傅強(qiáng)　阿曼太　雷小創(chuàng)　肖媛媛　鄭競可

摘? ?要：基于恒安嘉新（北京）科技股份公司內(nèi)部威脅情報數(shù)據(jù)，文章對2019年10月至2020年4月期間發(fā)生的間諜軟件安全事件，以及利用“新型冠狀肺炎”熱點(diǎn)發(fā)起的移動安全事件進(jìn)行整理，以讓更多用戶更深層次的了解網(wǎng)絡(luò)空間安全威脅。移動安全事件的發(fā)生，不僅會造成用戶個人隱私泄露、財(cái)產(chǎn)經(jīng)濟(jì)損失，還可能威脅企業(yè)安全，甚至危害國家關(guān)鍵信息基礎(chǔ)設(shè)施穩(wěn)定運(yùn)行，全民應(yīng)該提高自身網(wǎng)絡(luò)安全防護(hù)意識、及時補(bǔ)充網(wǎng)絡(luò)安全防護(hù)知識。

關(guān)鍵詞：威脅情報數(shù)據(jù);移動安全事件;隱私泄露;惡意軟件

中圖分類號： TP309.5? ? ? ? ? 文獻(xiàn)標(biāo)識碼：B

Abstract： Based on the internal threat intelligence data of Hengan Jiaxin （Beijing） Technology Co.， Ltd.， this article collates the spyware security incidents that occurred between October 2019 and April 2020， as well as the mobile security incidents initiated by using the "New Crown pneumonia" hot spot to give more users a deeper understanding of cyberspace security threats. The occurrence of mobile security incidents will not only cause users' personal privacy leakage， property economic losses， but also may threaten the security of enterprises， and even endanger the stable operation of the state's key information infrastructure. The whole people should raise their own awareness of network security protection and timely supplement the knowledge of network security protection.

Key words： threat intelligence data;mobile security incidents;privacy leaks;malicious software

1 引言

隨著移動互聯(lián)網(wǎng)的高速發(fā)展、智能手機(jī)的快速普及，大家的生活、工作越來越離不開移動智能設(shè)備，市場上涌現(xiàn)出豐富的APP（Application，移動互聯(lián)網(wǎng)應(yīng)用），據(jù)CNNIC第45次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報告》顯示，截至2019年12月，我國國內(nèi)市場上監(jiān)測到的APP數(shù)量為367萬款，APP為人民的生活、工作提供諸多便利的同時，也為移動互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈提供了得以滋生的土壤。

恒安嘉新（北京）科技股份公司基于內(nèi)部威脅情報數(shù)據(jù)，以及國內(nèi)網(wǎng)輿情監(jiān)測技術(shù)，第一時間追蹤國內(nèi)外移動互聯(lián)網(wǎng)安全事件，本文是針對2019年10月至2020年4月期間，國內(nèi)外發(fā)生的間諜軟件安全事件、利用疫情熱點(diǎn)相關(guān)的安全事件，以及相關(guān)技術(shù)、危害進(jìn)行闡述，希望用戶能對移動安全事件有一定的了解，從而進(jìn)一步提高自身防范，時刻保持警惕。

2 移動安全事件概述

2.1 間諜軟件安全事件

間諜軟件是一種能夠在用戶不知情的情況下，在其手機(jī)上安裝軟件后門、收集用戶個人信息的軟件。黑客組織借用間諜軟件具有竊取情報信息的特性，常常利用其竊取其他國家重要人員的個人隱私數(shù)據(jù)，讓自己掌握更多其他國家的信息，或者受利益驅(qū)使，非法售賣竊取敏感數(shù)據(jù)，從中獲取高額利益。

