猎豹移动(Cheetah Mobile)

猎豹移动2016年网络安全研究报告

猎豹移动 · 2017-02-13

2016年互联网安全威胁特征

1、电脑病毒样本数大降,手机病毒持续增长

2016年全年猎豹移动安全实验室捕获病毒样本总量为39528276个,比2015的104674316个减少62.2%,安卓手机病毒检出量则连续4年快速增长,2016年比2015年增长32.6%,4年内安卓恶意软件增长16倍。

2、中国、印度、印尼安卓病毒感染量排名前三

中国、印度、印尼均为发展中的人口大国,安卓智能手机在三国拥有海量用户,除Google Play外,第三方应用市场也相当普及,也因此成为安卓病毒危害最严重的地区,这三个国家的手机病毒感染占世界总量的40%。

3、第三世界国家的安卓病毒感染率远超世界平均水平

全球安卓手机中毒率约5%,但排名前15的第三世界国家安卓手机病毒感染率却超过10%以上。

4、垃圾短信依旧危害严重

受利益驱使,依然有大量商业广告、非法涉黄涉赌广告通过垃圾短信群发传播,部分垃圾短信也是安卓病毒传播的重要渠道,苹果iMessage消息和日历也成为垃圾广告的推广渠道。猎豹移动安全实验室每天在超过35万部手机上拦截到垃圾短信。

2016年互联网安全风险数据

(1)2016年电脑病毒相关数据

2016年度病毒主要类型为恶意软件、木马下载器;主要传播方式为浏览器下载、绑定播放器、通过即时聊天工具传播;病毒发作造成的主要危害为:劫持杀毒软件,机器中毒后杀毒软件无法开启杀毒;下载多个严重占用资源的软件一并开启,使用户系统几近瘫痪;修改浏览器主页,并且在桌面释放伪淘宝、伪IE等熟悉的图标,诱骗用户点击,从而使用户进入钓鱼网站,严重的会导致用户有财产损失。

根据猎豹移动安全实验室监测结果,2016年全年捕获病毒样本总量为39528276个(排重后的数量),比2015的104674316个减少62.2%。2016年各月捕获数量如图1所示,其中8月达到全年最低值(1627110个),1月达到全年最高值(4848472个)。

图1  2016年捕获病毒样本月度统计 (来源:猎豹移动)

2016年全年新增病毒特征为17313413个(排重后的数量),比2015年的41176376个减少58%。2016年各月新增病毒特征数如图2所示,其中12月达到全年最低值(651646个),2月达到全年最高值(3002592个)。

图2  2016年捕获新增病毒样本月度统计 (来源:猎豹移动)

2016年全年监测到感染病毒的电脑主机81454908余台,比2015年的129284060个减少36.9%。电脑病毒感染量呈下降趋势,电脑病毒感染量在8月为全年最低点(4227899个),6月达到全年最高值(9291022个),如图3所示。

图3 2016年感染主机数量月度统计(来源:猎豹移动)

从2005年至2016年,捕获恶意程序数量(排重后的数量)历年变化趋势如图4所示。

图4  2005-2016年捕获恶意程序数量走势图 (来源:猎豹移动)

(2)2016年安卓恶意软件相关数据

如前所述,2016年电脑病毒特征数下降了58%,但安卓手机病毒检出量连续4年呈快速增长(下图红色指数为安卓病毒近4年增长趋势):2016年比2015年增长32.6%,4年内安卓恶意软件增长了16倍。

2016年月均收集安卓应用样本192万个,恶意应用检出率月均56万个,恶意应用总检出率约29%。

手机恶意程序检出率占比,自2013年至今有明显上升。从2013年的6%增长到2016年的29%,这意味着,有近三分之一的新增安卓软件可以检出恶意行为。

年份

恶意软件占比

2013

6%

2014

8%

2015

22%

2016

29%

安卓手机病毒分布于世界各地,与各国使用手机的人口分布相吻合。前20个的国家合计感染量占总感染量的80%,中国、印度、印尼位居前三,占总感染量的40%。以下是全球安卓病毒按感染量统计排名前20的国家。

