欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Kaspersky发布2018年移动端恶意软件发展趋势报告

来源:本站整理 作者:佚名 时间:2019-03-13 TAG: 我要投稿

与2017年的报告相比,本次报告的统计数据来自卡巴斯基实验室的所有移动安全解决方案,而不仅仅是卡巴斯基Android版手机杀毒软件。这意味着,本次报告相比过去会有很多新的观察点。由于各种卡巴斯基实验室产品的普及率已经很大了,所以分析范围及其广泛,这使得统计基础的样本几乎遍布世界各地,对趋势的判断也愈加准确。
本次报告的统计数据
1、检测到恶意安装包5321142个;
2、151359个新的移动银行木马被检测到;
3、60176个新的移动勒索软件被检测到;
攻击趋势分析
2018年,移动设备用户面临有史以来最严重的网络攻击。在过去的一年里,分析人员观察到了许多新的移动设备攻击技术(例如DNS劫持)和使传播方案(例如SMS spam)的增加。总的来说,新的恶意软件的开发者的注意力都集中在了以下4点:
1. Dropper(Trojan-Dropper),旨在绕过检测;
2.通过移动设备攻击银行账户;
3.可被网络犯罪分子用来发起攻击的应用程序(RiskTool)
4.广告软件应用
2018年,分析人员发现了三次旨在监视受害者的移动APT活动,包括在社交网络上阅读信息。除了这些活动外,本报告还涉及了全年发生的移动威胁的所有重大事件。
Dropper技术的使用力度加大
在过去三年中,采用Dropper技术的木马已经成为专门从事移动恶意软件的网络犯罪分子的首选工具。Dropper技术经过简化,可以很容易的被各种团体创建、使用和销售。Dropper的开发者中可能会将其用于开发勒索软件、银行木马和显示广告的恶意应用程序。Dropper除了被用作隐藏原始恶意代码,还有其他功能:
1.绕过检测:Dropper对于绕过基于文件哈希的检测特别有效,因为它每次都会生成一个新的哈希,而与此同时,恶意软件内部的字节却不会改变。
2.允许创建任意数量的独特文件:例如,木马开发者在将他们的攻击平台伪装成虚假应用商店时就需要这样做。
虽然移动Dropper并不是什么新技术,但在2018年第一季度,分析人员看到使用该技术的恶意软件的数量急剧上升。其中最大的贡献来自Trojan-Dropper.AndroidOS.Piom家族。这种猛增的趋势一直持续到了第二季度,但增速相比第一季度要平稳得多。毫无疑问,未来的攻击趋势肯定是这样的,尚未使用Dropper的恶意软件要么创建自己的Dropper,要么购买现成的Dropper,这一趋势将影响到未来移动恶意软件的发展趋势。
银行木马的攻击势头引人注目
2018年有关移动银行木马攻击数量的统计数据引人注目,从年初的统计来看,无论是从发现的样本数量,还是从受到攻击的用户数量来看,这类威胁似乎已经稳定下来了。然而,到第二季度,情况就风云突变。分析人员检测到的移动银行木马数量和受到攻击的用户数量都创下了新纪录,虽然目前其背后的原因尚不清楚,但很大程度上和Asacub和Hqwar木马家族有关。Asacub早在2015年就被发现了,中间经过了多次迭代,它最初是从一个短信木马演变而来的,该木马从一开始就配备了一些绕过技术以及拦截来电和短信的功能。2017年中旬,Asacub已经上升为世界上最大的移动银行木马形式,在攻击数量上远远超过其他攻击形式的银行恶意软件,包括Svpeng和Faketoken。然而,2018年的银行木马不仅在规模上突飞猛进,在攻击机制上也值得关注。其中就是许多木马开始使用 Accessibility Services(易访问性服务)。这可能是未来新版Android的发展方向,新版Android使得攻击者在银行应用程序上覆盖钓鱼窗口变得越来越困难,且用户无法自行删除它。更重要的是,网络罪犯可以利用易访问性服务劫持一个完全合法的应用程序,迫使它启动一个银行应用程序,直接在受害者的设备上转账。除此之外,反检测技术也出现了,例如,Rotexy木马会检查它是否在沙箱中运行。然而,这并不是什么新的技术,因为分析人员以前就观察过这种行为。也就是说,需要注意的是,如果恶意软件开发者设法将他们的木马病毒渗透到流行的应用程序商店中,再结合混淆,反动态分析技术,在这种情况下,任何预防方案都是检测到它的。虽然沙箱检测不能说是网络犯罪分子的普遍做法,但趋势是明显的,我相信这种技术在不久的将来会变得非常复杂且普及。
广告软件和潜在的危险软件
2018年全年,这两类移动应用程序的安装包数量都是排在前三位的。造成这一现象的原因有很多,但其中最主要的原因是,广告软件和对广告商的攻击是网络犯罪分子相对安全的致富手段。这类攻击不会对移动设备所有者造成损害,除非在一些罕见的情况下,比如部署了具有root访问权限的广告软件应用程序而导致的设备过热被烧坏。更为可怕的是,因为广告是在随机时间和广告软件界面之外显示的,用户不知道哪个应用程序导致了这种可怕的后果。安装一个这样的恶意的广告应用程序,就会连带启动另外十几个类似的应用程序,将设备变成广告僵尸设备。最糟糕的情况是,新出现的广告软件将有一个带有漏洞的模块,允许它将自己写入系统目录或工厂设置回滚脚本。之后,恢复设备运行能力的唯一方法就是搜索固件的出厂版本并通过USB下载。
另外,每条广告被点击的次数越多,他们得到的钱就越多。最后,由于广告软件模块通常是在不考虑所传输数据的机密性的情况下进行编码,这意味着对广告商基础设施的请求可以在未加密的HTTP流量中发送,并包含有关受害者的任何隐私的信息,包括地理位置。
不过RiskTool软件的情况略有不同,该软件在2018年检测到的所有移动威胁中所占份额最大。 App内购买长期以来一直以来都备受诟病,该设备被绑定到一个与银行卡相连的账户上。所有流程对用户都是透明的,并且可以取消购买。例如,RiskTool类型的应用程序还具有一个选项,供用户购买游戏中的新关卡或漂亮女孩的照片,但付款对用户来说完全不透明。应用程序本身会在没有任何用户参与的情况下向特殊号码发送SMS,并收到RiskTool的确认消息。因此,应用程序知道成功付款并显示购买的内容。但是,所显示的内容仍由应用程序创建者自行决定。分析人员相信,广告软件和risktool类应用程序的泛滥肯定要在2019年大规模爆发。
移动挖矿软件的数量大幅增加
2018年,分析人员发现使用移动挖矿软件的攻击比过去增加了5倍。这种增长可归因于以下3个因素:
1.移动设备由于自带的越来越强大的图形处理器,使它们成为更有效的加密货币挖掘工具;

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载