2016年手机恶意软件演变分析报告（一）

2016年的几个数字

在2016年，卡巴斯基实验室检测到以下内容：

8,526,221个恶意安装包
128,886个手机银行木马
261,214个移动勒索软件木马

2016年的演变趋势

使用超级用户权限的恶意程序的流行度有所增长，主要是广告木马。
恶意软件通过Google Play和广告服务进行分发。
出现了绕过Android保护机制的新方法。
手机勒索软件的数量有所增长。
网络犯罪分子活跃于开发手机银行木马。
使用超级用户权限的恶意程序

今年最普遍的趋势是木马获得超级用户权限。他们通常利用在较新版本的Android中已修补的各种漏洞来获得这些特权。不幸的是，大多数用户的设备并不会收到最新的系统更新，从而使这些用户容易受到攻击。

root权限为这些木马提供了几乎无限的可能性，允许他们秘密的安装其他广告应用程序，以及在受感染的设备上显示广告，常常使得用户无法正常使用智能手机。除了积极的投放恶意广告和安装第三方软件，这些木马甚至可以在Google Play上自行购买应用程序。

这些恶意软件同时会将其模块安装在系统目录中，这使得受感染设备的处理变得非常困难。一些广告木马甚至能够感染系统恢复镜像文件，即使用户通过恢复到出厂设置也不能彻底解决问题。

除了在用户不知情的情况下安装广告应用程序外，这些木马也会在用户的手机中安装恶意软件。我们记录过模块化木马——Backdoor.AndroidOS.Triada的安装过程，发现该木马会修改Zygote进程。通过这种篡改，该木马就可以一直保留在系统中，并更改其他应用程序发送的短信内容，从而可以窃取受感染设备的用户的钱财。使用超级用户权限，木马可以做任何事情，包括替换浏览器中的URL。

我们已经在官方的Google Play应用商店中多次发现了这类恶意软件，例如，伪装成Pokemon GO游戏指南。这个“特殊的”应用程序下载次数超过50万次，被杀毒引擎检测为Trojan.AndroidOS.Ztorg.ad。

Trojan.AndroidOS.Ztorg.ad伪装成Pokemon GO游戏指南

网络犯罪分子继续在Google Play上传播恶意软件

在2016年的10月和11月份，我们在Google Play上检测到了约50个由Trojan.AndroidOS.Ztorg.am木马新感染的应用程序，新的变种为Trojan.AndroidOS.Ztorg.ad。 据安装统计，其中多个受感染的应用程序安装次数超过10万次。

Trojan.AndroidOS.Ztorg.ad 伪装成视频播放器

Google Play已经成为被网络犯罪分子用于传播能窃取登录凭据木马的地方。其中一个是Trojan-Spy.AndroidOS.Instealy.a，该木马会窃取Instagram帐户的用户名和密码。另一个是Trojan-PSW.AndroidOS.MyVk.a：该木马反复多次的发布在Google Play上其目标是窃取社交网站VKontakte的用户的数据。

另一个例子是Trojan-Ransom.AndroidOS.Pletor.d，该木马由网络犯罪分子以“清理操作系统垃圾”的应用程序作为幌子进行传播分发。通常，Trojan-Ransom.AndroidOS.Pletor系列的木马会加密受害者设备上的文件，也会阻止或修改小工具的正常运行，之后，该木马会要求受害者交出赎金来解除阻止。

Trojan-Ransom.AndroidOS.Pletor.d模仿系统垃圾清理APP

绕过Android的保护机制

网络犯罪分子正在不断寻找途径以绕过Android新发布的保护机制。例如，在2016年初，我们就发现Tiny SMS木马会修改系统的消息中心，能够使用自己的窗口来覆盖系统消息，这些消息会警告用户短信将发送到一些会产生费用的号码中去。由于受害者无法看到原始的消息文本，所以他们不知道他们“已经同意”，并将短信发送到攻击者指定的号码中。

Trojan-Banker.AndroidOS.Asacub木马也会使用类似的方法获取设备的管理员权限。木马隐藏了来自用户的系统请求，欺骗用户授予它额外的权限。此外，Asacub木马会请求作为默认短信应用程序的权限，即使在较新版本的Android中也可以窃取用户的邮件。

Trojan-Banker.AndroidOS.Gugi木马的作者则更胜一筹，这个恶意程序能够绕过两个新的Android 6安全机制，而这些绕过的手法仅仅是使用了社会工程学欺骗技术。没有利用系统的漏洞，Gugi绕过了Android系统的权限请求，它可以在其他应用程序之上显示它自己的窗口并且可以动态的进行权限请求以便执行潜在的危险行为。

移动勒索软件

虽然第一个手机加密木马的确会加密设备上的用户数据，并向受害者索要钱财之后解密文件，但是现在的勒索软件只会在其他窗口（包括系统窗口）的顶部显示自己的窗口并索要赎金，顶部窗口遮挡会使用户无法正常使用该移动设备。

在2016年最流行的手机勒索程序也使用了同样的手法——Trojan-Ransom.AndroidOS.Fusob。有趣的是，这种木马只攻击德国，美国和英国的用户，它会自动避免攻击来自CIS和一些邻国的用户（一旦执行，它会检查当前运行设备的语言，之后它有可能会停止工作）。木马背后的网络犯罪分子通常要求交出100到200美元的赎金来解锁设备。赎金必须使用预付费的iTunes卡的代码来进行支付。

