360烽火实验室

传统的APT攻击主要是针对PC端进行，而随着智能手机和移动网络在世界范围内的普及发展，越来越多黑客组织的攻击目标也迅速蔓延到移动端，甚至出现出和PC端结合的趋势。近几年被国内外安全厂商陆续披露的Fancy Bear、Lazarus、Operation Manul、摩诃草、黄金鼠等多个攻击组织无疑印证了这点。近期，360烽火实验室发现肚脑虫组织（APT-C-35）最新的攻击已把移动端也加入到其攻击目标中。

阅读全文 »

360烽火实验室

随着信息技术的发展，移动存储介质由于其具有体积小、容量大的特点，作为信息交换的一种便捷介质，如今已经得到广泛应用，在个人、政府和企业中经常被使用。但也因此而来一直存在着持续的各种安全攻击问题，每当出现一种新型的移动存储介质，之后总会有一系列随之而来的攻击事件发生，举例历史两个“著名”的攻击事件：

阅读全文 »

360烽火实验室 一、 主要发现移动平台的流量黑产一直是我们的研究对象，2017年我们在《移动平台流量黑产研究——流量作弊与流量泡沫》报告中揭露了用于流量作弊的恶意刷量木马，该木马幕后指向北京的一家互联网服务公司。通过对该公司推广渠道的跟踪分析，我们发现了新型的刷量作弊木马家族，由于这类家族使用了特殊的自我隐藏方式以及成熟的模拟点击流程，如同一批由工厂自动流水线生产出来的隐形机器人，我们借用《刺猬...

阅读全文 »

360烽火实验室

第一章 勒索中的“代刷”

勒索软件是指启动后通过置顶自身窗口或重置锁机密码强制锁定用户桌面、使用户无法正常使用设备，并以支付解锁对用户进行勒索的软件。近年来，Android平台勒索软件以其高危害、高伪装性、难卸载等特点一直是360烽火实验室关注的重点。针对勒索软件擅于伪装成特定流行软件进行传播的现象，360烽火实验室对Android平台勒索软件伪装类别及相关产业进行了持续跟踪与分析。在2018年3月初发表的《勒索软件“假面”系列——免流软件》中，我们已经介绍了勒索软件的一类“假面”——免流软件，并对免流产业现状、原理与危害做了详细阐述。近期，我们把目光瞄准了一类比免流软件更加常见的伪装类别——代刷代挂类软件（以下简称代刷软件）。

阅读全文 »

360烽火实验室

第一章 勒索中的“免流”

勒索软件是指启动后通过置顶自身窗口或重置锁机密码强制锁定用户桌面、使用户无法正常使用设备，并以支付解锁对用户进行勒索的软件。近年来，360烽火实验室始终密切关注勒索软件发展动向，并持续对勒索软件新技术新形式、勒索软件黑产、以及Android新版本系统在对抗勒索软件方面的新特性进行了深入研究。在对勒索软件的长期跟进中我们发现，勒索软件是一类非常擅长伪装自己的软件，为了诱导用户下载安装运行，勒索软件通常会伪装成各种极具诱惑力、通过不正规手段牟利的软件，例如游戏外挂、代刷、盗版应用、WIFI密码破解、抢红包等等，这些软件拥有一定的用户群与传播途径，勒索软件正是利用了其易吸引用户、传播快的特点玩起了“假面游戏”。

阅读全文 »

360烽火实验室

摘 要

• 2017年全年，360互联网安全中心累计截获Android平台新增恶意软件样本757.3万个，平均每天新增2.1万。全年相比2016年（1403.3万）下降46.0%，从2015年来看，新增恶意软件呈现总体下降趋势。
• 2017全年，从手机用户感染恶意软件情况看，360互联网安全中心累计监测到Android用户感染恶意软件2.14亿，相比2016年2.53亿人次下降15.4%，平均每天恶意软件感染量约为58.5万人次。
• 2017年Android平台新增恶意软件主要是资费消耗，占比高达80.2%；相比2016年增加了6个百分点。
• 2017年从地域分布来看，感染手机恶意软件最多的地区为广东省，感染数量占全国感染数量的10.4%；其次为河南（6.8%）、山东（6.5%）、河北（5.9%）、浙江（5.9%）。
• 2017年Android平台恶意软件感染量最多的十大城市。北京（4.9%）、广州（2.1%）、重庆（1.8%）、成都（1.7%）、东莞（1.5%）。位居Top10的城市还有石家庄、深圳、郑州、南京、杭州。
• 2017年恶意软件使用了多种新技术，分别是针对系统运行库的攻击，利用Telegram软件协议远控，手机挖矿，手机僵尸网络发起DDOS攻击，使用SOCKS代理和SSH协议穿透内网防火墙，恶意软件多级化，滥用应用多开技术以及高级定向攻击持续化。
• 2017年度CVE Details报告显示，Android系统以842个漏洞位居产品漏洞数量榜首，与2016年523个相比，增长61.0%。
• 2017年不断曝出Android漏洞在恶意样本上利用，利用的漏洞主要有屏幕录制漏洞（CVE-2015-3878）、脏牛漏洞（CVE-2016-5195）、TYPE_TOAST（CVE-2017-0752）和Janus安卓签名漏洞（CVE-2017-13156）。
• Google通过引入最新的机器学习模块和技术，显著提升了Google Play的安全检测能力，并能够有效发现假冒的软件、包含了违规内容的软件、以及恶意软件。除此之外，Google还从系统和研发两个方面提升了整体安全环境。
• 在协同打击网络犯罪方面，截至2017年底，猎网平台已与全国300个地区的公安机关建立联系。全年协助各地区公安机关协查案件219起，破案23起，抓获嫌疑人共计137人。同时，360烽火实验室对外开展移动平台电子取证培训10余次，涵盖河南、长春、浙江等全国多地。在涉及移动平台的网络犯罪案件侦办中，实验室通过溯源等分析手段，协助公安机关找到恶意软件作者QQ号，手机号及邮箱线索31万余条，案件涉及的恶意软件分析报告18篇。
• 从移动威胁趋势上看，具备自动化和对抗能力的恶意软件工厂不断涌现，恶意挖矿木马愈演愈烈，公共基础服务成为恶意软件利用的新平台，脚本语言成为恶意软件新的技术热点，这4个方面将成为今后的主要趋势。

