恶意推广的，就是在后台会做一些推广。在中国生产的这些山寨的含毒的手机，据我们监控在全世界都有感染用户，说明中国制造的山寨手机已经卖到了全世界。手机中预装马这一类的病毒每日影响到的用户达到1.5万人，目前它的处理方案只能冻结，冻结就是说在系统页面点”强制停止”这个应用。

通过以上的数据和具体案例的分析，对我们有四点启示：第一Android下的黑色产业链越来越完善；第二山寨手机病毒已经形成了完整的利益链条，包括病毒的推广、钓鱼信息的收集，到最后的一些套现的每一步，都是有相关的团队具体的负责的；第三移动支付的普及将带来更多的安全风险，我们可以看到，从今年开始和手机支付相关的，和用户财产相关的病毒已经成倍增加；第四尤其对于国内来说，App市场的安全审查必须要更严格，对于大部分用户来说，他们手机上的应用来源主要是来自于各大应用市场，比如百度、腾讯等等。

对于对抗方面，对于我们安全厂商会有什么样的启示呢？加壳和混淆技术会被病毒普遍应用。其实从今年具体的病毒分析上来看，加壳和混淆的病毒应用越来越多。病毒将会加强云端的建设，恶意行为更隐蔽。现在越来越多的病毒都不是说你运行它就发作，它会和这个病毒的服务器去做网络连接，然后等待这个病毒作者去发指令，发对应的指令，然后这个病毒的客户端会表现出对应行为。所以这一方面，也是对安全厂商做动态分析的一个挑战。对于安全厂商来讲，他们对于我们来说是必须要加强这个动态分析技术和启发式的识别能力，来和越来越多的病毒做对抗。

以上就是我给大家的分享，谢谢大家！