智能手機(jī)在給我們的工作生活帶來(lái)巨大便利的同時(shí)，往往卻也暗藏著惡意軟件、病毒等安全隱患。近日，360互聯(lián)網(wǎng)安全中心發(fā)布了《2017年Android惡意軟件專(zhuān)題報(bào)告》(下文簡(jiǎn)稱(chēng)報(bào)告)，報(bào)告全面分析了安卓系統(tǒng)目前的嚴(yán)峻形勢(shì)及用戶面臨的新威脅，并盤(pán)點(diǎn)了2017年惡意軟件攻擊的新技術(shù)及未來(lái)威脅趨勢(shì)。

數(shù)據(jù)顯示，360互聯(lián)網(wǎng)安全中心2017年截獲安卓平臺(tái)新增惡意軟件樣本757.3萬(wàn)個(gè)，比2016年(1403.3萬(wàn))下降46.0%，顯示了移動(dòng)惡意軟件總體進(jìn)入平穩(wěn)高發(fā)期。不過(guò)惡意軟件使用了挖礦木馬、僵尸網(wǎng)絡(luò)等多種新技術(shù)頻頻發(fā)起攻擊，還針對(duì)系統(tǒng)運(yùn)行庫(kù)發(fā)起過(guò)攻擊，安卓系統(tǒng)用戶仍需要提高警惕。不過(guò)，Google也通過(guò)引入最新的機(jī)器學(xué)習(xí)模塊和技術(shù)，從系統(tǒng)和研發(fā)兩大方面提升了整體安全環(huán)境。

惡意軟件樣本新增總量下降 但移動(dòng)威脅持續(xù)進(jìn)化

報(bào)告顯示，2017年360互聯(lián)網(wǎng)安全中心累計(jì)截獲Android平臺(tái)新增惡意軟件樣本757.3萬(wàn)個(gè)，平均每天新增2.1萬(wàn)，比2016年(1403.3萬(wàn))下降46.0%，下降幅度較大。2017年Android用戶感染惡意軟件2.14億，相比2016年2.53億人次下降15.4%。可以看出，惡意軟件樣本總數(shù)及用戶感染量紛紛呈現(xiàn)下降趨勢(shì)，手機(jī)惡意軟件進(jìn)入平穩(wěn)高發(fā)期。

圖一：2012-2017年Android平臺(tái)新增惡意軟件數(shù)量

報(bào)告顯示，2017年Android平臺(tái)新增惡意軟件主要是資費(fèi)消耗，占比高達(dá)80.2%，相比2016年增加了6%。

展開(kāi)全文

圖二：2017年Android平臺(tái)新增惡意軟件類(lèi)型分布

從地域分布來(lái)看，感染手機(jī)惡意軟件數(shù)量最多的地區(qū)為廣東省，占比10.4%;其次為河南(6.8%)、山東(6.5%)、河北(5.9%)、浙江(5.9%)。從用戶感染量的全國(guó)城市排名來(lái)看，北京地區(qū)用戶感染Android平臺(tái)惡意軟件最多，占比4.9%;其次是廣州(2.1%)、重慶(1.8%)、成都(1.7%)、東莞(1.5%)。石家莊、深圳、鄭州、南京、杭州則依次位列排行榜的6-10名。

圖三：2017年Android平臺(tái)惡意軟件感染量Top10城市

此外，2017年度CVE Details報(bào)告顯示，Android系統(tǒng)以842個(gè)漏洞位居產(chǎn)品漏洞數(shù)量榜首，與2016年523個(gè)相比，增長(zhǎng)61.0%，繼續(xù)蟬聯(lián)漏洞之王。由于安卓系統(tǒng)版本的碎片化問(wèn)題日益突出，系統(tǒng)版本更新速度慢，最新系統(tǒng)版本Android Oreo(Android 8.0/8.1)僅占0.7%，Android Nougat(Android 7.0/7.1)占比26.2%，其他老系統(tǒng)版本占比較多，使得系統(tǒng)安全環(huán)境整體提升受到影響。手機(jī)廠商對(duì)于用戶手機(jī)中安全補(bǔ)丁等級(jí)也愈發(fā)重視，雖及時(shí)發(fā)布了更新補(bǔ)丁，但仍有不少用戶未能及時(shí)更新，導(dǎo)致用戶手機(jī)暴露于各種漏洞的威脅之下。