国家

感染量占全球的构成比%

中国

19.02%

印度

11.34%

印尼

9.66%

俄罗斯

5.60%

越南

4.45%

墨西哥

3.79%

马来西亚

3.67%

菲律宾

3.26%

泰国

3.01%

美国

2.42%

土耳其

1.96%

乌克兰

1.79%

伊朗

1.76%

罗马尼亚

1.31%

哥伦比亚

1.31%

韩国

1.09%

德国

1.08%

意大利

1.06%

西班牙

1.04%

埃及

1.00%

如果按病毒感染率统计,国家排名和感染量统计有显著不同,手机病毒感染率最高的是位于亚洲、非洲的第三世界国家。这些第三世界国家智能手机中毒比例远高于其他国家,安卓病毒的全球总体感染率约5%。

感染率TOP

感染率

缅甸

17.33%

尼日利亚

14.36%

埃塞俄比亚

13.97%

刚果(布)

13.75%

喀麦隆

13.69%

南苏丹

13.68%

塞拉利昂

13.49%

所罗门群岛

13.47%

几内亚

13.30%

利比里亚

13.27%

苏丹

13.01%

索马里

12.78%

毛里塔尼亚

12.76%

阿富汗

12.33%

也门

12.05%

全球排名前20的安卓病毒家族感染量超过50%,全球感染排名前20的病毒家族具有类似的病毒行为:监控和发送短信,可能造成资费损失;窃取隐私信息;后台下载消耗流量;弹出广告,推广安装其他应用并以此牟利。

家族

感染量排名

fakegupdt

7.01%

hideicon

5.66%

ghostpush

5.26%

downloader

4.59%

danpay

4.34%

triada

2.80%

agent

2.73%

permad

2.51%

rootnik

1.81%

fakeapp

1.77%

sprovider

1.65%

tiak

1.59%

fobus

1.30%

idownloader

1.24%

guerrilla

1.21%

flexion

1.11%

sexplayer

1.04%

fakeinst

0.97%

idownloade

0.93%

ihide

0.92%

其他3000+

49.56%

 安卓病毒主要传播渠道包括应用市场(Google Play和第三方应用市场)、短信链接、浏览器广告链接、手机出厂预装(这是第三世界国家安卓病毒高发的重要因素)。

猎豹移动安全实验室认为以下因素加剧了安卓恶意软件的传播:

Google Play不象苹果应用市场那样具有高度垄断地位,第三方应用市场百花齐放,但安全审查能力不足;

灰色产业盈利模式清晰:广告刷量和预装;

手机预装病毒已打通出海渠道;

全球互联网行业关注新型市场,同样吸引了互联网灰色产业。在印度、东南亚、南美市场,恶意软件感染量较高;

法律风险小,监管难度大。互联网灰色产业吸引了大批从业人员,部分正规商业公司卷入其中。

(3)反网络诈骗相关数据

2016年,猎豹移动安全中心累计拦截垃圾短信超1.5亿条,每天有35万部手机触发垃圾短信拦截功能。

2016年,猎豹移动安全中心累计拦截广告骚扰电话2777万次,诈骗电话4273万次。

2016年恶意网址检出量比2015年有所减少,分析其原因有3点:1.国家严管境外博彩类网站;2.各大搜索引擎主动屏蔽大量虚假广告推广;3.部分虚假保健品的推广渠道转向更隐蔽的社交平台,导致安全软件检测数据减少。

2016年,平均每天有超过80万台计算机会访问到钓鱼网站。

钓鱼网站受害者遍布全国各地,互联网应用越普及,受害网民也越多。访问钓鱼网站的网民分布如下图:

恶意网站托管地和往年相比没多少差异,美国超过50%,中国大陆占28%,其次是香港(7.05%)、韩国(5.12%)

