序言

在移动产业发展的巨大变革过程中，信息安全的“攻”与“守”之道往往也是共生并进的。2017年，移动安全和威胁对抗不断迈入新的阶段，而所谓“方兴未艾”与“暗流涌动”，也能够很好地体现于此：

针对移动网络，除持续对普通用户信息安全造成影响的传统电信诈骗之外，更衍生出了基于仿冒应用、短信拦截马、短信蠕虫等针对智能手机用户的精准电信诈骗，且近年来俨然成为一种常态化威胁，新增的受害用户数量不可小觑；

近一两年，随着PC端出现诸如WannaCrypt0r等目标明确、影响广泛的勒索软件，移动终端也出现影响较广的加密勒索软件、隐私窃取及控制软件等，不仅对用户数据安全造成致命威胁，给用户带来各种形式损失，还可能使用户终端设备沦为僵尸网络节点，遭到攻击者的全盘控制，影响极为严重；

部分商业利益或政治因素驱动的移动终端恶意软件（往往以潜伏的APT或类APT形式被发现）出现更为频繁，这些恶意软件往往具备攻击的精确性、战术性及较完善的攻击链逻辑，在考验基于“病毒特征库”启发检出机制及各方情报收集、分析及预警能力的传统威胁对抗模式的同时，可能导致较为重要的商业秘密或较高密级的国家基础设施信息持续性泄漏，且往往在发现时就已造成难以衡量的恶劣影响。

起：基于数据的总体形势分析

本章节中，将以安天移动安全云端安全监测引擎在17年所捕获的各类数据为基础，就各视角进行筛分统计，并从宏观角度作出初步分析。

1.1 恶意应用数量整体增长趋势

图1-1：2011年-2017年 Android 恶意应用数量增长趋势

如上图所示，恶意样本量自2014至2017年间均呈现出倍数或近倍数级的年度增长，而2017年恶意样本数量就增长趋势来说有所放缓，相对2016年而言并未再次产生倍数级的增加，但其近千万量级的绝对数量仍然不可掉以轻心，尤其是随着当前互联网游戏、直播、办公及线下服务等应用的发展成熟，这些应用受到各种形式恶意应用影响的可能性也就越大，需要格外留意。

1.2 影响用户数最多的恶意应用 TOP 10

 
表1-2 2017年影响用户数最多的恶意应用 TOP 10

安天移动安全团队从2017年云端大数据监测结果中就“恶意应用”进行筛选统计，并对影响用户数最多的10个应用进行用户数量统计（如上表所示）。发现，无论恶意应用是伪装或捆绑在游戏或是色情应用之上，会安装这些目标应用的用户都符合“不具备可疑应用甄别能力”以及“对相应主题应用较无戒心”的特点；而这些恶意应用的行为类别，无论是恶意扣费或是隐私窃取，相对具备远程控制行为的恶意应用，其往往对系统本身运行速度影响较少，且具备令受害用户“事中难以感知，事后发现时延较长”的特点。这将可能给攻击者带来更多的不法利益，一定程度上使得更多的恶意应用变种不断出现。

1.3 恶意应用行为类别分布趋势

图1-3：2016、2017年恶意应用行为类别分项统计图

安天移动安全针对2016、2017年云端引擎监测捕获到的所有恶意应用的行为进行统计发现：相比2017年各类别恶意行为均有增长，其中流氓行为最为突出，两年在恶意行为类别中占据比重均接近50%；且持续对用户信息安全产生较大影响的TOP 5恶意应用行为包括流氓应用、资费消耗、恶意扣费、隐私窃取类及远程控制。值得一提的是，这五个类别的恶意应用往往具备多个功能模块，例如某一扣费应用往往也可能具备恶意传播的模块，故从占比来看，仅具备诱骗欺诈、系统破坏及恶意传播模块的应用相对较少。

