市面上八成的智能手机系统都采用安卓系统,成功激活的安卓的用户更是数以十亿计算,智能设备已经成为现代人生活的重要组成部分.庞大的用户群体也给黑产从业人员带来了”机遇”,下面我们来盘点一些典型的黑产牟利的手法

一  安卓世界面临的安全威胁

Part1: 智能设备的爆发式增长,但是普通大众的安全意识并没有同步提升

       众所周知的是智能移动终端正在改变我们的生活，移动互联网的发展让手机成为日常生活不可或缺的一部分。使用时长的不断增加使得手机等智能设备上存储着大量敏感的隐私信息,随着手机功能的增强，同样面临巨大的安全挑战 。比如近几年蓬勃发展的手机支付，使得手机成为了一台移动的小金库，人们可以随时随地发起网上支付，正是因为手机新的钱包属性引起犯罪分子的高度重视，如果犯罪分子可以完全控制用户手机(特别是在手机root情况下)，意味着它可以控制更多的用户隐私信息(如 短信内容,通话记录,地理未知等隐私信息)来精确了解用户群体，实施更加精准的攻击。

1 钓鱼伪装:骗取隐私转移资金变现(影响用户数千万级别)

  2014年左右,一波恶意软件,将自己伪装成淘宝”订单失败”,移动”积分兑换”,银行”升级”等等.然后通过手机短信,伪基站群发等方式进入用户手机,用户一旦不慎安装后,淘宝账户,手机帐号,银行卡帐号等隐私信息将被犯罪分子手机,最终导致资金损失.

在钓鱼伪装最流行的2016年,腾讯反诈骗实验室曾经对相关恶意样本进行一些大数据分析.黑产主要针对学生家长,同学老友,以及司机等群体进行针对性攻击.

2 仿冒公检法诈骗: 涉案金额上亿元

传播电话诈骗到移动木马诈骗的功能对比，可以看出移动木马诈骗优势明显可能。

3 手机勒索软件: 通过加密用户文件,或锁定用户的设备来谋取利益( 累计影响用户百万)

  2014年,国外SIMPLOCKER锁屏勒索木马出现后,国内迅速跟风陆陆续续也出现各种变种以锁定屏幕进行勒索的案例,由于一款叫做AIDE的手机安卓编程工具,一大批90后与00后”无聊”的孩子利用各种分享的源码产生了大量变种,通过阻止用户使用手机来勒索钱财

2016年通过对锁屏勒索类研究发现,此类病毒日影响用户数在5万左右,并且通常使用以下的锁屏勒索的技术

2017年6月,随着肆虐全球的想哭(WannaCry)勒索病毒的爆发,国内有开发者迅速跟进发布了一款基于安卓的手机版想哭病毒加密用户的常见文件(比如照片,office文档等)勒索钱财,并且利用外挂名义传播到部分用户

4 短信扣费:通过运营商的短信扣费渠道进行变现( 影响用户数上亿)

  2014年就有黑产团伙在使用这种变现方式,做法是在用户手机里面植入恶意应用,其主要有两个流派,:其一,以后台不可见的应用为主,直接静默发送扣费SP,其二,主要是各种破解重打包的游戏程序,通过一些模糊不清的方式诱导用户点击,然后后台发送SP短信扣费.这两种方式中招的用户少则被扣费十几元,多则造成上百元的损失

5 广告骚扰(影响用户上亿)

    广告作为最成功的商业模式之一,安卓平台也被各种广告病毒利用到的极致,任何可以展示广告的地方都被黑产利用着. 参考链接

Part2: 幕后的规模化公司控制着庞大的流量

   各种披着上市,创业公司等公司的外皮,利用各种手段正在试图控制大量的用户流量,然后通过这些流量变现进行牟利.

