压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

《全球移動安全趨勢分析》

大家好，下面由我?guī)慝C豹對于《全球移動安全趨勢分析》的一些分享。

從上半年移動安全的特點來看，主要總結(jié)出以上三點：一是Android病毒數(shù)量仍然大幅度增長，從2011年Android迅速的普及以來，病毒數(shù)量隨著普及的程度一直在處于增長的狀態(tài)；二是支付類的病毒表現(xiàn)突出，影響遍布全球。這一點是從PC上面的網(wǎng)銀向手機(jī)支付上普及一個比較吻合的點；三是以”心臟出血”漏洞為代表的漏洞攻擊影響了多個平臺。下面我就基于獵豹移動安全實驗室的數(shù)據(jù)分析以及具體的案例，來給大家做一下分享。

截止到2014年5月，我們可以看到，從2012年開始到2014年第二季度整體的一個病毒的增長趨勢，215萬病毒的量是2014年全年的2.5倍，我們可以看出，2014年每一個季度都相當(dāng)于2013年全年的病毒增長數(shù)量。從病毒樣本來看，支付類的病毒占了整體病毒分類的84%，資費消耗類病毒占據(jù)第二位，達(dá)到了16%。這一點是和手機(jī)支付的迅速普及，和病毒作者利益相關(guān)的一些東西在增長趨勢上是吻合的。目前可以說，從2014年以來，包括在未來的一段時間里，能夠和用戶財產(chǎn)相關(guān)的病毒會占據(jù)整體病毒很大的比重。

下面我們看一下全球病毒的感染趨勢。這些顏色越深的區(qū)域就是表示這個地區(qū)整體的病毒用戶的概率是比較高的，右側(cè)是我們監(jiān)測的范圍內(nèi)用戶量比較小的，沒有計算。從這個圖上可以看到，亞洲的地區(qū)分布是比較多的。下面我們從大洲的情況來看，左邊是亞洲，中間是歐洲，右邊是美洲。從整體的中毒趨勢來看，亞洲用戶的中毒概率要大于歐洲，最后是大于美洲。亞洲中毒概率最高的是越南，其次是印度，再就是中國，占到2.45%，這個整體上是處于世界上中毒概率相對較高的水平。

我們再看一下歐洲地區(qū)的感染情況，整體歐洲排在第一的是法國，是2.97%，其次是俄羅斯。德國是相對比較安全的地區(qū)，它的用戶的中毒概率只有0.66%。下面我們再來看一下美洲地區(qū)，美洲地區(qū)除了墨西哥，它的用戶中毒概率達(dá)到1.02%。其他的地區(qū)用戶中毒概率基本上都在0.6%以下。為什么每一個大洲都有用戶概率的高低區(qū)別呢？經(jīng)過獵豹安全實驗室的分析，有一個顯而易見的結(jié)論。86%的病毒都是來自于第三方用戶市場，第三方用戶市場的市場審查機(jī)制和Google上的審查是有差距的，這就導(dǎo)致了病毒在市場還是主要的渠道，和用戶相關(guān)的占到整體病毒的76%。這76%當(dāng)中，其中就可以分為誘導(dǎo)支付，就是誘導(dǎo)用戶去填一些個人信息、帳號密碼，導(dǎo)致用戶財產(chǎn)損失的達(dá)到47%，其次是后臺扣費類的病毒，比如自動定制一些移動的SP服務(wù)，達(dá)到19%。盜取支付信息的占了18%，其他的小額支付、銀行詐騙類的也有一定的比例。

整體支付類的病毒可以看到，從2013年7月開始，每天我們可以監(jiān)控到一天1500個左右和支付相關(guān)的病毒。到2014年2月份，支付類的病毒開始迅速的向上增加。截止到今年上半年6月份，支付類的病毒已經(jīng)增長了4倍。中毒用戶也是處于一個緩慢增長的狀態(tài)，平均每月我們監(jiān)控到有19萬用戶都是中了支付類相關(guān)的病毒。

