前言
与2017年的报告相比,本次报告的统计数据来自卡巴斯基实验室的所有移动安全解决方案,而不仅仅是卡巴斯基Android版手机杀毒软件。这意味着,本次报告相比过去会有很多新的观察点。由于各种卡巴斯基实验室产品的普及率已经很大了,所以分析范围及其广泛,这使得统计基础的样本几乎遍布世界各地,对趋势的判断也愈加准确。
本次报告的统计数据
1、检测到恶意安装包5321142个;
2、151359个新的移动银行木马被检测到;
3、60176个新的移动勒索软件被检测到;
攻击趋势分析
2018年,移动设备用户面临有史以来最严重的网络攻击。在过去的一年里,分析人员观察到了许多新的移动设备攻击技术(例如DNS劫持)和使传播方案(例如SMS spam)的增加。总的来说,新的恶意软件的开发者的注意力都集中在了以下4点:
1. Dropper(Trojan-Dropper),旨在绕过检测;
2.通过移动设备攻击银行账户;
3.可被网络犯罪分子用来发起攻击的应用程序(RiskTool)
4.广告软件应用
2018年,分析人员发现了三次旨在监视受害者的移动APT活动,包括在社交网络上阅读信息。除了这些活动外,本报告还涉及了全年发生的移动威胁的所有重大事件。
Dropper技术的使用力度加大
在过去三年中,采用Dropper技术的木马已经成为专门从事移动恶意软件的网络犯罪分子的首选工具。Dropper技术经过简化,可以很容易的被各种团体创建、使用和销售。Dropper的开发者中可能会将其用于开发勒索软件、银行木马和显示广告的恶意应用程序。Dropper除了被用作隐藏原始恶意代码,还有其他功能:
1.绕过检测:Dropper对于绕过基于文件哈希的检测特别有效,因为它每次都会生成一个新的哈希,而与此同时,恶意软件内部的字节却不会改变。
2.允许创建任意数量的独特文件:例如,木马开发者在将他们的攻击平台伪装成虚假应用商店时就需要这样做。
虽然移动Dropper并不是什么新技术,但在2018年第一季度,分析人员看到使用该技术的恶意软件的数量急剧上升。其中最大的贡献来自Trojan-Dropper.AndroidOS.Piom家族。这种猛增的趋势一直持续到了第二季度,但增速相比第一季度要平稳得多。毫无疑问,未来的攻击趋势肯定是这样的,尚未使用Dropper的恶意软件要么创建自己的Dropper,要么购买现成的Dropper,这一趋势将影响到未来移动恶意软件的发展趋势。
银行木马的攻击势头引人注目
2018年有关移动银行木马攻击数量的统计数据引人注目,从年初的统计来看,无论是从发现的样本数量,还是从受到攻击的用户数量来看,这类威胁似乎已经稳定下来了。然而,到第二季度,情况就风云突变。分析人员检测到的移动银行木马数量和受到攻击的用户数量都创下了新纪录,虽然目前其背后的原因尚不清楚,但很大程度上和Asacub和Hqwar木马家族有关。Asacub早在2015年就被发现了,中间经过了多次迭代,它最初是从一个短信木马演变而来的,该木马从一开始就配备了一些绕过技术以及拦截来电和短信的功能。2017年中旬,Asacub已经上升为世界上最大的移动银行木马形式,在攻击数量上远远超过其他攻击形式的银行恶意软件,包括Svpeng和Faketoken。然而,2018年的银行木马不仅在规模上突飞猛进,在攻击机制上也值得关注。其中就是许多木马开始使用 Accessibility Services(易访问性服务)。这可能是未来新版Android的发展方向,新版Android使得攻击者在银行应用程序上覆盖钓鱼窗口变得越来越困难,且用户无法自行删除它。更重要的是,网络罪犯可以利用易访问性服务劫持一个完全合法的应用程序,迫使它启动一个银行应用程序,直接在受害者的设备上转账。除此之外,反检测技术也出现了,例如,Rotexy木马会检查它是否在沙箱中运行。然而,这并不是什么新的技术,因为分析人员以前就观察过这种行为。也就是说,需要注意的是,如果恶意软件开发者设法将他们的木马病毒渗透到流行的应用程序商店中,再结合混淆,反动态分析技术,在这种情况下,任何预防方案都是检测到它的。虽然沙箱检测不能说是网络犯罪分子的普遍做法,但趋势是明显的,我相信这种技术在不久的将来会变得非常复杂且普及。
广告软件和潜在的危险软件