恶意网址传播渠道,2016年钓鱼网址通过社交工具传播的占比超过搜索引擎。而2015年的统计数据为:搜索引擎(42%)、社交工具(29%)、短信(17%)。提醒人们,需要更加注意防范来自好友消息中的网络链接。

恶意网址的主要分类,注意到境外非法博彩类网站占据一半以上。其次是贩卖假手机、山寨手机、以卖手机为名骗钱根本不发货的恶意网站。值得网民重视的是,假银行钓鱼网站占11.47%,已经达到惊人的程度。

2016年重大网络安全事件

1、“悍马”(Hummer)病毒危害全球

印度排名前10的安卓恶意软件中,“悍马”(Hummer)家族有3个。

该病毒感染后利用系统漏洞Root系统,通过云端指令弹出广告、分发安装其他应用来获利。

2、“中秋礼品”暗藏木马,数万用户已中招! 

有多名用户反馈使用电脑浏览网页时会导致系统安装多款软件,经猎豹移动技术人员远程分析发现是网页挂马所致。用户访问不特定网站时页面会被植入恶意代码,从而被木马攻击。根据猎豹移动安全中心的拦截数据显示,该挂马事件每天影响到的用户量超过2万,共近十几万人已中招。

3、“看看影音”利用用户电脑挖矿牟利

猎豹移动安全实验室监测发现“看看影音”利用用户GPU资源挖“以太币”(俗称“挖矿”),恶意模块会监测用户电脑系统,在空闲时间开始工作挖矿,隐蔽性非常强,大量消耗用户系统资源。

4、"NgrBot"蠕虫病毒再度活跃,用户电脑变肉鸡

    猎豹移动安全数据监控,发现知名的“NgrBot”蠕虫病毒再次出现活跃迹象。 该病毒可以通过U盘、MSN、HTTP、FTP等路径进行感染传播,该病毒还具有强大的有隐私窃取功能,会盗取用户的网上银行、社交网站、邮箱、msn聊天、浏览记录等的账号密码或隐私信息。中招的用户系统同时也会沦为DDOS僵尸网络中的“肉鸡”,系统资源和带宽被大量占用用来进行非法攻击行为。

5、勒索病毒对企业危害严重

2016年,在电脑端和手机端均有勒索病毒出现,勒索病毒利用邮件、恶意网站下载传播,一旦安装,便会加密用户文档,除了个别病毒公开密钥的以外,均无法完成解密。许多受害者被迫支付比特币。由此此类病毒差不多已经开源,大量病毒作者利用公开的代码改造传播新变种,致使不能解密的勒索病毒泛滥成灾。

防范勒索病毒,只能依赖于提高安全意识,避免打开来历不明的文件。企业用户需及时备份工作文档,一旦遭遇勒索病毒,除了使用备份还原,没有更可靠的解决方案。

而手机端的勒索软件,受制于系统本身的性能因素,同样对用户进行加密恐吓的勒索病毒大多并未真的破坏用户系统或加密文档,只是严重干扰正常使用手机。清除病毒或手机刷机即可修复。

下一年会怎样

信息安全相对难以准确预测新威胁出现在哪个领域或者使用什么样的攻击手段,根据2016年的上述特性,猎豹移动安全实验室判断下一年恶意软件仍然倾向于攻击移动端,PC病毒、钓鱼网站会保持稳定。随着国家持续高压打击电信网络诈骗,手机病毒、钓鱼欺诈犯罪会继续减少。

病毒木马产业也会继续转型,转向不太容易遭遇司法打击的领域,比如恶意推广、捆绑安装,或象悍马病毒那样去危害国外网民。

技术上来讲,会有越来越多的恶意软件尝试利用系统漏洞获得更高权限,利用低端手机销售渠道刷机传播仍是重要威胁。

微信:liebaocm 猎豹CEO微信:fstalk

热门推荐