2020年Android平台恶意样本整体态势分析报告

最新推荐文章于 2023-05-06 17:39:16 发布
最新推荐文章于 2023-05-06 17:39:16 发布
阅读量212 收藏
点赞数
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74079109/article/details/128561077
版权

声明

本文是学习2020年Android平台恶意样本整体态势分析报告. 下载地址 http://github5.com/view/55001而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

Android平台恶意样本分析

2020年奇安信威胁情报中心累计截获Android平台新增恶意程序样本230万个,平均每天截获新增恶意程序样本6301个。2020年全年共有三个月爆发较大规模的新增恶意程序样本,分别是位于上半年的4月(34.6万个),下半年的10月(43.6万个)和11月(45.2万个),累计共占全年新增恶意程序样本的53.7%。其中在爆发最高峰的10月和11月,这两个月的恶意样本占比高达70%以上,是最低峰6月的4倍。2020年Android平台各月新增木马数量见下图。

github5.com 专注免费分享高质量文档

2020年移动端恶意样本类型主要为恶意扣费(占全年移动端恶意样本的34.9%),其次是资费消耗(占比24.2%)、流氓行为(占比22.8%)。可以看到,大半的移动恶意程序是直接冲着用户“钱包”来的,切实关系到用户直接的经济损失。

github5.com 专注免费分享高质量文档

金融类Android木马攻击分析

国内外的Android应用安全环境存在很大的不同,世界各个不同地区的流行Android木马,其攻击目的、攻击方式、伪装方式也有很大的不同。研究和追踪全球木马流行趋势,对于我们做好国内的安全“免疫”工作,具有很重要的参考价值,也是威胁情报分析的核心工作之一。所以,在分析国内Android木马流行趋势之前,我们首先对国外的Android木马流行趋势做一个基础分析。

全球网银类木马流行趋势

2020年奇安信威胁情报中心累计截获Android平台新增网银盗号木马样本约20万个,其中TOP5的网银盗号木马家族样本多达近16万个。

在TOP5全球网银盗号木马家族中,最“耀眼”的当属Anubis和Ceberus,其除了仿冒数百款国外银行应用进行攻击外,还在疫情期间借助疫情诱惑、吸引受害者。2020奇安信威胁情报中心疫情期间分别对其展开了披露,提醒广大移动互联网用户谨防中招。

github5.com 专注免费分享高质量文档

网银盗号木马常常伪装成其他应用程序诱骗用户下载安装。监测显示,Chrome(23.7%)、佐川急便(8.2%,日本流行的快递应用)、Flash Player(4.7%)是被伪冒量最多的应用。下图给出了被国外网银盗号木马仿冒最多的10类应用程序。TOP10排名见下图。

github5.com 专注免费分享高质量文档

Chrome浏览器是国外用户手机上一款常用的APP,国外用户对该APP的信任程度较高,故攻击者们常将其作为仿冒的主要目标。另外,攻击者们也会出于某些目的将目标瞄准特定地区,如针对日本地区的佐川急便,针对土耳其地区的Sistem Güncelleştirmesi(系统更新),针对韩国地区的KB저축은행(KB储蓄银行),针对俄语地区的ВТБ Онлайн(VTB在线)、Одноклассники(Odnoklassniki)等。

分析显示,在国外,流行的网银盗号木马主要通过以下四种技术方式来实现盗取用户银行卡凭证信息。

  1. 利用钓鱼页面

例如,Chrome浏览器具备绑定银行卡的功能,所以木马伪冒Chrome在启动的时候弹出银行卡绑定页面诱骗用户输入银行卡凭证。

  1. 伪冒银行APP

仿冒合法网银APP软件的木马程序,会在用户登录时要求用户输入个人信息以及银行卡凭证进行窃取。

  1. 弹出钓鱼页面覆盖银行APP

木马一经安装启动就会在桌面上消失,躲藏在后台默默运行,等待用户启动正常银行APP时弹出钓鱼页面覆盖银行APP的页面来诱骗用户输入银行卡凭证进行窃取。

  1. 利用无障碍服务

木马启动后要求用户开启Android系统为残障人士提供的无障碍服务来监听用户使用银行APP情况,木马还会记录键盘输入信息来进行窃取银行卡凭证。

针对国内金融机构的仿冒木马

国内网络监管审查相比国外更加严格,移动互联网治理工作更有成效,拥有较好的大环境。研究发现,在国内,仿冒其他应用的网银类木马数量要比国外少得多。2020年,奇安信威胁情报中心共在国内监测伪冒正常应用的网银盗号木马近百个。其中主要以伪冒各大银APP、伪冒安全软件以及银行相关APP为主。具体分布见下图。

github5.com 专注免费分享高质量文档

2020年10月份,我们捕捉到一个国内网银盗号木马新家族“BYL”,该家族会伪装成国内数家知名银行APP。该家族木马通过获取用户银行卡凭证、个人信息来盗窃用户财产。奇安信威胁情报中心大数据统计,该样本于2020年7月至10月中旬首次爆发,至少在国内31个省级行政区的用户手机上进行传播,感染总设备多至2000台左右,其中山东11.5%、上海6.9%、四川6.7%为全国感染量最多的三个省级地区。

