2020 年和 2021 年与游戏相关的网络威胁

与游戏相关的网络威胁报告 Part 1 

视频游戏行业正在飞速发展，这至少要归功于封锁，这迫使人们寻找新的娱乐方式和社交方式。即使事情恢复正常，游戏也有望拥有非常光明的未来。Newzoo 估计2021 年该行业的总收入将达到1758 亿美元，略低于 2020 年的总收入，但仍显着高于大流行前的数字。

这种快速增长很大程度上归功于手机游戏的激增以及大流行期间对社交互动的关注。全球有 27 亿游戏玩家，虚拟世界不仅提供了放松的机会，还提供了与来自全球各地的人们联系的机会。此外，游戏玩家的数量将继续增加。

手机游戏尤其吸引了越来越多的用户。分析师预测，2021 年移动游戏收入将占到907 亿至1200 亿美元，超过游戏行业估计值的一半。去年的封锁提振了移动市场，2021 年第一季度全球用户每周下载的手机游戏比 2019 年第四季度多 30%，每周下载量超过 10 亿次。2021 年上半年，全球消费者在手机游戏上的支出达到447 亿美元。

随着游戏行业的快速发展，我们作为网络安全研究人员问自己这对用户安全意味着什么。2021 年初，我们研究了大流行期间与游戏相关的网络攻击的动态，发现该领域有所增加。但是有这么多平台提供播放威胁并不局限于网络。

为了更好地了解游戏玩家面临的威胁形势，我们决定仔细研究与游戏相关的网络威胁。在本报告中，我们涵盖了 PC 和移动威胁以及利用流行游戏的各种网络钓鱼方案。

方法

为了衡量与游戏相关的网络安全风险水平，我们调查了几种类型的威胁。我们检查了伪装成流行 PC 和手机游戏的恶意软件和不需要的软件。我们还更详细地研究了一些正在分发的恶意软件及其对用户构成的危险。此外，我们检查了数据库中与游戏相关的垃圾邮件活动和在野外使用的网络钓鱼方案。

该报告包含从卡巴斯基安全网络获得的威胁统计数据，该网络处理卡巴斯基产品用户自愿提供的匿名网络安全数据。这些统计数据表明我们产品的用户在报告期内遇到与游戏相关的网络威胁的频率和数量。

报告中提供的大部分统计数据是在 2020 年 7 月 1 日至 2021 年 6 月 30 日期间收集的。与大流行相关的统计数据涵盖 2020 年 1 月至 2021 年 6 月期间。

结果，我们发现了以下内容：

· 从 2020 年 7 月 1 日到 2021 年 6 月 30 日，遇到与游戏相关的恶意软件和不需要的软件的用户总数为 303,827 人，以 24 个最受欢迎的 PC 游戏为幌子分发了 69,244 个文件；

· 季度动态显示，受 PC 特定游戏相关网络威胁影响的用户数量在大流行开始时有所增加，但随后与 2020 年第一季度至第二季度相比在 2021 年第一季度至第二季度有所下降，因为封锁迫使更多用户搜索免费游戏。与此同时，手机游戏呈现出不同的趋势，在大流行开始时受影响的用户数量增长了 185%，到 2021 年第二季度仅下降了 10%，这意味着网络犯罪分子仍在积极利用移动威胁。

· 在针对最多用户的攻击中用作诱饵的前五款 PC 游戏是《我的世界》、《模拟人生 4》、《绝地求生》、《堡垒之夜》和《侠盗猎车手 V》。

· 我们发现了一个大规模的、协调的活动，该活动通过许多经过 SEO 优化的warez 网站分发 Swarez Dropper。通过其有效载荷从浏览器、加密钱包和其他应用程序收集秘密，该恶意软件影响了 45 个国家的用户。

· 最常用作诱饵的前三款手机游戏是《我的世界》、《PUBG Mobile》和《我们之中》。

· 从 2020 年 7 月到 2021 年 6 月，共有 50,644 名用户试图下载 10,488 个伪装成最受欢迎的十款手机游戏的独特文件，共检测到 332,570 次。

· 在 PC 和移动设备上发现的大多数威胁都是不需要的应用程序，但也存在危险的恶意软件：从窃取者到银行家，通常不仅会导致凭证丢失，还会导致包括加密货币在内的金钱丢失。