1.4 移动应用及恶意代码加固趋势

图1-4：2013-2017 移动应用及恶意应用代码加固技术部署趋势示意图

上图是安天移动安全团队就云端安全引擎在2013至2017各年所捕获到的加壳正常应用样本及加壳后的恶意应用样本（即加壳黑样本）数量进行统计后绘制的趋势示意图。从中我们可以发现，恶意应用对加壳技术的运用在2014年之后就进入较为普遍的状态。在2014-2015年及2015-2016年的两个时间区间内，我们也察觉到了加壳恶意应用绝对数量的快速增长；而2016年至今，我们每年捕获的加壳恶意应用数量均超过了正常应用数量的50%，可以从一个角度说明加壳技术遭到恶意应用使用的广泛性；但同时，由于加壳技术（尤其是私有加壳技术及商业加壳技术）会导致各类杀毒引擎更难对恶意代码进行检出，可能导致一定程度的威胁增加，加之2017年加壳恶意应用的检出数量仍在百万级，检出数量的变化趋势也不容乐观。安天移动安全团队倾向于认为，代码加固技术在移动恶意应用上遭到滥用所带来的威胁仍然处在高位，且短时间内将保持这一威胁水平。

1.5 恶意仿冒应用数量增长趋势

 
图1-5：2011-2017 恶意仿冒应用数量增长趋势示意图

如上图所示，自2016年底开始，每月新捕获的恶意仿冒应用开始突破1000个；2017年全年，平均每月新捕获的恶意仿冒应用数量达到了五位数；全年的高峰发生在2017年3月，该月新捕获的恶意仿冒应用为44651个；当前恶意仿冒应用每月新增量仍然具备波动增加的趋势。结合当前捕获的每月新增量趋势，安天移动安全认为，恶意仿冒应用应引起各类服务运营商及外部安全公司的高度重视，同时作为普通用户，应加强应用甄别能力与基本的安全意识；针对较重要的服务应用，应尽量从官方网站渠道获取确保安全的应用软件，而不是任何第三方应用市场；同时利用外部杀毒软件及框架级安全软件保护移动设备安全。

1.6 短信拦截木马数量增长趋势

图1-6：2014-2017 短信拦截木马数量增长趋势示意图

如上图所示，每个月都有超过1000个短信拦截木马被捕获，标志着这一类恶意应用的威胁形势依然严峻；同时，近两年短信拦截木马在每年农历春节所在及相近月份都发生了爆发性的增长，尤其是2017年，1月至3月捕获的短信拦截木马数量是全年其他月份捕获总和的2.5倍；2017年2月新捕获的短信拦截马77637个，为监测以来最多；短信拦截木马每月新增量仍然具备波动上升趋势。作为对普通用户的警示，应注意对类似“业务热点时间段”所可能产生的较高信息安全风险保有一定防范意识，定期为移动设备，尤其是安装了各类涉及金融及隐私信息处理应用的移动设备进行病毒查杀，同时利用外部杀毒软件及框架级安全软件保护移动设备安全。

承：移动安全焦点问题梳理

本章节中，将通过对当前影响较为显著的移动安全问题进行梳理分析，并对其在2018年的风险给出发展方向方面的预测，供您参考。

2.1 互联网业务数据风险及影响日益明晰

当前互联网所承载的To C（对用户）服务类型日益增加，各类实际业务覆盖面及用户粘性也日益加深，尤其像“分期借贷”、“信用”、“金融”等新兴类目的互联网服务，其涉及的用户数据类型及维度杂糅到前所未有的地步。这不仅使得传统信息安全预警下的"业务数据风险"转嫁到"用户数据风险"的可能性相较先前变得更高，也使得各业务系统中不同类型的的用户数据、用户行为数据及用户特征数据成为了对用户本体造成极大安全风险的"定时炸弹"。

鉴于目前互联网服务相关业务数据的风险已处于较高位，同时其风险可控程度可能由于数据体量扩充（TB级扩充到PB级甚至EB级）、数据架构改变（传统数据存储变更为以大数据仓库为中心）等因素而同步降低，安天移动安全团队倾向于认为，2018年类似的风险仍将维持较高或略有升高的水平。

2.2 体系化的电信诈骗手法层出不穷

针对智能移动终端设备，除去过往频发的传统电信诈骗及2G/3G伪基站诈骗之外，随着近年来第三代UMTS/第四代LTE高速蜂窝通信网络在我国境内的飞速发展，更衍生出了基于仿冒应用、短信拦截马、短信蠕虫等针对智能手机用户，依托移动端应用进行的精准电信诈骗，其手法“层出不穷”。安天移动安全团队在对一部分短信蠕虫受害用户的感染来源进行抽样统计的过程中发现，熟人次生传播成功的占比甚至达到70%（如下图所示）。