圖四：截止2018年1月Android系統(tǒng)版本分布占比情況

同時(shí)，屏幕錄制漏洞、臟牛漏洞、Janus安卓簽名漏洞等安卓系統(tǒng)漏洞也不斷被惡意軟件利用，惡意軟件還通過(guò)漏洞發(fā)起Toast Overlay攻擊，使用戶的隱私及財(cái)產(chǎn)安全面臨巨大威脅。

惡意軟件攻擊新技術(shù)頻出 技術(shù)創(chuàng)新夯實(shí)安全堤防

2017年，惡意軟件使用了多種新技術(shù)，發(fā)動(dòng)了對(duì)安卓系統(tǒng)及漏洞的強(qiáng)勢(shì)攻擊。比如，2017年4月份，系統(tǒng)級(jí)惡意軟件Dvmap出現(xiàn)，這一惡意軟件針對(duì)系統(tǒng)運(yùn)行庫(kù)進(jìn)行攻擊。6月份，國(guó)外安全廠商首次發(fā)現(xiàn)利用Telegram軟件協(xié)議控制的木馬Android.Spy.377.origin。8月份，以WireX為代表的僵尸網(wǎng)絡(luò)發(fā)起嚴(yán)重的DDOS攻擊，多個(gè)內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)和內(nèi)容提供商受到威脅。2017年，還出現(xiàn)了利用移動(dòng)設(shè)備攻擊企業(yè)內(nèi)網(wǎng)的新的惡意軟件MilkyDoor，讓不少企業(yè)蒙受了損失。同時(shí)，惡意軟件也在不斷升級(jí)來(lái)對(duì)抗殺毒軟件，比如惡意軟件Chamois擁有多種分發(fā)渠道，App虛擬化引擎VirtualApp也被惡意軟件所利用。

近期在南非還發(fā)生了一起迄今為止規(guī)模最大的比特幣騙局，共有超過(guò)2.75萬(wàn)受害者上當(dāng)受騙，涉案金額超5千萬(wàn)美元。隨著以比特幣為代表的電子加密貨幣日漸走紅和價(jià)格一路走高，手機(jī)挖礦也受到惡意軟件的高度關(guān)注，利用Java腳本挖礦的安全事件愈發(fā)頻繁。

圖五：攻擊者通過(guò)挖礦木馬賺取收益的攻擊流程

面對(duì)惡意軟件的強(qiáng)勢(shì)攻擊，Google通過(guò)引入最新的機(jī)器學(xué)習(xí)模塊和技術(shù)，顯著提升了Google Play的安全檢測(cè)能力。2017年Google Play應(yīng)用商店下架了超過(guò)70萬(wàn)款違反了Google Play政策的應(yīng)用程序，比2016年增長(zhǎng)了70%。除此之外，Google還通過(guò)系統(tǒng)更新來(lái)遏制手機(jī)勒索，比如，在最新Android 8.0版本中禁用了5種窗口類(lèi)型，這其中有3種是勒索軟件常用的系統(tǒng)窗口類(lèi)型，進(jìn)一步遏制手機(jī)勒索軟件。通過(guò)約束開(kāi)發(fā)規(guī)范提升了系統(tǒng)整體安全環(huán)境，比如約束Accessibility服務(wù)功能，防止這一功能被濫用。

圖六：Android在各個(gè)版本中遏制惡意軟件的措施

另外值得一提的是，APT攻擊(Advanced Persistent Threat，高級(jí)持續(xù)性威脅)堪稱(chēng)是在網(wǎng)絡(luò)空間里進(jìn)行的軍事對(duì)抗，攻擊者會(huì)長(zhǎng)期持續(xù)的對(duì)特定目標(biāo)進(jìn)行精準(zhǔn)的打擊。2017年，APT攻擊持續(xù)進(jìn)行，并向著平臺(tái)組合化方向發(fā)展，其中雙尾蝎(APT-C-23)組織在2017年中表現(xiàn)活躍，包括中國(guó)在內(nèi)全球多個(gè)國(guó)家均是APT攻擊的受害國(guó)。醫(yī)療、教育和金融成為APT攻擊新目標(biāo)。