1  手机被控制刷量

拥有百万用户量的GhostFramework会在线下渠道被预装到用户手机里,然后用来完成刷流量(如百度搜索、搜狗搜索、360搜索、神马搜索、天猫等),安装不明应用,弹广告等任务.幕后的公司则通过这些流量变现谋取利益。

2 利用手机刷微信公众号流量

  拥有百万用户量的mmghost,通过预先植入手机的方式进入到用户设备,然后控制这些设备刷微信公众号等其它流量变现手段来牟利

3 利用色情流量刷广告等(参考链接)

比如杭州一家名为搜影科技的公司,控制着日规模20万用户的色情渠道,以色情的名义诱导用户安装,一旦用户安装后会推广安装大量不明应用,弹出广告,以及进行短信扣费等行为

Part3: 针对性攻击

1 发起安卓DDos攻击

  作为安卓端首个DDos恶意木马, WireXBotnet伪装成正常应用并寄生于Google Player应用市场,常见的软件名为Network、FilterFile、StorageData、StorageDevice、Analysis,一旦中招就会静默安装启动后门模块,通过用户的手机DDos攻击了多个内容分发网络（CDN）和内容提供商(比如Akamai，Cloudflare)。

2 Lipizzan间谍软件：监控用户手机并窃取隐私(参考链接)

一款名为Lipizzan的间谍软件家族(疑似采用的网络武器公司Equus Technologies的技术)试图监控用户的手机。在此之前，Google曾宣布成功阻止了另一款名为Chrysao的间谍软件，据称，此间谍软件很可能是由以色列间谍公司NSO Group集团制作，而Lipizzan间谍软件就是在研究Chrysaor的过程中被发现的。

3 MilkyDoor: 通过socks内网穿透窃取商业资料

企业内部数据价值不菲,随着办公移动化的发展,近年来，黑客以移动设备作为跳板，继而入侵企业内网，窃取企业数据的趋势愈发明显。

从DressCode再到MilkyDoor,这些针对企业移动设备的攻击,通常利用SOCKS代理从沦陷的内网服务器和攻击者之间进行数据转移,并且可以通过SSH协议突破防火墙使得传输数据行为隐藏更难以被发现

二安全研究的挑战

1 用户移动的设备价值越来越大,但当前的安全防御手段极其有限

   受限于移动设备的性能以及以及安卓设备的机制限制,目前安全厂商仅能对应用安装进行安全检测.

   同时,安卓平台严重的碎片化使得新版本内核的安全功能没办法及时入地,存在的大量已知高危漏洞让大量的低版本安卓用户面临更严峻的安全风险,

   对于一些用户量巨大的刚性需求比如色情,游戏破解即使安全软件报毒以后也存在大量的用户会选择忽略结果,一旦允许以后,后面发生的行为将不能获得安全防护功能. ROOT设备,广告骚扰,应用恶意安装,短信扣费等恶意行为将会对用户造成巨大的风险.

2 安全对抗的愈发的激烈

   首先是人员上的对抗上悬殊,黑产从业人员可能数倍与安全运营的人员,比如恶意色情应用的对抗频度以天甚至小时为单位,而恶意广告联盟也会在一周进行多次更新以躲避查杀

   安全厂商使用的传统静态引擎在这场对抗中处于下风,动态检测引擎则面临各种针对性的行为隐藏技术的干扰,机器学习引擎由于缺乏更真实的行为数据而面临风险

   目前通过各种态势感知模型,我们逐渐也发现大量存在一年以上的超隐蔽的恶意软件家族,这些动辄数十万,甚至百万以上用户量的家族之前因为各种对抗技术游离在安全厂商的视线之外.