· 以游戏为主题的网络钓鱼方案用途广泛，随着更多游戏事件的发生，网络犯罪分子正在扩大他们试图提取用户数据的场景。

PC 游戏玩家的网络威胁

为了评估与游戏相关的威胁形势，我们编制了 Origin 或 Steam 等在线平台上最受欢迎的十款 PC 游戏的四个列表和一个独立于平台的游戏列表，并删除了重复项以及过于笼统而无法过滤的标题特定游戏的特定威胁。结果，我们最终得到了 24 款流行的 PC 游戏。

本报告分析的前 24 款 PC 游戏

我们使用游戏的标题作为关键字，并针对我们的遥测数据运行它们，以确定以这些游戏为幌子的恶意文件和不需要的软件的分发规模，以及受到这些文件攻击的用户数量。

在过去的一年中，从 2020 年 7 月到 2021 年 6 月，以流行游戏的名义分发了 69,244 个文件，全球有 303,827 名用户遇到了这些文件。在报告期间，卡巴斯基解决方案总共检测到 5,846,032 次涉及这些文件的攻击。

通过使用无意中尝试下载恶意软件和垃圾软件以希望玩得开心的用户数量，我们还编制了一份清单，列出了十个最受欢迎的游戏，这些游戏被用来掩盖恶意软件和垃圾软件。排名很大程度上与分布式文件和相关检测的排名相关，前十名中有九场比赛在所有排名中都是相同的。

在 2020 年 7 月至 2021 年 6 月期间，《我的世界》以 36,336 个分发文件位居第一，共检测到 3,010,891 次感染尝试。其他影响用户最多的游戏是《模拟人生 4》、《绝地求生》、《堡垒之夜》和《侠盗猎车手》 V. 值得注意的是，尝试下载《我的世界》的独立用户数量比其他前十名游戏影响的用户数量总和高出 40% 以上。此外，伪装成 Minecraft 的文件比 PUBG 多 250%，PUBG 是在文件分发方面遵循 Minecraft 的游戏。

Minecraft 如此受欢迎的原因可能是它有多个版本和无数的模组：可以安装在核心游戏之上的修改以使游戏玩法多样化。Mods 由用户创建并且是非官方的，因此它们为恶意负载或不需要的软件提供了方便的伪装。

2020 年 7 月 1 日至 2021 年 6 月 30 日，受攻击的用户用作诱饵分发恶意软件和不需要的软件的 TOP 10 游戏

2020 年 7 月 1 日至 2021 年 6 月 30 日，按文件数量划分的 10 大用作诱饵分发恶意软件和垃圾软件的游戏

2020 年 7 月 1 日至 2021 年 6 月 30 日，根据检测到的攻击，被用作分发恶意软件和垃圾软件的诱饵的前 10 款游戏

2020 年 7 月 1 日至 2021 年 6 月 30 日，按该国每 1000 名用户的攻击次数划分的 PC 游戏相关网络威胁地理分布

游戏恶意软件

我们还研究了过去一年半与游戏相关的网络威胁分布的动态，以了解大流行是否产生了影响。2020 年第二季度，当许多国家进入封锁状态时，检测到伪装成 PC 游戏的恶意软件和垃圾软件的数量猛增，达到 2,481,915 次，影响全球 165,207 名用户。相比之下，在 2021 年第二季度，检测数量仅为 636,904 人，受影响用户数量为 53,439 人，分别下降了 3.8 倍和 3 倍。这表明，随着 2021 年第二季度取消锁定措施和放宽全球限制，寻找 PC 游戏和模组的用户数量显着减少。

尝试下载伪装成游戏的恶意或不需要的文件的用户，按季度，2020 年第一季度至 2021 年第二季度

按季度，2020 年第一季度至 2021 年第二季度，尝试下载伪装成游戏的恶意或不需要的文件

相反，尽管受到攻击的用户数量有所增长，但以游戏为幌子分发的有害软件和恶意软件的数量却在逐季稳步下降，从 2020 年第一季度的 40,340 个文件下降到 2021 年第一季度的 19,960 个文件的两倍. 同样的趋势在 2020 年第二季度与 2021 年第二季度很明显。