基于恒安嘉新威脅情報數(shù)據(jù)，2019年9月初，發(fā)現(xiàn)安卓遠(yuǎn)控木馬間諜軟件（以下簡稱AhMyth間諜軟件）。2020年4月，發(fā)現(xiàn)首款具有APT組織性質(zhì)的間諜軟件（以下簡稱Donot Team APT），這類間諜軟件是針對某國家和特殊人員進(jìn)行持續(xù)性攻擊，其主要目的是收集敏感的隱私數(shù)據(jù)（如短信、聯(lián)系人、通訊錄、通話記錄、鍵盤記錄、日歷行程等），并遠(yuǎn)程控制操縱用戶設(shè)備，達(dá)到對特定人員設(shè)備持久性監(jiān)控。

基于恒安嘉新威脅情報數(shù)據(jù)，間諜軟件的歷史演變情況，如圖1所示。

2.1.1 AhMyth間諜軟件

RB Music是一款專為Balouchi音樂愛好者提供流媒體廣播的應(yīng)用程序，AhMyth間諜軟件偽裝成RB Music，安裝運(yùn)行后會在后臺監(jiān)視用戶操作行為，在用戶不知情的情況下，收集用戶聯(lián)系人列表、短消息等敏感信息，并收集存儲在設(shè)備上的文件，同時利用短信群發(fā)的方式，惡意傳播間諜軟件。AhMyth間諜軟件流程圖如圖2所示。

在用戶不知情的情況下，AhMyth間諜軟件客戶端與服務(wù)端進(jìn)行通信，接收服務(wù)端的遠(yuǎn)程控制指令，客戶端根據(jù)不同的指令，執(zhí)行相應(yīng)的操作，如獲取聯(lián)系人信息、短信息、文件信息、發(fā)送短信等惡意操作。AhMyth間諜軟件遠(yuǎn)程控制框架如圖3所示。

遠(yuǎn)程控制指令表如表1所示。

AhMyth間諜軟件誘導(dǎo)用戶通過短信的方式群發(fā)給用戶好友，短信內(nèi)容包含AhMyth間諜軟件下載鏈接，實(shí)現(xiàn)病毒傳播，群發(fā)短信效果如圖4所示。

2.1.2 Donot Team APT間諜軟件

Donot Team APT是一個疑似具有南亞某國政府背景的APT組織，主要是針對巴基斯坦等南亞地區(qū)進(jìn)行網(wǎng)絡(luò)間諜活動。該間諜軟件擅長偽裝成系統(tǒng)工具或系統(tǒng)服務(wù)在移動端進(jìn)行傳播，在用戶未知情的情況下，私自收集用戶隱私數(shù)據(jù)，包括短信、聯(lián)系人、通訊錄、通話記錄、鍵盤記錄、日歷行程等，除了以上惡意行為外，該類惡意軟件運(yùn)行后還會要求用戶開啟無障礙服務(wù)，利用該項(xiàng)服務(wù)遍歷WhatsAPP節(jié)點(diǎn)獲取用戶聊天內(nèi)容，將竊取的所有數(shù)據(jù)保存在文本文件或本地?cái)?shù)據(jù)庫中，最后上傳至遠(yuǎn)程服務(wù)器。偽裝的安裝圖標(biāo)如圖5所示。

Donot Team APT程序首次運(yùn)行，會請求開啟可訪問性服務(wù)，然后從遠(yuǎn)程服務(wù)端獲取指令配置參數(shù)，客戶端根據(jù)配置文件參數(shù)的值選擇進(jìn)行不同操作，執(zhí)行獲取用戶隱私數(shù)據(jù)的相關(guān)操作，Donot Team APT程序運(yùn)行流程圖如圖6所示。

應(yīng)用首次運(yùn)行請求開啟可訪問性服務(wù)（該服務(wù)允許用戶自動進(jìn)行各種UI交互并模擬用戶點(diǎn)擊屏幕的項(xiàng)目），主要目的是用于獲取WhatsAPP用戶聊天內(nèi)容，請求開啟可訪問性服務(wù)界面如圖7所示。

客戶端會從遠(yuǎn)程服務(wù)端獲取指令配置參數(shù)，根據(jù)配置文件參數(shù)的值選擇進(jìn)行不同操作，遠(yuǎn)程控制指令功能如圖8所示。