從上半年全球支付類病毒的中毒地區(qū)看，它和整體剛才分析到各大洲的市場審查機(jī)制，包括用戶的中毒概率是吻合的，像俄羅斯和部分西歐地區(qū)，以及南亞，越南部分地區(qū)，支付相關(guān)的病毒，用戶的感染幾率也是更高的，我們可以看一下具體的排名。排在越南的我們可以看到它的一個感染量，排在前三位的可以念一下。第一位的是越南，其次是俄羅斯，然后是馬來西亞，其實病毒主要的傳播渠道還是來自于應(yīng)用市場。

下面我就結(jié)合今年上半年發(fā)生的具體的案例，包括熱點病毒和大家做一下分享和交流。今年4月份報出的”心臟出血”漏洞大家都知道，不用再具體介紹了。據(jù)獵豹安全實驗室監(jiān)控發(fā)現(xiàn)，這個漏洞影響到了全球102個國家，涉及到的服務(wù)器達(dá)到了1100萬臺。整體上和銀行支付相關(guān)的，包括郵箱和社交網(wǎng)站相關(guān)的網(wǎng)站基本上都受到了影響。這個漏洞會導(dǎo)致用戶的帳號密碼信息泄漏。當(dāng)時我通過這個漏洞直接的看了一個比特幣的網(wǎng)站，當(dāng)時拿到了用戶的帳號密碼，可以看到這個用戶有多少比特幣，這個漏洞的影響還是相當(dāng)大的。

在上半年eBay的數(shù)據(jù)泄漏影響了1.45億的用戶，在eBay的網(wǎng)站上公布，主要是泄漏了這些歇息，包括用戶的登錄帳號、郵件地址、聯(lián)系地址、電話號碼以及出生日期。攜程網(wǎng)也在上半年的后半段發(fā)生了一個信息泄漏的事件，它的安全支付日志可以隨機(jī)下載，導(dǎo)致用戶信息泄漏。它泄漏的這些包括持卡人姓名、身份證、銀行卡類別、卡號，包括背后的校驗碼和六位的碼，這些信息都可以拿到支付網(wǎng)站上進(jìn)行交易。這些漏洞可以看出它和病毒有一個區(qū)別，漏洞的爆發(fā)影響是爆炸式的，它的影響如果是一個級別很高的漏洞，基本上能影響到全球的用戶，而且可以看攜程網(wǎng)的例子，它能夠直接的導(dǎo)致用戶的財產(chǎn)損失。

我挑了幾個上半年比較典型的病毒，具有代表性的和支付相關(guān)的”敲詐者病毒”、”宅急便病毒”，還有”頑固木碼病毒”和”手機(jī)預(yù)裝馬病毒”。

“敲詐者病毒”最早在美國地區(qū)發(fā)現(xiàn)的，用戶不小心下載了這個應(yīng)用，點擊運行以后，就會在你手機(jī)的全屏中彈出這么一個窗，告訴你被FBI監(jiān)控到了，說你手機(jī)上所有信息都被加密了，用戶如果按中間這個Home鍵，會退到桌面，每兩秒這個界面又會再彈出來。這樣的話，用戶根本來不解卸載這個應(yīng)用，這個界面又彈出來了，這樣的話，就導(dǎo)致用戶根本就無法使用這個手機(jī)了。對于一些小白用戶來講，唯一的途徑就是交他的贖金了。整體的流程，這個截圖大家可以看到，是海外的一個支付的頁面，讓用戶去交他的300美金的贖金。病毒的流程可以分成四步，第一步會把用戶SD卡相關(guān)的照片、文檔等等都加密，第二步彈出窗口，強(qiáng)制用戶付費，第三步判斷用戶是否付費成功，如果沒有付費的話，就會一直彈出，如果判斷用戶付費的話到第四步就會卸載；面對敲詐者病毒，獵豹移動也出了相關(guān)的工具。