伪装成游戏的恶意和不需要的文件数量，按季度，2020 年第一季度至 2021 年第二季度

你好！玩家在家吗？伪装威胁

以游戏为幌子分发的恶意软件和垃圾软件的类型并不令人惊讶，它反映了作为非法或破解软件分发的文件的总体趋势。统计数据显示，下载者占被传播软件的绝大多数（87.24%）。虽然此类软件本身不是恶意软件，但下载程序通常用于将其他威胁加载到设备上。另一种作为游戏传播的常见软件类型是广告软件，它显示违背用户意愿的非法广告。

以流行游戏为名分布的其他威胁包括各种木马，例如 Trojan-Droppers 和 Trojan-Downloaders。

2020 年 7 月 1 日至 2021 年 6 月 30 日期间以流行游戏为幌子在全球分布的 10 大威胁

在 PC 游戏玩家面临的威胁中，矿工值得一提。它们是根据木马、RiskTools 等各种判断检测到的，占所有威胁的 0.11%。以游戏玩家为目标的矿工听起来合乎逻辑，因为游戏计算机具有更强的处理能力。矿工通常会在很长一段时间内不被注意，只会通过受感染设备消耗的能量来暴露自己。我们的产品检测到的一名矿工模仿了 PUBG 安装程序。当用户启动他们认为是流行游戏的安装过程时，矿工被安装并编程为自动运行。

这个模仿 PUBG 安装程序的自解压档案包含一个 XMRig 矿工

Swampy Swarez 向游戏玩家提供 strelaer 木马

2021 年 4 月，我们观察到一场大规模、协调良好的活动，分发了一个我们称之为“Swarez”的滴管，该滴管将一个窃取程序加载到受害机器上。滴管是通过数十个假冒的warez网站交付的：这些平台专门免费分发受版权保护的材料，被认为违反了版权法。

我们观察到许多类似的网站以各种软件产品的破解为幌子提供恶意软件，包括反恶意软件、照片或视频编辑器和流行游戏。根据我们的遥测，有 45 个国家的游戏玩家试图下载该恶意软件，并认为它是一款游戏。

每个帖子下都有很长的标签列表，旨在将目标页面放在网络搜索结果的顶部。这种方法导致一些分发恶意软件的网站最终进入流行搜索引擎的前三名。

搜索 Minecraft（我的世界）破解密钥提供了在排名靠前的结果中分发 Swarez 的网站

当尝试从该站点下载某些内容时，一连串的重定向将用户带到一个下载页面，最后，删除一个 ZIP 存档，其中包含另一个受密码保护的 ZIP 和一个带有解压缩密钥的文本文件。经过几个阶段后，主要的有效载荷，一个 Taurus 窃取器，具有从浏览器、加密钱包和其他应用程序中窃取有价值数据的功能，被解密并执行。

用于分发 Swarez 的warez 站点页面示例

这个下载的恶意软件会模拟破解软件来诱骗用户安装它

在第一个感染阶段，Swarez dropper 执行一个混淆的 CMD 脚本来解密一个合法的 AutoIt 解释器。使用它，恶意软件运行一个 AutoIt 脚本，该脚本也被混淆了。在多次检查文件未在模拟环境中运行后，它会使用 RC4 算法解密有效负载。生成的文件被注入系统进程并在其上下文中执行。该文件是金牛座木马，由 Predator 网络犯罪集团开发的付费窃取程序，功能丰富、灵活且可配置。它能够从浏览器窃取 cookie、保存的密码和自动填充数据、窃取加密钱包的秘密、收集有关系统的信息、从用户桌面获取 .txt 文件，甚至截取屏幕截图。然后将所有这些信息上传到 C&C 服务器。

手机游戏玩家的网络威胁

为了进一步了解与游戏相关的网络威胁形势，我们还研究了手机游戏。手机游戏通常会吸引不同的受众，并且通常具有非常不同的游戏模式——至少因为手机可以随身携带，而且手机游戏通常比 PC 游戏需要更少的参与度。此外，随着移动技术的进步，流行的 PC 游戏也被带到了移动平台上，而且经常免费玩移动版本。

与 PC 威胁分析类似，我们根据多个排名平台的十大手机游戏汇编列表选择了十大手机游戏。我们的遥测数据显示，在 2020 年 7 月至 2021 年 6 月期间，有 50,644 名用户试图下载 10,488 个伪装成这些游戏的独特文件，总共检测到 332,570 次。