遠(yuǎn)程控制指令表如表2所示。

2.2 疫情相關(guān)安全事件

2020年初，隨著“新型冠狀病毒”疫情在全世界爆發(fā)，黑灰產(chǎn)也借用疫情熱點(diǎn)投放疫情相關(guān)的木馬樣本。在PC端，巴西某黑產(chǎn)組織利用疫情相關(guān)視頻攜帶銀行木馬，Emotet通過分發(fā)附有日本新型冠狀病毒患者報道的電子郵件，傳播惡意病毒;在移動端，偽裝成新型冠狀病毒（名為Coronavirus）應(yīng)用名稱誘騙用戶安裝，安全事件無處不在。

2.2.1 利用新型冠狀病毒熱點(diǎn)的攻擊事件

2020年2月開始，基于恒安嘉新威脅情報數(shù)據(jù)，新型冠狀病毒相關(guān)的安全事件明顯上升，這類軟件主要是應(yīng)用名稱偽裝成“Coronavirus”（中文名為冠狀病毒），誘導(dǎo)用戶安裝啟動真實(shí)惡意程序“Corona1”，通過“Corona1”程序執(zhí)行各種惡意行為，使用戶難以察覺。在用戶未知情的情況下，該應(yīng)用會連接服務(wù)端對用戶手機(jī)端下發(fā)遠(yuǎn)程控制指令，手機(jī)端會執(zhí)行多達(dá)70余條不同功能的遠(yuǎn)控指令。不僅如此，該程序還會從服務(wù)端下發(fā)新的控制端服務(wù)器地址，以達(dá)到持續(xù)控制用戶手機(jī)的目的。

該應(yīng)用程序采用Socket協(xié)議通信，通過Socket連接服務(wù)端獲取遠(yuǎn)控指令，然后執(zhí)行相應(yīng)的遠(yuǎn)程控制操作，遠(yuǎn)程控制流程如圖9所示。

遠(yuǎn)程控制指令列表如表3所示。

2.2.2 利用“新型冠狀病毒肺炎”的勒索病毒和短信蠕蟲病毒

2020年3月，“新型冠狀病毒”上升為全球性公共衛(wèi)生事件，攻擊者利用人們的恐懼心理在人們心理防備最脆弱的時候通過分發(fā)與“新型冠狀病毒”相關(guān)的惡意程序，Anubis臭名遠(yuǎn)昭的銀行木馬首次利用文件名為Covid-19的應(yīng)用程序，進(jìn)行傳播“新型冠狀病毒”類型的勒索病毒和短信蠕蟲病毒。

在疫情期間，大家對自己所在位置附近是否有新型冠狀病毒肺炎感染者非常關(guān)心，勒索病毒通過“用戶通過此應(yīng)用能夠清楚的知道自己所在位置附近的新型冠狀病毒肺炎感染者”的方式來誘騙用戶安裝使用，以達(dá)到誘騙用戶下載安裝，啟動后會對用戶手機(jī)實(shí)施鎖屏勒索，惡意行為流程如圖10所示。

勒索病毒程序分發(fā)網(wǎng)站如圖11所示。

用戶手機(jī)被鎖屏后，勒索者恐嚇用戶如果不在24小時內(nèi)支付250美元的比特幣，會將用戶手機(jī)上的聯(lián)系人、圖片、視頻、社交賬戶等信息曝光于眾，勒索頁面如圖12所示。

短信蠕蟲病毒是以“用戶可以購買到高質(zhì)量且價格便宜的防護(hù)口罩”為幌子，誘騙用戶訪問一個在線銷售口罩的網(wǎng)站，誘導(dǎo)用戶在線支付口罩費(fèi)用，并記錄用戶的銀行卡號、信用卡號等信息，然后利用短信群發(fā)的方式進(jìn)行惡意傳播。購買口罩網(wǎng)站如圖13所示。