 
图2-2：短信蠕虫受害用户感染源抽样统计

考虑到智能移动终端设备用户群体涵盖面极广，其中较大比重的用户安全意识较为淡薄、且缺乏对相关恶意应用的甄别能力，而当前任何形式的反病毒引擎也较难做到“万无一失”，故安天移动安全团队倾向于认为，基于仿冒应用、短信拦截马、短信蠕虫的精准电信诈骗在2018年仍然会是较大的安全威胁来源。

2.3 传销诈骗“互联网化”趋势不可忽视

出于这类恶劣行为对公共安全及社会长治久安可能带来的潜在负面影响，安天移动安全团队在2017年底编写了《2017我国移动端传销诈骗类威胁态势分析报告》（详见http://blog.avlsec.com/2017/12/5083/paper/）。就团队在报告形成过程中的初步分析能够发现，截止2017年底，仍然有大量可能涉及传销及相关诈骗活动的团伙以各种形式在我国互联网上活跃，其中又以移动端应用及专题网站（包含PC端及为移动端优化过的子站点）为甚，其受害用户范围较广，数量较多，造成了十分恶劣的影响。

尽管近年来公安机关及相关政府部门不断加大对各类传销行为，尤其是涉及互联网的新式传销诈骗行为打击整顿的力度，并向公众频繁发布警示，但每年仍有大量受害用户遭受数字总和惊人的各色互联网传销骗局。与此同时，传销诈骗团伙的诈骗手段亦在不断升级，不仅将传统基于商品的传销手法照搬到了互联网上，更是融合了近年来诸如虚拟货币、手机游戏、在线兼职、“微商”等容易使一般用户产生兴趣继而毫无戒心上当受骗的领域。与此同时，传销诈骗受害人群一般在遭遇此类诈骗事件时都不具备或较少具备辨别能力。鉴于此，安天移动安全团队认为，不仅2017年传销诈骗“互联网化”的趋势不可忽视，2018年这一类活动仍然会为部分普通移动用户带来安全隐患，需要多方力量进行共同防御和对抗。

2.4 “共享”服务大潮下的安全风险触目惊心

 
图2-4：时下火热的各类“共享”服务（图片来自互联网）

2015年被社会各界公认为是中国“共享经济”的元年。自2015年至今，以出行、租赁、人力等领域为代表的共享经济在全国各地落地生根，高速发展。目前，大多数的共享服务为使用户体验更加快速便捷，基本都使用了手机客户端作为其服务的唯一承载形式，也即“用户必须下载安装，并使用手机客户端来使用共享服务”，且其中大部分服务均采取“手机号验证注册并登录->用户凭借证件（或人脸识别等）实名认证->扫码使用共享服务”的业务逻辑，其各环节易被恶意攻击者利用，存在用户敏感信息泄露、网络钓鱼等风险。

考虑到使用“共享”服务的大多数普通用户不具备对类似安全问题的发现能力，能够提前、快速、彻底解决类似安全问题的服务提供商属于极少数，而当前大多数形式的手机安全软件也并未针对其中每一类风险作出有效的提前预警及拦截，故安天移动安全团队倾向于认为，“共享”服务隐藏的安全风险，及其给用户带来的安全隐患，将会在未来较长一段时间内作为用户信息安全的一大重要威胁源。

2.5 Apple iOS“信息安全铜墙铁壁”地位不保

近年来，由于频发的各类0day漏洞、专门针对iOS的商业木马、致命的业务逻辑设置、以及非官方供应链污染事件先后遭到披露，并实证有大量受影响用户，iOS俨然已经从“最安全的手机操作系统”走下神坛；并且由于iOS及其运行设备在权限控制及安全策略设定上，较之Android等其他智能手机操作系统要严格许多，一些原本可以利用第三方应用、框架及补丁加以预防、解决的安全问题，在iOS上却只能等待官方补丁修复及第三方应用升级，用户自己无法进行任何应急处置，实际使得iOS系统面对着一个较为被动的安全局面。