Minecraft 是迄今为止最流行的手机游戏伪装，不受欢迎的应用程序分发者。从 2020 年 7 月到 2021 年 6 月，在 44,335 名用户的设备上检测到多达 3982 个名为 Minecraft mods 的文件，总共检测到 302,611 次。我们之前写过关于潜伏在这款流行游戏外表背后的各种威胁。2020 年，我们在 Google Play 上编写了大约20 个伪装成 Minecraft 模组的应用程序，到 2021 年，我们发现了更多的此类应用程序。从用户的角度来看，这些应用程序中的大多数都是无用的，并且大多会推送极具侵入性的广告，其中一些基本上会使设备无法使用。Minecraft 紧随其后的是我们之中（2755 名用户受到 1887 个文件的影响，总共 9616 次检测）和 PUBG 的移动版本（1534 名用户，9084 次检测 1713 个文件）。

2020 年 7 月至 2021 年 6 月按独立用户划分的用于掩盖分发不需要的应用程序的手机游戏排名

手机游戏的大流行和风险

与 PC 游戏相关网络威胁的动态类似，随着大流行的开始，用户数量和检测到的感染移动设备的尝试猛增，从 2020 年 2 月的 1138 名用户增长到 2020 年 3 月的 3253 名用户，增长了 185%。

然而，与 PC 威胁的情况不同，试图下载恶意文件和认为它是手机游戏的不需要的应用程序的用户数量达到了最高水平，而不是在刚刚引入锁定的 2020 年第二季度，而是在第三季度，特别是在 8 月2020 年，有 6341 名用户尝试下载他们认为是游戏的应用程序，总共检测到 42,664 次。

此外，尽管检测在 2020 年夏季达到顶峰，但 2021 年努力使用手机放松的用户数量并没有显着下降，与 2021 年第二季度相比，2020 年第二季度每月受到攻击的用户平均下降 10%。

受移动游戏相关网络威胁影响的用户，2020 年 1 月至 2021 年 6 月

2020 年 1 月至 2021 年 6 月对移动游戏相关网络威胁的检测

让我们看看你在手机上得到了什么

绝大多数 (83%) 以手机游戏为幌子分发的文件是广告软件。从 2020 年 7 月到 2021 年 6 月，我们检测到 8710 个此类文件，影响了 48,492 名用户。虽然广告软件不是恶意的，但非法广告会降低用户体验的质量并使用户数据面临风险。此外，具有高度侵入性的广告软件通常会使移动设备无用，因为它会不断打开网页、显示广告并耗尽电池电量。

2020 年 7 月至 2021 年 6 月，按文件数量划分的前 10 种伪装成游戏相关类别的威胁。来源：卡巴斯基安全网络

2020 年 7 月至 2021 年 6 月按受攻击用户数量划分的 10 种伪装成游戏相关类别的威胁类型。来源：卡巴斯基安全网络

广告软件紧随其后的是木马 (8%)，有 1035 名用户下载了此类恶意软件。木马可以删除、阻止、修改或复制数据，以及破坏设备和网络的性能。某些类型的特洛伊木马，例如通过发送昂贵信息耗尽用户钱包的 Trojan-SMS 以及银行家和盗窃者，特别是收集登录名和密码等重要数据的危险软件，也作为游戏分发，尽管不太常见。

从 2020 年 7 月到 2021 年 6 月，用户搜索手机游戏时遇到的十大恶意软件代表了各种广告软件系列。最常见的是 AdWare.AndroidOS.Fyben.a，有多达 33,693 名用户遇到。第二，第三和第四，以及第七和第十名属于HiddenAd家族的成员。

从 2020 年 7 月到 2021 年 6 月，代表游戏相关文件的 TOP 10 判决（按受攻击的移动用户数量）。来源：卡巴斯基安全网络

游戏还是短信木马？

我们仔细研究了一些作为流行手机游戏分发的威胁，这些威胁可能会让用户付出高昂的代价。我们的解决方案检测为 HEUR:Trojan.AndroidOS.Vesub.b 的木马之一伪装成 Brawl Stars 和 PUBG 手机游戏。启动时，应用程序模拟加载过程，而实际上，它收集有关用户设备的信息并将其发送到控制服务器，并接收命令作为响应。在用户注意到游戏没有开始并决定退出后，应用程序图标被隐藏，但工作并没有就此结束。该应用程序继续在后台工作，接收订阅、发送短信或显示广告的命令，包括意外播放 YouTube 上的视频、Google Play 中的应用程序页面和浏览器中的广告页面。