2020年12月,该家族木马再度来袭。奇安信威胁情报中心大数据统计,截至2020年12月31日,全国12个省级行政区用户对BYL网银盗号木马家族搭建的钓鱼下载页面的访问数量达到万级,其中内蒙古(11.8%)、北京市(4.5%)、广东省(4.2%)是国内钓鱼下载页面访问量最多的三个地区。具体情况见下图。

github5.com 专注免费分享高质量文档

延伸阅读

更多内容 可以点击下载 2020年Android平台恶意样本整体态势分析报告. http://github5.com/view/55001进一步学习

联系我们

T-CMHXXH 001—2022 崇明蟹种绿色生产技术规程.pdf

m0_74079109
关注
Android 应用程序恶意软件分析
iCloudEnd的博客
04-29 358
我想与大家分享我关于 Android 应用程序恶意软件分析的文章。希望对你也有用随着科技的进步,越来越多的人使用智能手机和平板电脑进行网上购物、网上银行、通讯等日常工作;这就是恶意人员向此类智能设备发送恶意软件的主要原因。分析恶意软件有 3 种类型;动态分析、静态分析和网络分析。静态分析基于运行代码之前指定的特征,另一方面,动态分析基于基于实践的特征。网络分析基于基于网络的特征。首先,我想提供有关 Android 操作系统和 APK 文件的信息。之后我们将在本文中进行静态分析。
[网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
热门推荐
杨秀璋的专栏
07-19 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这篇文章将介绍基于机器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代码检测技术,基础性文章,希望对
Android恶意软件样本分析工具APKinspector免费版
08-06
APKinspector是一款强大的工具,可以帮助分析人员手动分析Android恶意软件样本,GUI部分使用了PyQT。 APKinspector的主要特点如下: (1) Graph-based UI displaying control flow of the code. (2) Links from graph view to source view. (3) Function/Obj
Android病毒分析报告】 - AppPortal “恶意行为云端无限扩展”
移动安全研究和Android/iOS/小程序隐私合规
03-13 6521
百度安全实验室最近发现了一款“应用传送门”病毒,该病毒架构设计简单灵活,完全实现了恶意代码的云端控制、插件化和动态可扩展。该病毒伪装成系统服务,且没有桌面图标,不易发现。该病毒能够从服务端获取恶意插件列表信息。依次下载恶意插件并调用恶意插件代码,从目前监测到的恶意插件来看,下载的插件存在以下恶意行为: 1、 静默下载安装其它恶意程序。 2、 静默下载安装其它推广应用。
Android 恶意样本 md5,【干货分享】恶意样本分析手册——常用方法篇
weixin_32163411的博客
05-28 862
阅读:5,751图解恶意样本分析的常用方法,你与安全专家的差距只有一篇文章!文件识别常见的可执行程序格式有PE,ELF,MACH-O等,不同的格式有不同的标志信息(参考理论篇),知道了目标文件的格式后才能确定对应的分析方法和分析工具。可以使用16进制解析器载入可执行程序,然后查看是哪种类型的文件。图:PE文件格式图:ELF文件格式一般二进制文件的前四个字节为文件格式的magic,可以通过从网络搜索...
安卓木马demo_小demo 旋转木马
weixin_42358261的博客
02-12 160
翻转导航body {/*添加透视*/perspective: 1000px;}/*最外面的盒子*/section {position: relative;width: 300px;height: 200px;background: url(img/pig.jpg);margin: 200px auto;transform-style: preserve-3d;/*给子元素开启三维环境 重点代码*/...
2020 Android平台恶意样本整体态势分析报告
glb111的博客
02-09 803
本文是学习而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们。
信息安全快讯丨个人信息保护法列入人大立法规划;汇丰银行部分用户数据泄露;Android恶意样本数量达320万个
featherli2016的博客
11-12 1326
  政府举措 个人信息保护法列入人大立法规划 关键词:个人信息保护 11月8日,第五届世界互联网大会“大数据时代的个人信息保护”分论坛在浙江省乌镇举行。从会上了解到,个人信息保护法已经列入本届全国人大常委会立法规划,我国将进一步加大对个人信息保护力度。 但随着全球数据爆发增长、海量集聚,大数据发展日新月异,数据安全风险日益凸显,保护数据安全特别是个人信息安全,成为世界各国共同面对...
卡巴斯基实验室:2020Q2 APT趋势报告
systemino的博客
08-16 1000
一、概述 卡巴斯基全球研究与分析团队(GReAT)三多以来一直在发布高级持续性威胁(APT)活动的季度报告。这些报告基于我们的威胁情报研究,提供了我们在私有APT报告中已经发布和详细讨论的部分内容摘要,以突出展示我们认为大家应该关注的重大事件和发现。 这是我们系列报告的最新一期,重点关注我们在2020第二季度期间观察到的活动。 二、显著发现 5月11日,总部位于英国的超级计算中心ARCHER宣布将在调查安全事件期间关闭对互联网的访问。其网站表明,“ARCHER设施是基于提供核心计算资源的Cray