短信蠕蟲病毒會遍歷用戶的聯(lián)系人，并群發(fā)包含惡意下載地址的誘騙短信，短信內(nèi)容為“通過使用口罩保障自身安全性，單擊此鏈接可下載該應(yīng)用并訂購自己的口罩-http：//coro***fetymask.tk”，短信內(nèi)容效果如圖14所示。

3 移動安全事件技術(shù)和危害

3.1惡意軟件技術(shù)

3.1.1惡意軟件傳播方式

（1）利用當(dāng)下實(shí)時輿論熱點(diǎn)，制造偽裝輿情誘導(dǎo)用戶傳播;

（2）偽裝成安全應(yīng)用在應(yīng)用商店正常上架;

（3）通過仿冒的釣魚網(wǎng)站誘導(dǎo)用戶安裝使用;

（4）假冒某政府部門、機(jī)構(gòu)、公司、個人發(fā)送帶有惡意軟件文件的郵件，誘導(dǎo)用戶安裝使用;

（5）用戶設(shè)備感染惡意病毒后，惡意程序會在后臺獲取用戶設(shè)備聯(lián)系人信息，通過向用戶設(shè)備聯(lián)系人發(fā)送帶有惡意程序下載鏈接的短信傳播惡意軟件。惡意軟件傳播方式如圖15所示。

3.1.2 惡意軟件免殺

隨著Android系統(tǒng)、安全軟件防護(hù)技術(shù)能力的提高，惡意軟件想逃避安全軟件的檢測，防止自身進(jìn)程被安全軟件終止，保證其惡意服務(wù)能夠正常運(yùn)行，需要做免殺處理。惡意軟件免殺的方式如圖16所示。

（1）安全軟件免殺

一般情況下，用戶安裝的殺毒軟件系統(tǒng)權(quán)限比較高，因此，惡意軟件常用的方式是運(yùn)行后檢測用戶手機(jī)中是否安裝殺毒軟件，如果已安裝，將不觸發(fā)其惡意服務(wù)運(yùn)行，已達(dá)到免殺的效果。安全軟件檢測方式如圖17所示。

（2）誘騙用戶加入電池優(yōu)化白名單

從Android 6.0開始，系統(tǒng)為了省電增加了休眠模式，系統(tǒng)待機(jī)后，會關(guān)閉后臺正在運(yùn)行的進(jìn)程，但系統(tǒng)會有一個后臺運(yùn)行的白名單，白名單中的應(yīng)用將不會受到影響。惡意軟件會誘導(dǎo)用戶加入電池優(yōu)化白名單，如圖18所示。

（3）利用廣播定時喚醒

系統(tǒng)廣播喚醒服務(wù)，主要是系統(tǒng)定時廣播每分鐘觸發(fā)一次的特性，惡意軟件每分鐘檢查一次惡意服務(wù)的運(yùn)行狀態(tài)，如果已經(jīng)被結(jié)束了，就利用系統(tǒng)廣播喚醒服務(wù)方式重新啟動惡意服務(wù)。

（4）提高服務(wù)器優(yōu)先級

惡意軟件通過提高服務(wù)的優(yōu)先級，設(shè)置服務(wù)為前臺服務(wù)。首先會啟動兩個ID相同的前臺服務(wù)，然后啟動的服務(wù)取消前臺顯示，保留下來的另一個前臺服務(wù)將不會在狀態(tài)欄顯示，這樣就不會被用戶察覺。

3.1.3 惡意軟件獲取敏感權(quán)限

敏感權(quán)限如READ_CONTACTS（讀取聯(lián)系人信息）、READ_SMS（讀取短信息）、 RECEIVE_SMS（接收短信息）是應(yīng)用收集用戶敏感信息的必要條件。為了獲取用戶個人隱私數(shù)據(jù)，惡意軟件必須優(yōu)先申請獲取上述的敏感權(quán)限，在用戶明確拒絕同意授予惡意軟件敏感權(quán)限的情況下，惡意軟件通常采用兩種方式獲取用戶敏感權(quán)限。