关键词：移动安全、恶意软件、漏洞利用、网络犯罪、威胁趋势

阅读全文 »

360烽火实验室

摘 要

• 手机挖矿木马就是在用户不知情的情况下利用其手机的计算能力来为攻击者获取电子加密货币的应用程序。
• 电子加密货币是一种匿名性的虚拟货币，由于不受政府控制、相对匿名、难以追踪的特性，电子加密货币常被用来进行非法交易，也成为犯罪工具、或隐匿犯罪所得的工具。
• 2014年3月首个Android平台挖矿木马被曝光。
• 从2013年开始至2018年1月，360烽火实验室共捕获Android平台挖矿木马1200余个，其中仅2018年1月Android平台挖矿木马接近400个。
• 从Android平台挖矿木马伪装应用类型看，工具类（20%）、下载器类（17%）、壁纸类（14%）是最常伪装的应用类型。
• 从样本来源来看，除了被曝光的在Google play中发现的十多个挖矿木马外，我们在第三方下载站点捕获了300多个挖矿木马，总下载次数高达260万余次。
• 从网站来看，据Adguard数据显示，2017年近1个月时间内在Alexa排行前十万的网站上，约有220多个网站在用户打开主页时无告知的利用用户计算机进行挖矿，影响人数多达5亿。大多是以视频门户网站，文件分享站，色情网站和新闻媒体站等这类相对访问时间较长的站点。
• Android平台发现的挖矿木马选择的币种主要有（BitCoin）、莱特币(Litecoin)、狗币(Dogecoin)、卡斯币(Casinocoin) 以及门罗币（Monero）这五种。
• 挖矿方式有单独挖矿和矿池挖矿两种，Android平台挖矿木马主要采用矿池挖矿。
• Android平台挖矿木马技术原理从代码上看，主要分为使用开源的矿池代码库进行挖矿和使用浏览器JavaScript脚本挖矿。
• 挖矿木马的技术手段包括检测设备电量、唤醒状态、充电状态、设置不可见页面以及仿冒应用下载器。
• 应用盈利模式由广告转向挖矿，门罗币成为挖矿币种首选以及攻击目标向电子货币钱包转移成为Android平台挖矿木马的趋势。
• 目前挖矿木马的防御措施，PC平台已经具备防御能力，移动平台由于权限控制不能彻底防御。
• 移动平台挖矿受限于电池容量和处理器能力，但电子加密货币正在快速增长，现有货币增值并出现新的货币币种，挖矿最终会变得更有利可图。
• 国外这种全新的盈利模式，还处在起步阶段，还需要更多的控制和监管，避免被恶意利用。

关键词：手机挖矿木马、电子货币

阅读全文 »

360烽火实验室 近期，360烽火实验室发现Google Play上架了4款均使用了某厂商加固的ExpensiveWall家族变种，它能够在用户不知情的情况下私自发送扣费短信，给用户带来经济损失。 我们发现后在第一时间通知Google，Google立即从其商店中删除了相关APP。但根据Google Play安装数据显示，仍然有10,000 - 50,000部手机受到感染。 它是如何运作的根据g...

阅读全文 »

360烽火实验室

摘 要

• 2017年1月至9月，360烽火实验室共捕获手机勒索恶意软件50万余个，平均每月捕获手机勒索软件5.5万余个。语音识别、二维码和文件加密等新型勒索软件不断涌现。
• 社交网络服务被滥用，2017年前三季度，360烽火实验室发现勒索信息中新增QQ号码7.7万余个，QQ群号码1千余个。其中，一季度新增QQ号码和QQ群号码数量均为最多，第二、三季度逐渐下降，与一季度相比二季度下降23.0%，三季度下降56.8%。
• 大部分勒索信息中都会同时出现QQ号和QQ群号。在相似页面布局的勒索页面中，变化是只是QQ号而QQ群号基本不变。
• 锁机源码、测试视频、视频教程、软件源码及制作工具等等上传到群文件中，共享给群里其他人，甚至还有人制作木马一键生成器。
• 通QQ群查询“锁机”关键字得到的结果，带有“锁机”关键字标签的QQ群有200余个，由此可见QQ群是勒索软件的主要传播源。
• 大部分一键生成器由简易工具AIDE制作而成，一键生成器能够制作22种不同类型的软件，其中包括了12种不同类型的勒索软件、6种钓鱼软件、2种套路软件、1种拦截马软件以及1种表白软件。
• 生成流程包括三个部分，选择生成软件的类型、填写生成软件的配置信息和添加生成软件ROOT锁。

关键词：移动安全、手机勒索、一键生成器

阅读全文 »

360烽火实验室

WireX家族病毒基本上都会在内部硬编码存放两个URL地址（部分变种的URL经过加密），变种A在内部硬编码了如下两个URL

http://u.*******.store/?utm_source=tfikztteuic

http://g.*******.store/?utm_source=tfikztteuic

这些URL地址是病毒的C&C Server的地址，用于返回要攻击的网站的信息，不同之处在于，对这两个URL返回的信息，处理方式不同，执行的恶意行为也不同。

阅读全文 »