3 公司化的运作,用完整的产业链优势凿穿安全检测体系

每次专项研究我们都会发现用户量影响巨大,行为隐蔽的团伙背后通常存在相当规模的公司在幕后进行运作,这些少则数十人躲着数百人的公司通过各种利益关系形成的资源.他们有专门的团队研究怎么绕过安全厂商,怎么最大限度的避免被发现,怎么在暴露的时候清理犯罪现场

比如郎趣控制的mmghost家族暴露在安全厂商面前的仅有一个子包,文件的下载,解密,功能加载,参数下发都直接通过云端进行下发,恶意模块仅存在与用户设备中安全分析人员根本没办法取证到恶意行为.免杀对抗的频率也是以天为周期迭代,通过警方提供的信息显示它们有单独的讨论组来研究如何绕过安全厂商的查杀.

三  安全防御的未来

 1 大安全时代,没有攻不破的手机

   根本就没有什么手机是绝对安全的,近期召开的Pwn2Own黑客大会中,苹果iPhone 7,华为Mate9 Pro,三星Galaxy S8等知名手机品牌无一幸免.

只要是程序都会犯错,手机安全是一个极其复杂的问题,需要一整套解决方案来应对.对任何一款手机而言，安全都必须贯穿于各个环节.从移动应用本身的安全，到系统级的安全;从网络通讯的安全,再到云安全，甚至还需要解决底层硬件的芯片级问题.

从目前的变化趋势看,智能手机从底层硬件再到应用软件都已经成为黑客攻击的目标.

 2 安全是手机的护城河,能力缺失的后果恐无法承受

装备国家级”核武”的WannaCry勒索病毒全球大爆发，至少150个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业，造成严重的管理危机。大量数据被加密锁定,设置部分大型企业的系统数据库文件被加密后无法正常工作，影响巨大。

Petya,BadRabbit等陆续爆发的勒索病毒都不断提醒企业和个人—“狼真的来了”.用户设备的数据价值远超用户自己的预期,其巨大的价值值得黑客蜂拥而入.而肩负着移动支付,社交娱乐,移动办公,网购等功能的超级终端手机设备,必定在未来面临更加严峻的安全挑战。

 3 安全对抗的本质: 提升攻击的门槛和成本

    任何一种安全方案都无法做到”绝对安全”,所有的安全解决方案都是可以被攻破的,因为所有的安全措施只要有足够的时间,足够的资金,足够的人力都是可以被攻破的.

    利益至上的时代,如果一种安全方案需要黑客花费大量的时间和成本才能入侵,那么这种安全防御方案是成功的,没有一个组织愿意冒险投入大量的资源来作为赌注.

      安全的本质是提升攻击的门槛和成本,而提升攻击门槛和成本最有效的防御手段是更底层维度的安全防护,如果说应用层的安全是解决一个安全问题(手枪格斗),那么系统层的安全就是解决一类的安全问题(大炮轰杀),最终的芯片级安全则是解决人力不可完成通用安全解决能力和构建最终的安全防御防线.(核武的震撼力)    

最后，我们总结了安卓面临的四大类威胁：

1.      流量变现[肉鸡]

1.1.         设备被root,植入后门程序

1.2.         设备线下预装恶意程序

1.3.         移动端DDos攻击

1.4.         后台刷流量

2.      恶意骚扰[推广平台]

2.1.         莫名安装不明应用

2.2.         莫名弹出各种骚扰广告

2.3.         手机变得卡慢甚至黑屏死机

2.4.         群发病毒短信

2.5.         恐吓提示

3.      钱财损失(提款机)

3.1.         恶意短信扣费,导致话费损失  [损失百级别/人,受害者众多]

3.2.         游戏诱导扣费,导致话费损失 [损失百级别/人,受害者众多]

3.3.         手机被锁,勒索钱财  [损失百级别/人]

3.4.         色情欺诈,诱导交VIP费用[损失百级别/人,受害者众多]

3.5.         短信拦截马,窃取用户银行卡信息[损失万级别/人,容易上当受骗]

3.6.         仿冒公检法欺诈,窃取用户支付信息 [损失百万级别/人 ,迷惑性高]

4.      机密信息窃取(入侵踏板)

4.1.         企业级APT攻击

4.2.         个人敏感信息泄露(如手机号,通讯录,银行卡等)