（1）無障礙性服務(wù)主動授予敏感權(quán)限：AccessibilityService（無障礙服務(wù)），它能給有殘疾的用戶或暫時無法與設(shè)備完全交互的用戶提供更好的無障礙用戶交互功能。所以惡意軟件可以使用該項(xiàng)服務(wù)模擬用戶點(diǎn)擊屏幕上的項(xiàng)目。包括授予惡意應(yīng)用敏感權(quán)限、自動訂閱付費(fèi)服務(wù)、監(jiān)控用戶設(shè)備操作、獲取通信聊天記錄等操作。應(yīng)用請求開啟無障礙服務(wù)如圖19所示。

（2）設(shè)置應(yīng)用兼容系統(tǒng)的版本：將應(yīng)用TargetSDK的值設(shè)置為低于23，手機(jī)系統(tǒng)低于6.0，系統(tǒng)會默認(rèn)授予應(yīng)用申請的所有權(quán)限，且用戶無法在安裝APP之后，取消惡意應(yīng)用已經(jīng)申請的權(quán)限。

3.1.4 遠(yuǎn)程控制技術(shù)

高級的惡意軟件通常都具備遠(yuǎn)程控制的功能，其目的是為了能夠?qū)κ芎θ说氖謾C(jī)端進(jìn)行持續(xù)性的遠(yuǎn)程操控，目前，遠(yuǎn)程控制的主要方式是以網(wǎng)絡(luò)為主，遠(yuǎn)程控制流程如圖20所示。

3.1.5 惡意軟件獲取用戶敏感信息

（1）獲取用戶設(shè)備的聯(lián)系人、短信、通話記錄、瀏覽器歷史記錄、媒體文件、日歷日程事件等數(shù)據(jù)庫信息;

（2）加載仿冒的釣魚頁面獲取用戶輸入的敏感信息;

（3）監(jiān)聽設(shè)備鍵盤事件，收集用戶鍵盤輸入信息;

（4）監(jiān)聽剪切板操作，收集用戶剪切板內(nèi)容;

（5）通過截屏、錄屏可監(jiān)控用戶對設(shè)備的操作獲取用戶的輸入信息。

3.2 惡意軟件危害

惡意軟件危害主要分為五大方面。

（1）降低設(shè)備運(yùn)行效率、浪費(fèi)系統(tǒng)資源。惡意軟件安裝運(yùn)行后長期駐留系統(tǒng)內(nèi)存、長期占用系統(tǒng)資源、自行安裝、自啟動其它應(yīng)用等行為會造成系統(tǒng)資源的浪費(fèi)，降低設(shè)備的運(yùn)行效率。

（2）妨礙用戶正常的網(wǎng)絡(luò)活動。惡意軟件如“惡意廣告軟件”“勒索軟件”安裝運(yùn)行后頻繁彈出廣告、鎖定用戶屏幕、將自身頁面置頂?shù)刃袨闀恋K用戶正常的網(wǎng)絡(luò)活動。

（3）危害網(wǎng)絡(luò)信息安全。惡意軟件如“間諜軟件”“木馬軟件”安裝運(yùn)行后收集上傳用戶個人隱私數(shù)據(jù)、將個人隱私數(shù)據(jù)流通于地下市場進(jìn)行買賣，造成用戶身份信息、銀行信息、賬號信息的泄露，危害網(wǎng)絡(luò)信息的安全。

（4）危害用戶財(cái)產(chǎn)安全。惡意軟件如“銀行木馬”安裝運(yùn)行后通過釣魚頁面竊取用戶銀行賬戶信息轉(zhuǎn)走用戶銀行資金;“勒索軟件”鎖定用戶屏幕、加密用戶文件勒索用戶進(jìn)行付費(fèi);“廣告木馬”通過模擬點(diǎn)擊、欺騙用戶點(diǎn)擊等手段訂購各類付費(fèi)服;詐騙集團(tuán)利用用戶泄露的個人隱私數(shù)據(jù)進(jìn)行詐騙，這些行為都會危害用戶財(cái)產(chǎn)。