鉴于国内较为敏感行业近年来提倡使用国产移动通讯设备且成效显著，Apple iOS所产生的系列安全问题，连带造成国家层面的安全影响相对会小一些；但普通移动端用户中，苹果用户占比仍然能够占据前5名（2016年数据数据显示iPhone在我国国内市场份额约在9%-10%），从我国国内庞大的移动用户基数来看，一旦爆发影响版本较多的安全漏洞，同样会造成极广的用户影响面，隐私泄漏等问题同样无法避免。因此，安天移动安全团队认为，尽管近段时间尚未出现影响面较广，影响性质较恶劣的iOS安全事件（0day漏洞等形式），iOS安全尚处良好状况。但不可忽视的是，iOS领域的安全漏洞、安全事件感知机制以及“感知——处置”机制相比Android平台仍然尚处初期阶段，需要进一步研究及关注。

转：移动安全态势走向预测

本章节将主要介绍团队对2018年移动安全态势的展望，并对其中可能出现的新安全问题及安全热点分别进行描述及趋势判断，供您参考。

3.1 境内移动应用传播渠道安全隐患不可小视

自进入2010年，以iOS、Android为代表的智能手机系统开始在全球范围发展并逐渐普及以来，软件生态就成为了决定某一系统/平台能否良性发展并持久存活的重要因素；而“非官方渠道传播，安全性未知的”软件安装包，则一直和PC端的恶意破解软件、仿冒捆绑应用相类似，占据了其对应平台安全威胁的较大部分来源。

 
图3-1某市场借本身安全性未知的第三方工具推广其“高速下载器”

迄今为止，出于各应用商店的商业利益考量，以及不可能存在从外部将应用分发渠道统一，或强行减少分发渠道数量，以便于监测管理的可能，较为“治标”的方法无疑是在设备上安装第三方安全软件及杀毒软件，但这又对各安全厂商的安全框架、杀毒引擎技术及云端样本库、特征库的运营提出了高标准的要求，同样无法在短期内“治本”。故安天移动安全倾向于认为，短期内，我国境内移动应用传播渠道的“历史遗留问题”仍然会给用户信息安全带来一定程度的威胁，不能够掉以轻心。

3.2 移动终端硬件及系统漏洞影响仍将不断发酵

2017年至今，各行业运用较为普遍的操作系统软件接连爆出严重的系统内核级0day漏洞，其中Windows涉及多版本“通杀”提权漏洞，而苹果Mac OS及其移动端Apple iOS则分别有root权限漏洞及多个UNIX底层漏洞被曝光，其系统安全“神话”就此不再。同时，近日遭到Google公司Project Zero团队曝光的处理器内核Spectre、Meltdown先天架构设计缺陷漏洞，几乎影响1995年之后包括Intel，AMD，Qualcomm，ARM等绝大多数主流处理器，作为硬件底层漏洞也具备极大的影响范围与严重性。

 
图3-2 境外科技媒体介绍Spectre时使用了“Nearly All”的措辞

考虑到硬件底层漏洞及操作系统内核级漏洞并非任何常规防御措施，或通常的漏洞挖掘人员及手段能在短时间内提前感知、发现并处置的，结合硬件处理器技术计算能力与架构方式不断发展，而其承载的操作系统软件复杂性也日益增长，安天移动安全团队倾向于认为，2018年，与硬件底层及系统内核相关的信息安全威胁仍然会继续发酵，需要密切关注。

3.3 数据及隐私安全问题将在移动终端广泛呈现

当前，随着移动终端类型及绝对数量的不断增多，以及“大数据时代”的移动应用所承载服务类型及数量的不断增长，移动终端所产生并接触的业务数据类型已经相当可观。与此同时，由于智能手机系统本身具备的功能数据及各类指纹数据较为充分，而系统的权限控制机制常令第三方“有机可乘”，国内互联网服务提供商往往通过各种手段“或明或暗”地收集这些“可能与用户隐私高度相关”的数据，并进行各种模式、商业化或非商业化的分析、交换、出售及利用。由于移动终端用户的绝对数量本已较多且仍在大幅增长，加之移动互联网本身具备“弱边界”的特点，导致类似行为对单一用户的影响面必定较广，当前用户业务数据及其隐私数据的风险无疑处在了较高的位置，相对传统互联网而言，具备显而易见的更高风险度。