另一种阻止设备正常使用的方法是在中国比较流行的Trojan-Ransom.AndroidOS.Congur木马家族。这些木马会更改小工具的PIN代码，或者通过设置自己的PIN代码来启用安全功能。为此，勒索程序必须获得管理员权限。在感染后，该木马会会告知受害者通过QQ联系攻击者以解除设备。

手机银行木马一年来不断发展。其中有许多木马获得了绕过Android系统新的安全机制的工具，并能够继续从最新版本的操作系统中窃取用户信息。此外，手机银行木马的开发者在木马中添加了越来越多的新功能。例如，Marcher木马家族会周期性的在几个月内将用户从金融网站重定向到网络钓鱼网站。

此外，许多手机银行木马也有了勒索钱财的功能：在从服务器接收到命令后，他们可以利用弹出索要赎金的窗口来阻止设备正常操作。我们发现Trojan-Banker.AndroidOS.Faketoken木马不仅可以覆盖系统接口，还可以加密用户数据。

另外，还值得注意的是，传播Android恶意程序背后的网络犯罪分子也没有忘记2016年最热门的话题之一 —— loT设备。特别是，我们发现了“攻击路由器”的木马，其目标是连接到受感染设备的Wi-Fi网络。如果木马设法猜到了路由器的密码，它会更改DNS设置，并实施DNS劫持攻击。

暗网一瞥：国际刑警组织全球创新复合体的贡献

暗网为网络犯罪分子提供了交流和从事商业交易的手段，例如购买和销售各种产品和服务，包括手机恶意软件包。越来越多的供应商和买家在Tor加密市场上进行交易，该加密市场实施了多种安全和面向商业的机制，例如使用加密货币，第三方管理服务（托管），多重签名交易，加密，信誉跟踪或反馈跟踪等。

国际刑警组织已经调查了一些主要的暗网平台，发现移动恶意软件会作为软件包（例如远程访问木马——RAT）提供销售;另外还有一些恶意软件编写的“专业户”以及一些专业公司开发的复杂的工具或者是一些小规模上的作为“机器即服务”模型的恶意软件。移动恶意软件也是供应商商店，论坛和社交媒体上的“主题”。

市场

在暗网市场上提供了一些移动恶意软件产品和销售服务。移动恶意软件通常作为一个安装包的一部分进行广告售卖，包括例如远控木马（RAT），网络钓鱼页面或者是由取证分析和密码破解工具组成的“黑客”工具包。个人或单件的工具也提供售卖。例如，在四个主要的市场上的

不同的供应商都会提供DroidJack的售卖。这个流行的Android 远控木马在Clearnet上公开出售但是价格比较高，不过在暗网上价格要低一些。

这两种变体（安装包和单件工具）有时会带有“怎么用”的指南手册，解释了攻击流行操作系统（如Android和iOS）的方法。在暗网上也会公布一些更先进的工具，例如Galileo，由意大利IT公司Hacking Team开发的远程控制系统，用于远程访问，可以运行在Android，iOS，BlackBerry，Windows或OS X的设备上。

另一个案例是Acecard的源代码。目前已知该恶意软件会在手机银行应用程序上添加覆盖屏幕窗口，然后将用户的登录凭据转发到远程攻击者那里。它还可以访问短信内容，攻击者可以从短信中获得一些有用的短信认证码。

Android bot租赁服务（BaaS或Bot as a Service）也可以通过购买得到。这些机器人可用于从受害者的Android手机中收集财务信息，这些服务也会提供许多功能和帮助文档，支持俄语和英语。可根据自己的要求定制开发更多的功能。此类服务的费用最高可达每月2,500美刀，或每周650美刀。

用于获取手机上的财务信息的网络钓鱼恶意软件产品，可通过蓝牙控制手机或更改其IMEI（国际移动设备识别码），另外，多个Android RAT均会专注于拦截记录短信，通话记录和位置以及访问设备的摄像头，这些恶意软件在暗网市场上随处可见。

供应商商店，论坛和社交媒体

供应商的商店是由单个或一组供应商创建的独立平台，他们在市场上建立了一定的客户基础，然后决定开始自己的业务交易。一般来说，这些商店没有论坛，只是会宣传某种特定类型的非法物品，如毒品或被盗的个人信息，但他们也会售卖手机恶意软件（DroidJack）。用户在购买到的手机恶意软件产品中有时会附加使用教程，并且关于哪些工具适合什么用途以及如何安装和利用它们等这些信息也可以在论坛和社交媒体上找到。

此外，我们还发现了一个关注于黑客新闻的Tor隐藏服务，其包含了有关如何设置Dendroid手机恶意软件的一些信息。这种RAT能够拦截短信，下载图片或打开对话框进行密码钓鱼，从2014年起到2016年，这类恶意软件一直作为一些广告的一部分在不同的市场上进行投放。

由于其强大的匿名性，OPSEC技术，低价格和面向客户的策略，暗网仍然是一个进行非法交易和活动且极具吸引力的媒平台，并且在将来很有可能会出现一些特殊的犯罪领域。创新技术解决方案的发展（与学术界，研究机构和私营企业密切合作），国际合作和能力建设是打击网络犯罪分子使用暗网的根本支柱。