此页面提供下载PUBG Mobile，而事实上，用户得到的只是不需要的软件

一个假的 PUBG 应用程序需要时间来加载，同时从用户的设备收集数据

Vesub木马将受感染系统的数据发送到C&C服务器并接收命令进入订阅

在分布式威胁中还有著名的Triada 木马，检测为 HEUR:Trojan.AndroidOS.Triada.bu。它能够显示不需要的广告，并在未经用户同意的情况下下载和安装应用程序。此木马隐藏在 Minecraft 的修改版本中。事实上，游戏本身确实有效，因此不知情的用户至少可以玩。

Triada 木马被编程为在未经用户许可的情况下显示广告、下载和安装应用程序——同时用户可以玩 Minecraft mod

另一种以 Minecraft 为幌子分发的恶意软件是投放器 HEUR:Trojan-Dropper.AndroidOS.Hqwar.as，以提供银行木马而闻名。这个应用程序以一种特别隐蔽的方式运行。一旦在受害者的设备上处于活动状态，该应用程序会显示一条消息，说明它安装时出现错误并提出将其删除。用户别无选择，只能点击“删除”。然后，该应用程序会通知用户它已被删除，而实际上，只有被认为是 Minecraft 的图标从 UI 中删除。该恶意软件随后会释放 Trojan-Banker.AndroidOS.Grapereh，能够发送和接收短信、拨打电话和发送 USSD 命令。

安装后，虚假的 Minecraft 应用程序会通知用户安装错误并请求删除，但实际上从未发生过

我们玩的钓鱼游戏

在报告的前几节中，我们讨论了伪装成流行游戏的恶意软件和垃圾软件。但是，还有另一个常见威胁：网络钓鱼。这是一种网络犯罪形式，它依赖于社会工程技术，通过创建令人信服的知名品牌或理想产品页面的复制品。网络钓鱼通常用于诱使用户放弃他们的数据和现金或下载恶意软件。在设计有吸引力的诱饵时，网络钓鱼者会尽力而为，提出一些可以欺骗不知情的用户的创意方案。对于网络骗子来说，游戏是一个特别有利可图的话题。让我们来看看一些采用的方案。

免费黄金？

在过去的几年里，许多热门游戏都推出了自己的游戏内货币，可用于购买游戏内商品、资产和升级角色。游戏内货币是游戏货币化的另一种方式，而一些用户，意料之中地尝试减少在游戏上的花费。

一些网络钓鱼者利用这种减少费用的愿望，并提供免费生成游戏内货币。我们找到了这些计划的例子，针对 Apex Legends、FIFA21、Candy Crush、GTA5、Pokemon Go 和 PUBG 的玩家。当然，这些页面实际上并不提供硬币——仅通过所谓的“人工验证”调查收集电子邮件、特定游戏的用户名、游戏 ID、手机和社交媒体句柄。这些稍后可以用于额外的定位或在暗网上的数据库中出售。

留下您的用户名和 ID，一无所获：这就是网络钓鱼者的运作方式

免费游戏、好东西和礼品卡

许多网络钓鱼页面免费或以极低的价格提供游戏：一套游戏低至 0.5 美元。他们所要求的只是分享您的社交媒体句柄或电子邮件并完成一些任务。可以收集这些数据以供进一步使用。此外，如果您在此类网站上支付很少的钱，您的信用卡详细信息很可能会丢失。当网站要求您提供信用卡详细信息而不收取任何费用时也是如此。有些页面提供免费游戏下载，无需填写任何调查或表格。在这种情况下，您真正下载的很可能是恶意软件或广告软件。