（5）造成用戶資源損失。惡意軟件如“流氓軟件”安裝運(yùn)行后刪除用戶設(shè)備文件、數(shù)據(jù)，使這些文件、數(shù)據(jù)無法恢復(fù)，造成用戶、公司資源的損失。

4 結(jié)束語

本文主要是基于恒安嘉新威脅情報數(shù)據(jù)，對2019年10月至2020年4月期間發(fā)生的間諜軟件安全事件，以及利用“新型冠狀肺炎”熱點(diǎn)發(fā)起的移動安全事件進(jìn)行整理，希望用戶能對移動安全事件有一定的了解，從而進(jìn)一步提高自身防范，時刻保持警惕。后續(xù)建議監(jiān)管應(yīng)用商店廠商遵從國家《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定，嚴(yán)格審核上架應(yīng)用的安全性，擁有職業(yè)道德，不為不良利益所誘惑。建議用戶提高警覺性，使用軟件請到官網(wǎng)下載或是到應(yīng)用商店下載正版軟件，避免從論壇等下載軟件，可以有效地減少該類病毒的侵害。

參考文獻(xiàn)

[1] 常建國，馮萬強(qiáng).大數(shù)據(jù)時代背景下“保護(hù)個人隱私和信息安全”的研究對策[J].現(xiàn)代營銷（經(jīng)營版），2020（02）：41.

[2] 于朝暉.CNNIC發(fā)布第45次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報告》[J].網(wǎng)信軍民融合，2020（04）：30-31.

[3] 陳發(fā)堂，趙昊明，吳曉龍，李陽陽.移動網(wǎng)絡(luò)用戶隱私與信息安全研究[J].南京郵電大學(xué)學(xué)報（自然科學(xué)版）， 2020，40（02）：35-40.

[4] 張夢秋.從APP使用角度對用戶隱私安全的思考[J].電子世界，2019（11）：82-83.

[5] 張寧，趙來娟，何淵.大數(shù)據(jù)環(huán)境下移動社交網(wǎng)絡(luò)用戶隱私問題研究[J].情報探索，2019（01）：14-17.

作者簡介：

傅強(qiáng)（1982-），男，漢族，北京人，河南師范大學(xué)，本科，恒安嘉新（北京）科技股份公司智能安全創(chuàng)新研究院，院長，總工程師;主要研究方向和關(guān)注領(lǐng)域：信息安全。

阿曼太（1982-），男，哈薩克族，新疆昌吉人，中央民族大學(xué)，本科，恒安嘉新（北京）科技股份公司智能安全創(chuàng)新研究院，執(zhí)行副院長;主要研究方向和關(guān)注領(lǐng)域：移動應(yīng)用安全、惡意代碼檢測、電信反欺詐、人工智能技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的落地與應(yīng)用。

雷小創(chuàng)（1987-），男，漢族，陜西西安人，西安科技大學(xué)，本科，恒安嘉新（北京）科技股份公司暗影移動安全實(shí)驗(yàn)室，主任;主要研究方向和關(guān)注領(lǐng)域：移動互聯(lián)網(wǎng)安全、移動惡意程序檢測、黑產(chǎn)溯源。

肖媛媛（1996-），女，漢族，湖南邵陽人，湖南警察學(xué)院，本科，恒安嘉新（北京）科技股份公司暗影移動安全實(shí)驗(yàn)室，分析師;主要研究方向和關(guān)注領(lǐng)域：移動安全。

鄭競可（1993-），女，漢族，河南平頂山人，河南理工大學(xué)，本科，恒安嘉新（北京）科技股份公司暗影移動安全實(shí)驗(yàn)室，分析師;主要研究方向和關(guān)注領(lǐng)域：移動安全。

（本文為“2020年429首都網(wǎng)絡(luò)安全日”活動征文）