網(wǎng)絡(luò)詐騙靠“忽悠”而非高技術(shù) 警企協(xié)同打擊網(wǎng)絡(luò)犯罪

360與北京公安局共同打造的獵網(wǎng)平臺(tái)在2017年共收到全國(guó)用戶提交的有效網(wǎng)絡(luò)詐騙舉報(bào)24260例，舉報(bào)總金額3.50億余元，人均損失14413.4元。與2016年相比，網(wǎng)絡(luò)詐騙的舉報(bào)數(shù)量增長(zhǎng)了17.6%，人均損失卻增長(zhǎng)了52.2%。

圖七：2014-2017年網(wǎng)絡(luò)詐騙舉報(bào)數(shù)量與人均損失

在獵網(wǎng)平臺(tái)2017接到的用戶舉報(bào)中，有15911人是通過(guò)銀行轉(zhuǎn)賬、第三方支付、掃二維碼支付等方式主動(dòng)給不法分子轉(zhuǎn)賬，占比65.6%，其次有7442人在虛假的釣魚(yú)網(wǎng)站上支付，占比30.7%。安裝木馬軟件從而被盜刷的用戶有328人，占比1.4%;在釣魚(yú)網(wǎng)站上填寫(xiě)用戶的賬號(hào)、密碼等隱私信息后，被盜刷的用戶有302人，占比1.2%;其他主要是因?yàn)橹鲃?dòng)告知賬號(hào)密碼/二維碼/驗(yàn)證碼/付款碼盜刷/勒索軟件等原因遭到網(wǎng)絡(luò)詐騙。

在協(xié)同打擊網(wǎng)絡(luò)犯罪方面，截至2017年底，獵網(wǎng)平臺(tái)已與全國(guó)300個(gè)地區(qū)的公安機(jī)關(guān)建立聯(lián)系。全年協(xié)助各地區(qū)公安機(jī)關(guān)協(xié)查案件219起，破案23起，抓獲嫌疑人共計(jì)137人。在涉及移動(dòng)平臺(tái)的網(wǎng)絡(luò)犯罪案件偵辦中，360烽火實(shí)驗(yàn)室通過(guò)溯源等分析手段，協(xié)助公安機(jī)關(guān)找到惡意軟件作者QQ號(hào)，手機(jī)號(hào)及郵箱線索31萬(wàn)余條，案件涉及的惡意軟件分析報(bào)告18篇。

移動(dòng)威脅呈現(xiàn)四大趨勢(shì) AI反病毒引擎助力打造安全生態(tài)圈

最后，報(bào)告還總結(jié)了移動(dòng)威脅四大發(fā)展趨勢(shì)：其一，具備自動(dòng)化和對(duì)抗能力的惡意軟件工廠不斷涌現(xiàn);其二，惡意挖礦木馬愈演愈烈，挖礦和勒索成為2017年兩大全球性的安全話題，2018年將會(huì)繼續(xù)延續(xù);其三，公共基礎(chǔ)服務(wù)成為惡意軟件利用的新平臺(tái);其四，腳本語(yǔ)言成為惡意軟件新的技術(shù)熱點(diǎn)。

針對(duì)日益嚴(yán)峻的移動(dòng)安全威脅，360研發(fā)出了AI反病毒引擎技術(shù)，該引擎技術(shù)首次引入基于APP行為特征的動(dòng)態(tài)檢測(cè)，并結(jié)合AI深度學(xué)習(xí)，可對(duì)新病毒和變種病毒有更強(qiáng)的泛化檢測(cè)能力。對(duì)欺詐勒索、惡意傳播、資費(fèi)消耗、惡意扣費(fèi)、流氓行為、系統(tǒng)破壞、遠(yuǎn)程控制、隱私竊取進(jìn)行精準(zhǔn)行為分類(lèi)。同時(shí)可達(dá)到高檢出率、低誤報(bào)率，有效解決各類(lèi)動(dòng)態(tài)加載執(zhí)行的惡意樣本的效果。此外，AI反病毒引擎還將與一些手機(jī)廠商達(dá)成合作。只有安全廠商、系統(tǒng)廠商及手機(jī)廠商協(xié)同聯(lián)動(dòng)，打造安全生態(tài)圈，才能更好的維護(hù)手機(jī)用戶的切實(shí)利益。