此网络钓鱼页面以不到一美元的价格提供包含 30 到 100 款游戏的套餐

一个网络钓鱼页面提供了模拟人生 4 小屋生活的假副本

免费提供的 Dota 2 捆绑包仍然需要信用卡详细信息，稍后可以在暗网上的数据库中找到

一些网络钓鱼者甚至提到其他软件可能包含隐藏的恶意软件，这是一种消除气味的好方法

释放一些蒸汽

Steam等流行的在线游戏平台也被用作诱饵。粗心大意可能会导致放弃您的游戏凭证——以及您帐户中的所有内容以及这些凭证。这也包括您的游戏和上述游戏内货币。

这个网络钓鱼页面看起来很有说服力，但它所做的只是收集 Steam 帐户详细信息

流媒体和游戏社区的通信平台 Twitch 和 Discord 也是如此。网络钓鱼者创建以流行平台为品牌的页面，并以赠品和讨价还价的名义获取凭据和信用卡详细信息。

这个伪装成 Discord 的网络钓鱼页面将收集 Discord 帐户凭据

网络犯罪分子还可以在平台本身上推广虚假赠品。早些时候，我们在 Twitch 上介绍了一个这样的计划，骗子创建了虚假的流媒体配置文件以吸引用户的注意力。

假装它直到你成功

在线锦标赛也越来越受欢迎，网络骗子也知道这一点。我们遇到了复制流行锦标赛的网络钓鱼页面，甚至提到赞助商品牌以使其更具说服力。这些方案通常也会导致登录名和密码被盗。

这个精心设计的锦标赛页面只不过是利用知名和值得信赖的品牌的骗局

结论和建议

大流行对视频游戏行业的影响非常明显，导致对玩 PC 和手机游戏的用户的攻击有所增加。与此同时，随着事情恢复正常，我们观察到两个截然不同的趋势：虽然 PC 游戏玩家受到攻击的可能性越来越小，但手机游戏玩家仍然是网络犯罪分子非常有吸引力的目标，这一趋势可能会随着快速增长而出现整个移动行业。

虽然分发给游戏玩家的大多数威胁都是不需要的应用程序，但包含特别危险菌株的恶意软件的较小份额需要引起注意。我们目睹了以游戏为幌子隐藏的恶意软件，并在涉及网络钓鱼和warez 网站的非常活跃的协调活动中分发。此外，网络骗子继续投资推广恶意软件登陆页面，甚至可以使其登上热门搜索引擎的榜首。

针对游戏玩家的计划数量也在增加，对于普通用户来说，在视觉上区分实际交易的计划仍然很困难。网络犯罪分子赶上在线平台热潮和游戏锦标赛的潮流，设法消除自己的怀疑并诱骗用户放弃他们的数据。总体而言，对游戏凭证和游戏内物品的追捕仍在继续。它也可能采取其他形式，我们将在报告的第二部分讨论。在这种情况下，用户保护自己的最佳方式是保持警惕并采用可靠的技术，在人为判断失败时帮助检测威胁。

为了在游戏时保持安全，我们建议：

尽可能使用双重身份验证保护您的帐户。对于其他情况，请梳理帐户设置。

使用强密码 - 并且为每个帐户设置一个唯一的密码。这样，即使您的一个帐户被盗，其余帐户也不会随之而来。

一个强大、可靠的安全解决方案将对您有很大帮助，特别是如果它不会在您玩游戏时降低您的计算机速度，同时还能保护您免受所有可能的网络威胁。例如 ，卡巴斯基全方位安全软件可与 Steam 和其他游戏服务顺利配合。

仅从 Steam、Apple App Store、Google Play 或 Amazon Appstore 等官方商店下载游戏更安全。来自这些市场的游戏并非 100% 安全，但它们至少由商店代表进行检查，并且存在某种筛选系统：并非每个应用程序都可以进入这些商店。

如果您想购买主要商店没有的游戏，请仅从官方网站购买。仔细检查网站的 URL 并确保它是真实的。

尽量避免购买第一个弹出的东西。即使在 Steam 的夏季特卖期间，在为一个鲜为人知的标题付出代价之前，至少阅读一些评论。如果某事是可疑的，其他人可能会弄清楚。

谨防网络钓鱼活动和不熟悉的游戏玩家。除非您信任发件人，否则请勿打开通过电子邮件或游戏聊天收到的链接。不要打开从陌生人那里获得的文件。

仔细检查要求您输入用户名和密码的任何资源的地址：该页面可能是假的。

请勿下载盗版软件或任何其他非法内容，即使您是从合法网站重定向到的。

在更新可用时更新您的操作系统和重要应用程序。许多安全问题可以通过安装更新版本的软件来解决。

不要打开搜索结果中提供的可疑网站，也不要安装来自这些网站的任何内容。