2018年全年,这两类移动应用程序的安装包数量都是排在前三位的。造成这一现象的原因有很多,但其中最主要的原因是,广告软件和对广告商的攻击是网络犯罪分子相对安全的致富手段。这类攻击不会对移动设备所有者造成损害,除非在一些罕见的情况下,比如部署了具有root访问权限的广告软件应用程序而导致的设备过热被烧坏。更为可怕的是,因为广告是在随机时间和广告软件界面之外显示的,用户不知道哪个应用程序导致了这种可怕的后果。安装一个这样的恶意的广告应用程序,就会连带启动另外十几个类似的应用程序,将设备变成广告僵尸设备。最糟糕的情况是,新出现的广告软件将有一个带有漏洞的模块,允许它将自己写入系统目录或工厂设置回滚脚本。之后,恢复设备运行能力的唯一方法就是搜索固件的出厂版本并通过USB下载。
另外,每条广告被点击的次数越多,他们得到的钱就越多。最后,由于广告软件模块通常是在不考虑所传输数据的机密性的情况下进行编码,这意味着对广告商基础设施的请求可以在未加密的HTTP流量中发送,并包含有关受害者的任何隐私的信息,包括地理位置。
不过RiskTool软件的情况略有不同,该软件在2018年检测到的所有移动威胁中所占份额最大。 App内购买长期以来一直以来都备受诟病,该设备被绑定到一个与银行卡相连的账户上。所有流程对用户都是透明的,并且可以取消购买。例如,RiskTool类型的应用程序还具有一个选项,供用户购买游戏中的新关卡或漂亮女孩的照片,但付款对用户来说完全不透明。应用程序本身会在没有任何用户参与的情况下向特殊号码发送SMS,并收到RiskTool的确认消息。因此,应用程序知道成功付款并显示购买的内容。但是,所显示的内容仍由应用程序创建者自行决定。分析人员相信,广告软件和risktool类应用程序的泛滥肯定要在2019年大规模爆发。
移动挖矿软件的数量大幅增加
2018年,分析人员发现使用移动挖矿软件的攻击比过去增加了5倍。这种增长可归因于以下3个因素:
1.移动设备由于自带的越来越强大的图形处理器,使它们成为更有效的加密货币挖掘工具;
2.移动设备相对容易感染;
3.移动设备无处不在。
挖矿软件所产生的载荷很容易被设备所有者检测到,一旦后者怀疑有恶意活动,他们将采取措施。因此,网络犯罪分子正在部署新的大规模挖矿行动。
移动挖矿软件通常基于现成的跨平台恶意代码(例如,一个在Linux上运行良好的恶意代码),只需插入接收加密货币的钱包地址,并将有效载荷封装在一个具有最小图形界面的移动应用程序中,移动挖矿软件就可以通过各种垃圾邮件等典型的方式进行传播。
统计数据
在2018年,分析人员检测到5321142个恶意移动安装包,比去年减少409774个。尽管有所下降,但2018年使用恶意移动软件的攻击数量增加了一倍:1.165亿次(2017年为6640万次)。
受到攻击的用户数量也在继续上升。从2018年1月初到12月底,卡巴斯基实验室让9895774名安卓用户免受了攻击,比2017年增加了77.4万人。
受攻击用户地理分布如下:
受手机恶意软件攻击的用户(排名前十的国家):
*:在本报告所述期间,卡巴斯基实验室移动解决方案的活跃用户少于2.5万的国家被排除在该评级之外。
**:在该国受到攻击的用户占该国卡巴斯基实验室移动解决方案所有用户的百分比。
伊朗(44.24%)和孟加拉(42.98%)排在前两位,但在伊朗,受感染设备的比例显著下降了13个百分点。与2017年一样,伊朗最普遍的恶意软件是Trojan.AndroidOS.Hiddapp家族。而在孟加拉国, Ewind家族的广告软件程序最为常见。
尼日利亚(37.72%)的排名从2017年的第五位攀升至第三位,最常见的广告软件程序来自Ocikq、Agent和MobiDash家族。
在2018年检测到的所有威胁中,移动勒索软件木马(1.12%)的上升趋势最小,其市场份额大幅下降了8.67%。间谍软件 (1.07%)的情况也类似,其市场份额下降了3.55%。
只有Trojan-Dropper是个明显的例外,它的份额几乎翻了一番,从8.63%增加到17.21%。这一增长反映了网络犯罪分子使用移动Dropper封装各种有效载荷的趋势:银行木马、勒索软件、广告软件等等。
和Trojan-Dropper一样,来自移动银行的金融威胁也几乎翻了一番,从1.54%增加到了2.84%。
令人惊讶的是,SMS 木马(6.20%)在检测到的对象数量上排名前五。这种濒临灭绝的威胁只在少数几个国家很常见,但这并没有阻止其份额在2018年的增长。尽管目前还没有关于这以攻击趋势的讨论,但禁用移动设备上的付费订阅仍然非常有必要。
RiskTool在2018年和2017年一样活跃,位于榜首位置(52.06%),甚至比2017年还略有增长。
排名前20位的手机恶意软件
下面的恶意软件评级不包括潜在的不需要的软件,如RiskTool和AdWare。
*:被该类型恶意软件攻击的所有用户占被攻击用户总数的比例。