今年5月份在臺灣地區(qū)爆發(fā)了一個”宅急便病毒”，這個病毒有幾個特點，據(jù)我們監(jiān)測，每天臺灣地區(qū)的用戶都會受到2萬條的詐騙短信，如這個圖上面所表達(dá)的，說先生，你的宅急便的快遞通知單到了，請簽收。這是一個短連接，用戶點了之后會直接下載App。這是屬于一個典型的病毒式傳播，整體感染了臺灣地區(qū)200萬的用戶，整體的中毒率達(dá)到了10%，據(jù)不太精確的數(shù)字，可能臺灣地區(qū)整體的Android端移動用戶群體在2千萬。這個病毒整體的吸費金額達(dá)到了千萬級別。這個病毒整體的特點可以給大家介紹一下，它的應(yīng)用名字和圖標(biāo)都是偽裝成Google服務(wù)的，普通用戶進(jìn)到設(shè)置，應(yīng)用程序里，看到這樣的圖標(biāo)是不敢強(qiáng)制卸載和解除的，這是它做了一個偽裝。用戶中了病毒以后，他會讀取你的聯(lián)系人，向你的每一個聯(lián)系人去發(fā)送剛才如圖那樣的一個詐騙短信。有一個特點就是短信中會帶聯(lián)系人的名字，比如你叫某某某，你的快遞到了，這樣的話更具欺騙性。然后就是利用小額支付功能來盈利，下面有一個流程圖大家可以參考，從三點鐘位置受騙下載安裝病毒開始，是整體的一個閉環(huán)的病毒式的傳播。就是用戶中了這個安裝病毒以后，首先這個病毒作者就會利用受騙用戶的電話進(jìn)行購物。剛才提到小額支付是臺灣地區(qū)手機(jī)用戶和運營商之間有一個支付協(xié)議，它只需要通過手機(jī)收到的驗證碼，就可以完成這個支付功能。

其中關(guān)鍵的一步就是病毒攔截小額支付的短信認(rèn)證碼，把它轉(zhuǎn)發(fā)到病毒作者的手機(jī)上，就可以完成支付了，下一步是做傳播，就是病毒偷取用戶的通訊錄以后，利用用戶的手機(jī)發(fā)送短信給朋友，所以這個是相當(dāng)具有欺騙性的。對于一個受害者來說，他可能看到的是我的朋友或者我的同事給我發(fā)來這么一條短信。這個病毒正好是獵豹安全實驗室在臺灣地區(qū)做招聘，其中來面試的同事中，來了6個人，其中有3個人都收到過這樣的短信。其實我們從抽樣的數(shù)據(jù)來看，可以看到對于臺灣地區(qū)的影響是巨大的。

下面提一下和對抗相關(guān)的”頑固木馬系列病毒”，這是今年獵豹推的頑固木馬專殺時做的一個解決方案。”頑固木馬”每日有6千用戶中招，防毒軟件無法卸載，必須使用特殊的清楚邏輯。為什么防毒軟件無法卸載呢？下面給大家介紹一下。這里面涉及到大概有三個類型的對抗方式，包括利用漏洞，還有就是在取消時進(jìn)行干擾，還有就是在取消激活后強(qiáng)制激活，這是說的對于設(shè)備管理器。如果在設(shè)備管理器當(dāng)中的應(yīng)用是沒有辦法卸載的，首先要取消這個設(shè)備管理器。

下面會具體講一下這個案例，病毒利用漏洞在激活成功后，不會顯示在設(shè)備管理器的列表當(dāng)中，這樣的話，普通用戶根本找不到取消設(shè)備管理器的途徑，下一步就更無從談卸載了。還有一種方式就是在取消設(shè)備管理器時進(jìn)行干擾。其實對于大部分的殺毒軟件來說，它是沒有Root權(quán)限的，它卸載一個應(yīng)用，或者取消設(shè)備管理器的時候，會彈出一個確認(rèn)窗口。彈出這個確認(rèn)窗口的時候，這個病毒應(yīng)用就把這個對話框里面的描述改了，提示用戶，如果你點擊確認(rèn)的話，就會導(dǎo)致所有的數(shù)據(jù)丟失，用戶就不敢點了，只能點取消。