诱惑视频木马样本态势
m0_74079109的博客
01-05 7741
本文是学习而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们。
软件测试方法国内外研究现状,恶意软件检测的国内外研究现状
weixin_33608760的博客
07-22 1844
恶意软件检测的国内外研究现状文献综述恶意软件检测方法基于行为Analysis of Machine Learning Techniques Used in Behavior-Based Malware Detection表明随着恶意软件的高速增长,传统的静态分析已经不能够满足检测的需求,所以使用机器学习的方法来对恶意软件进行分类及检测已成为目前最为流行的方法之一。它通过研究恶意软件在沙盒内的行为模...
一个简单的Android木马病毒的分析
墨鱼菜鸡
09-09 310
一、样本信息 文件名称:一个安卓病毒木马.apk 文件大小:242867byte 文件类型:application/jar 病毒名称:Android.Trojan.SMSSend.KS 样本MD5:05B009F8E6C30A1BC0A0F793049960BC 二、病毒行为分析 0x1...
android发布平台排行榜,2017Android平台新增恶意软件地区感染量排行榜(附榜单)...
weixin_39639049的博客
05-31 82
中商情报网讯:据数据统计显示,2017Android平台新增恶意软件样本757.3万个,平均每天新增2.1万。在手机用户感染恶意软件方面,2017全Android用户感染恶意软件2.14亿,相比20162.53亿人次下降15.4%,平均每天恶意软件感染量约为58.5万人次。从地城分布来看:感染手机恶意软件最多的地区为广东省,感染量占全国感染数量的10.4%,位列2017Android平...
Android病毒样本分析(2)
ireader135的博客
03-23 1191
1.基本信息 病毒名称: a.privacy.fakeccb.a[建设控件] 文件名称: BWM在线 文件MD5: E32377EE18BF0D853D5B45DEDFB6997D 文件包名: com.qqquanquan1031606149 危害属性: 恶意勒索   2.基本行为 程序启动后直接锁屏,以勒索用户   3.详细分析 1、在入口函数内启动服务 tr
20222806 2022-2023-2 《网络攻防实践》实践八报告
最新发布
qq_34529750的博客
05-06 386
任务:分析的数据源是用Snort工具收集的蜜罐主机5天的网络数据源,并通过编辑去除了一些不相关的流量并将其组合到了单独的一个二进制网络日志文件中,同时IP地址和其他特定敏感信息都已经被混淆以隐藏蜜罐主机的实际身份和位置。僵尸网络的危害性在于它的分布式性质和难以追踪性,攻击者可以通过远程控制指挥大量的僵尸计算机,从而造成广泛的网络攻击和破坏。攻击者可以利用僵尸网络传播各种恶意软件,如病毒、木马、勒索软件等,感染更多的计算机并扩大僵尸网络规模。可以看到tcp有端口135、139、25、445、4899、80;
2021恶意软件攻击趋势
摔不死的笨鸟的博客
02-07 1352
网络安全市场趋势 2016-2020中国网络安全行业市场规模(单位:亿元) 自2016以来,公安部每开展针对关键信息基础设施的实战攻防演习,被称为“护网行动”,随着等保2.0时代的到来,2019“护网行动”涉及范围扩大至工信、安全、武警、交通、铁路、民航、能源、新闻广电、电信运营商等单位,等保2.0落地给网络安全行业带来新成长动力。 2020,全球APT活动呈现出了三大特点:疫情热点信息成APT活动常用诱饵,供应链和远程办公成为攻击切入点,定向勒索威胁成为APT活动新趋势。 2020大中型
Android病毒分析报告】 - BadNews
移动编程
04-28 208
本文章由Jack_Jia编写,转载请注明出处。文章链接:http://blog.csdn.net/jiazhijun/article/details/8863104 作者:Jack_Jia 邮箱:309zhijun@163.com 前段时间Lookout安全团队发现了一个利用广告网络推送恶意软件的病毒样本BadNews。该广告网络将向感染设备推送AlaphSMS恶意软件(ht...
国内Top500Android应用分析报告
My'is android 历程
07-11 1348
背景 笔者目前在开发的应用在线上有不少OOM的问题,经过一番优化后,OOM降了一个量级,但由于产品中Gif是一特色,内存占用优化空间比较有限,想要减少OOM最简单的办法可能就是开启largeHeap。Google官方是不推荐使用largeheap的,更大的内存意味着更长的垃圾回收时间,所以我就想看看国内的这些应用是否有打开largeheap。用AS的APK Analyzer看了下微信和QQ空
Android恶意代码检测:结合静态与动态分析的方法
"胡文君等人提出了一种针对Android平台恶意代码的检测方法及系统实现,结合静态和动态分析技术,旨在解决Android恶意代码泛滥的问题。该系统在静态分析阶段,通过提取Android程序的权限、API调用序列、组件、资源和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值