卡巴斯基实验室:2019年移动端恶意软件趋势报告
一、年度数字
本篇文章的统计数据来源于卡巴斯基用户终端的检测情况,基于用户同意下对这部分数据进行收集、统计并形成结论。
在2019年,卡巴斯基移动端产品共检测到:
3503952个恶意安装软件包。
69777个新型移动端银行木马。
68362个新型移动端勒索软件木马。
二、年度趋势
我们纵观整个2019年,可以发现两个非常明显的趋势:
(1)攻击者针对用户个人数据的攻击变得更加频繁;
(2)在最为流行的应用程序市场上,往往会更加频繁地检测到木马。
本报告详细讨论了其中的每一个分类,并提供了示例和统计信息。
2.1 针对个人数据的攻击:追踪软件
在过去的一年中,针对移动设备用户个人数据的攻击数量增长了50%,从2018年的40386个被攻击用户增长到2019年的67500个被攻击用户。而造成如此大规模增长的元凶,并不是传统意义上的间谍软件或特洛伊木马,而是所谓的追踪软件(Stalkerware)。
2018-2019年期间,遭到追踪软件攻击的用户数量:
所谓的追踪软件可以具体细分为两类,一类是跟踪器,另一类是完善的追踪应用程序。
其中,追踪器的作者通常会关注两个主要功能——追踪受害者的坐标,以及拦截短信。直到最近一段时间,仍有很多这样的应用程序可以在官方Google Play市场上获取,其中大多数都是免费的。在2018年年底,Google Play曾经更改了政策,大多数恶意软件都在那时从商店中被删除了,并且大多数恶意软件的开发者都放弃了对恶意应用程序的支持。但是,我们仍然可以在开发人员建立的网站或第三方网站上找到此类追踪器。
如果将这类应用程序安装到设备上,第三方就可以访问有关用户位置的消息和数据。这些第三方并不仅仅局限于追踪用户的第三方,某些服务的客户端-服务器交互也会忽略最小化的安全需求,从而导致任何人都可以访问其保存的数据。
而完善的追踪器软件的状况则有所不同,我们无法在Google Play上找到这样的应用程序,但这部分恶意软件的开发人员会积极维护恶意软件。其中的大部分恶意软件都是具有丰富间谍功能的“商业化”解决方案,它们可以在受感染的设备上收集几乎所有数据,包括照片(全部照片或特定照片,比如在某个特定位置拍摄的照片)、通话、短信、位置信息、屏幕敲击(键盘记录)等内容。
追踪软件应用程序网站的截图,展示了这个软件的功能:
许多应用程序利用root特权,从社交网络或即时消息通讯应用程序的受保护存储中提取聊天记录。如果恶意应用无法获取到所需的访问权限,追踪器可以使用屏幕快照功能、屏幕点击记录功能,甚至可以使用“辅助功能”从常见应用程序的窗口中提取出发送和接收到的消息文本。商业间谍软件Monitor Minor就是一个这样的例子。
追踪软件应用程序网站的截图,展示该软件具有拦截社交网络和即时消息通讯APP数据的功能:
商业间谍软件FinSpy的开发人员在此基础上进一步扩展了其功能,可以拦截Signal、Threema和其他安全通讯软件中的通信功能。为了确保能成功拦截,恶意应用程序利用脏牛漏洞(CVE-2016-5195)获取root用户特权。可以推测的是,攻击者也正在使用带有过期操作系统内核的旧设备,利用旧版本的内核,漏洞利用程序可以实现root用户的特权提升。
值得关注的是,使用即时通讯应用程序的用户已经达到数亿人。人们不再通过传统的电话和短信方式进行交流,而逐渐转移到即时通讯应用程序之中。因此,攻击者也逐渐关注存储在此类应用程序中的数据。
2.2 针对个人数据的攻击:广告应用程序
在2019年,我们观察到广告类恶意应用程序威胁数量有明显增长,这类应用程序的目的之一是在移动设备上收集个人数据。
统计数据显示,2019年受到广告类恶意软件攻击的用户数量与2018年相比基本保持持平。
2018-2019年期间受到广告类恶意软件攻击的用户数量:
同时,检测到的广告类恶意软件安装包的数量,与2018年相比几乎增长了一倍之多。
2018-2019年期间检测到的广告类恶意软件安装包的数量:
这些指标通常都是相互关联的,但在广告类恶意软件中却并非如此。我们可以将其解释为以下几个因素:
1、广告类恶意软件安装程序包是自动生成的,并且几乎可以传播到任何地方,但由于某些原因无法到达潜在受害者的终端上。在这类恶意软件生成后,可能立即会被检测到,从而无法进一步传播。
2、通常,这类应用程序没有任何实际用处,仅包含一个广告软件模块,因此受害者会立即删除这类软件。
尽管如此,今年已经是广告类恶意软件连续第二年排在威胁榜前三名。根据KSN的统计数据,可以证明它目前是最常见的威胁类型之一:在2019年受攻击用户数量排名前10的移动威胁中,广告类恶意软件占据了4个位置,其中一个恶意软件家族AdWare.HiddenAd排名第三。
1 DangerousObject.Multi.Generic 35.83%
2 Trojan.AndroidOS.Boogr.gsh 8.30%
3 AdWare.AndroidOS.HiddenAd.et 4.60%