在取消設(shè)備管理器時做的對抗。在用戶點取消設(shè)備管理器，點OK按鈕的時候會給你鎖屏，用戶操作不成功。還有就是病毒作者監(jiān)控到你要取消他的設(shè)備管理器的時候，會在整體手機(jī)頁面上覆蓋一個全屏的懸空窗，屏蔽所有的消息，這樣的話用戶只能重啟手機(jī)，沒有其他的解決方案。不斷的調(diào)用激活頁面，強(qiáng)制激活。如果用戶監(jiān)測到他自己不是設(shè)備管理器，他就不斷的彈出確認(rèn)窗口，讓用戶同意，直到用戶妥協(xié)了未知。我們可以看一下整體”頑固木馬系列病毒”在各地區(qū)的感染量，主要是在俄羅斯地區(qū)，達(dá)到了每天9千多。

“手機(jī)預(yù)裝馬病毒”比較有名，3·15的時候也公布這個事件。它就是出廠后，銷售商往這個手機(jī)里面直接刷進(jìn)去的病毒，是沒有辦法卸載的。如果用戶沒有Root權(quán)限是卸載不了的，更甚至有些是類似于和系統(tǒng)的一些進(jìn)程做關(guān)聯(lián)，一旦這個系統(tǒng)發(fā)現(xiàn)病毒被卸載以后會再釋放出來。這種手機(jī)預(yù)裝的病毒主要是為了惡意扣費，現(xiàn)在也有做惡意推廣的，就是在后臺會做一些推廣。在中國生產(chǎn)的這些山寨的含毒的手機(jī)，據(jù)我們監(jiān)控在全世界都有感染用戶，說明中國制造的山寨手機(jī)已經(jīng)賣到了全世界。手機(jī)中預(yù)裝馬這一類的病毒每日影響到的用戶達(dá)到1.5萬人，目前它的處理方案只能凍結(jié)，凍結(jié)就是說在系統(tǒng)頁面點”強(qiáng)制停止”這個應(yīng)用。

通過以上的數(shù)據(jù)和具體案例的分析，對我們有四點啟示：第一Android下的黑色產(chǎn)業(yè)鏈越來越完善；第二山寨手機(jī)病毒已經(jīng)形成了完整的利益鏈條，包括病毒的推廣、釣魚信息的收集，到最后的一些套現(xiàn)的每一步，都是有相關(guān)的團(tuán)隊具體的負(fù)責(zé)的；第三移動支付的普及將帶來更多的安全風(fēng)險，我們可以看到，從今年開始和手機(jī)支付相關(guān)的，和用戶財產(chǎn)相關(guān)的病毒已經(jīng)成倍增加；第四尤其對于國內(nèi)來說，App市場的安全審查必須要更嚴(yán)格，對于大部分用戶來說，他們手機(jī)上的應(yīng)用來源主要是來自于各大應(yīng)用市場，比如百度、騰訊等等。

對于對抗方面，對于我們安全廠商會有什么樣的啟示呢？加殼和混淆技術(shù)會被病毒普遍應(yīng)用。其實從今年具體的病毒分析上來看，加殼和混淆的病毒應(yīng)用越來越多。病毒將會加強(qiáng)云端的建設(shè)，惡意行為更隱蔽。現(xiàn)在越來越多的病毒都不是說你運行它就發(fā)作，它會和這個病毒的服務(wù)器去做網(wǎng)絡(luò)連接，然后等待這個病毒作者去發(fā)指令，發(fā)對應(yīng)的指令，然后這個病毒的客戶端會表現(xiàn)出對應(yīng)行為。所以這一方面，也是對安全廠商做動態(tài)分析的一個挑戰(zhàn)。對于安全廠商來講，他們對于我們來說是必須要加強(qiáng)這個動態(tài)分析技術(shù)和啟發(fā)式的識別能力，來和越來越多的病毒做對抗。

以上就是我給大家的分享，謝謝大家！