针对数据及隐私安全问题，当前国内所面对的状况也正如美国商务部在2010年发布的报告——《互联网经济中的商业数据隐私与创新：动态政策框架》中所说：“没有强制性的自主规范是不充分的，要恢复消费者的信任，尤其是在对个人信息进行收集、利用的经营者层出不穷的现在，我们迫切需要一部隐私权法案。”

可喜的是，在2017年，最高人民法院和最高人民检察院曾出台《关于打击倒卖公民隐私数据的办法》，对隐私泄露类犯罪行为进行专项打击指示；2017年6月，《中华人民共和国网络安全法》的正式实施，为我国互联网用户数据及隐私安全的保护开了一个好头。不过，若想完全规避并“根治”这一领域的安全问题，“立法”本身固然具备里程碑级的重要性，也需要包括互联网行业、安全行业、执法部门等多方面在未来较长一段时间通过某些方式进行协作，从而从各个维度对用户数据及隐私安全形成“全周期”的切实保障。

3.4特征明确的精准APT将考验传统安全防御体系

近年来，部分商业利益或政治因素驱动的移动终端恶意软件（往往以潜伏的APT或类APT形式被发现）更为频繁出现，其精确打击、具备战术性及攻击链逻辑的特点符合”网络战”定义，考验了传统基于“病毒特征库”启发检出机制及各方情报收集、分析及预警能力的同时，可能导致较为重要的商业秘密或较高密级的国家基础设施信息等遭到持续泄漏，且往往发现时可能已造成一定难以估量且难以补救的恶劣影响。

鉴于源于或目的为相关敏感方向（朝鲜半岛、中东地区）的攻击事件及组织在近两到三年的活跃程度往往超过各方预期，且其部署攻击事件的手法往往具备严谨的战术思维，结合相关敏感地区的政治局势发展方向以及我国周边的地缘政治状况，安天移动安全团队倾向于认为，“网络战”式的APT攻击或类APT攻击形势将在2018年显得更为严峻。且在将来较长的一段时间中，针对各类商业实体，如大型互联网公司、金融实体及跨国公司等高价值目标的APT攻击趋势也应引起足够重视。

3.5 移动终端安全屹立“风口”，IoT及车联网“粉墨登场”

不仅传统智能移动终端用户数量从近两三年的数据反映出保持稳固增长的态势，新兴的IoT甚至车联网设备数量亦在2017年内呈现了急剧增长的趋势，而相关的安全基线、安全标准以及最佳实践往往未模式化且较为缺乏的。同时由于技术应用领域较新，许多攻击手法亦未能提前被设备研发团队预判得知并适当防御，相关案例2017年亦已屡见不鲜，如外媒报道的中国安全研究员成功“黑入”特斯拉事件。

 
图3-5：外媒报道中国安全研究员成功“黑入”特斯拉

结合IoT及车联网设备的发展态势及预测，安天移动安全团队倾向于认为，2018年，类似的加密勒索及深度控制利用不仅会在传统智能移动终端领域活跃，也同样会在安全防御更为薄弱的IoT及车联网领域出现甚至频发。

合：结语

正如本《年报》副标题所提到的“起承转合间的方兴未艾与暗流涌动”一般，用户与互联网服务所共存的每一天正犹如“起承转合”，而其间既有移动安全领域新技术的“方兴未艾”，亦有对立面上攻击技术、黑色产业链等各方面的“暗流涌动”。纵观全局，移动安全在2018年的整体态势仍然不容乐观。事实上，面对“暗流涌动”的各类移动威胁，在威胁检测、工程化对抗和基于海量数据的威胁情报“感知——处置”各环节间，安天移动安全团队已经有了比较充分的积累及相关能力储备，能够在威胁存在早期，甚至威胁出现之前形成可防御的能力。但单一团队的能力与我国庞大的网络资产规模和用户体量相比，确可谓是“螳臂当车”，若想要扩大这种能力的影响范围，为国内互联网安全环境注入切实的“正能量”，确实仍需思考如何与各参与角色的进一步联动，以更好的发挥优势作用；同时仍需持续研究如何将技术与市场需求、商业规律结合，以确定技术的价值定位，保证团队及厂商的生存空间。这种能力并非是朝夕之间能够具备的，理想中的“联动”体系也并非是任意一方努力即可达成的目标。

点我查看完整版报告

*本文作者：AVLTeam，转载请注明来自FreeBuf.COM