和往年一样,2018年手机恶意软件排名第一位的是DangerousObject.Multi.Generic(68.28%),
排名第二的是Trojan.AndroidOS.Boogr.gsh (10.67%),第三、第四、第七和第九分别是Trojan-Banker.AndroidOS.Asacub家族的恶意软件,这是2018年的主要财务威胁。
排名第五和第八的是Trojan-Dropper.AndroidOS.Hqwar家族的恶意软件,它们可以包含各种与金融威胁和广告软件相关的恶意软件。
前10大威胁还包括Trojan-Banker.AndroidOS.Svpeng.q(2.87%),这是2016年最常见的移动银行木马。该木马使用网络钓鱼窗口窃取银行卡数据,还攻击短信银行系统。
特别值得注意的是排名第13位和第20位的恶意软件,分别是Trojan.AndroidOS.Triada.dl(1.99%)和Trojan.AndroidOS.Dvmap.a(1.44%)。这两个木马非常危险,因为它们使用超级用户权限来执行恶意活动。特别是,它们会将恶意模块放置在设备的系统区域中,用户只能读取该组件,因此无法使用常规系统工具将其删除。
移动银行木马
2018年,分析人员检测到151359个木马程序安装包,是2017一年的1.6倍。
这种增长始于2018年5月,在9月达到顶峰。罪魁祸首是Asacub和Hqwar家族,因为他们以创纪录的方式传播。
上图是2017年和2018年手机银行木马攻击次数,下图是2018年受移动银行木马攻击用户的国家。
受手机银行攻击的用户比例排名前十的国家:
*:在评级中排除的是在报告期内卡巴斯基实验室移动解决方案活跃用户少于25000的国家或地区。
**:该国受移动银行攻击的用户占该国卡巴斯基实验室移动解决方案所有用户的百分比。
和2017年一样,位居榜首的是俄罗斯,2.32%的用户遇到了移动银行木马攻击,最常见的恶意家族是Asacub,Svpeng和Agent。第二名是南非(1.27%),其中Agent 家族是最活跃的恶意软件,美国用户(0.82%)排名第三,最常遇到的是Svpeng和Asacub家族。
2018年最常见的移动银行家族是Asacub,其攻击让样本中的62.5%的用户都受到了影响。
移动勒索软件
2018年第一季度的统计数据显示,在没有Dropper或下载器帮助的情况下,勒索软件木马的传播数量已大幅下降。但随着使用多阶段攻击机制的盛行,移动勒索软件借助Dropper再次混的风生水起。2018年全年共检测到60176个移动勒索软件安装包,是2017年的9倍。
涉及移动勒索软件的攻击数量在2018年上半年逐渐下降。然而,2018年6月,袭击次数急剧增加,几乎是之前的3.5倍。下图是2017年和2018年手机勒索软件木马攻击次数的对比:
2018年,卡巴斯基实验室的产品总共保护了150个国家的80638名用户免受移动勒索软件的攻击。如下所示,2018年各国手机勒索软件攻击用户的比例分析:
排名前十的被手机勒索软件攻击的国家:
*:在评级中排除的是在报告期内卡巴斯基实验室移动解决方案活跃用户少于25000的国或地区。
**:该国家的移动勒索软件攻击的用户占该国卡巴斯基实验室移动解决方案所有用户的百分比。
连续第二年,受移动勒索软件攻击最严重的国家是美国,其中1.42%的用户遭遇了这种攻击。和2017年一样,Trojan-Ransom.AndroidOS.Svpeng家族是该国最常见的勒索软件。
在排名第二的哈萨克斯坦(0.53%),最活跃的勒索软件家族是Trojan-Ransom.AndroidOS.Small和Trojan-Ransom.AndroidOS.Rkor。后者与其他勒索软件的不同之处在于,它向受害者展示一张不雅图片,并污蔑他们观看非法材料。
实际上,移动勒索软件不会窃取任何个人数据或“暂停服务设备”,但是从受感染的设备中删除恶意软件的过程可能很困难。
总结
从2012年以来,移动威胁的演变速度越来越快,不仅是在恶意程序的数量和攻击技术改进方面突飞猛进,而且还可以使用越来越多的方式获得移动设备里的金融和有价值的信息。2018年的情况表明,某些类型的恶意软件在沉寂之后,可能会突然来一次爆发。2018年是Asacub家族,而2019年很可能是勒索软件。
本文翻译自:https://securelist.com/mobile-malware-evolution-2018/89689/
翻译作者:xiaohui 原文地址:https://www.4hou.com/info/observation/16716.html