声明
本文是学习2020年Android平台恶意样本整体态势分析报告. 下载地址 http://github5.com/view/55001而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
物联网Android木马攻击分析
以往针对Android木马的研究大多集中在智能手机领域。但奇安信威胁情报中心监测显示,随着物联网领域的兴起,越来越多的物联网设备开始搭载Android系统,且物联网设备的整体安全防护及安全管理能力都远远不及智能手机。所以,物联网设备已经成为很多黑产团伙盯上的新目标。
挖矿木马
“AdbMiner”挖矿木马诞生于2018年,直至2020年依然存活,是今年Android平台最流行的一款挖矿木马。主要通过droidbot攻击模块对已经打开的 adb 调试端口的Android设备进行蠕虫传播。其一开始针对的目标是电视盒子设备,后续也被发现于充电桩等其它Android物联网设备中,其感染对象几乎全都是物联网设备。
根据数据统计,挖矿家族AdbMiner在全世界感染量接近万级,国内感染量达到千级。
2020年9月30日,日本某地区充电桩遭受AdbMiner家族攻击后正常业务无法展开,奇安信威胁情报中心发现后发布报告披露IoT挖矿家族AdbMiner在野活动。
充电宝木马
2020年12月,监管机构发布一则重要提醒,让广大人民群众警惕身边的共享充电宝,其内部很有可能就植入有木马程序。
正规的共享充电宝只提供充电功能,而不会提供包含数据传输线路的功能,因此插上充电线后不会有任何弹窗。而恶意改造的充电宝会存在申请权限访问用户个人隐私数据或者弹窗显示是否允许访问手机上的数据等,具体见下图。
针对此类通过充电宝传播的木马程序,奇安信威胁情报中心给出如下安全建议。
- 使用正规商家的共享充电宝。
- 如果插入充电宝后有任何弹窗,就应该提高警惕并选择否。
- 使用Android手机时,如无必要不要开启开发者模式。
移动平台黑产活动监测
互联网用户的网络安全意识还较为薄弱,容易被黑产人员设计好的套路所欺骗。2020年,奇安信威胁情报中心披露多条黑色产业链相关细节,揭露常见欺诈套路,为普及安全常识做出贡献。
山寨网贷
山寨网贷诈骗模式
山寨网贷APP,是指黑产团伙开发的,仿冒某些知名网贷平台的APP,或完全虚假的网贷APP。不同于一般的木马程序,此类APP不仅会窃取用户网银等帐号信息,还会通过虚假的网贷平台,诱骗用户缴纳各种费用,从而实施诈骗。
山寨网贷平台的攻击过程一般如下。
- 推广山寨网贷APP
黑产组织首先仿冒知名机构网贷平台,通过短信、电话、聊天等方式进行推销,诱骗借款人下载安装与正版APP相似的山寨网贷APP。相关钓鱼短信见下图。
- 一旦借款人使用了山寨网贷APP,便会被要求山寨网贷APP中注册自己个人信息申请借款,但申请的额度往往无法支取。在遭受个人信息被泄露的同时,假客服还会以手续费、保证金、银行账号解冻费、提现费用等话术套路,引导借款人进行转账或其他行为,进一步造成用户的个人财产损失。
山寨网贷APP态势
2020年奇安信威胁情报中心累计截获山寨网贷样本多达5万多个,涉及2万多个APP,其中采用有