卡巴斯基实验室:2019年移动端恶意软件趋势报告
2020-03-06 10:03:41 Author: www.4hou.com(查看原文) 阅读量:165 收藏

一、年度数字

本篇文章的统计数据来源于卡巴斯基用户终端的检测情况,基于用户同意下对这部分数据进行收集、统计并形成结论。

在2019年,卡巴斯基移动端产品共检测到:

3503952个恶意安装软件包。

69777个新型移动端银行木马。

68362个新型移动端勒索软件木马。

二、年度趋势

我们纵观整个2019年,可以发现两个非常明显的趋势:

(1)攻击者针对用户个人数据的攻击变得更加频繁;

(2)在最为流行的应用程序市场上,往往会更加频繁地检测到木马。

本报告详细讨论了其中的每一个分类,并提供了示例和统计信息。

2.1 针对个人数据的攻击:追踪软件

在过去的一年中,针对移动设备用户个人数据的攻击数量增长了50%,从2018年的40386个被攻击用户增长到2019年的67500个被攻击用户。而造成如此大规模增长的元凶,并不是传统意义上的间谍软件或特洛伊木马,而是所谓的追踪软件(Stalkerware)。

2018-2019年期间,遭到追踪软件攻击的用户数量:

1.png

所谓的追踪软件可以具体细分为两类,一类是跟踪器,另一类是完善的追踪应用程序。

其中,追踪器的作者通常会关注两个主要功能——追踪受害者的坐标,以及拦截短信。直到最近一段时间,仍有很多这样的应用程序可以在官方Google Play市场上获取,其中大多数都是免费的。在2018年年底,Google Play曾经更改了政策,大多数恶意软件都在那时从商店中被删除了,并且大多数恶意软件的开发者都放弃了对恶意应用程序的支持。但是,我们仍然可以在开发人员建立的网站或第三方网站上找到此类追踪器。

如果将这类应用程序安装到设备上,第三方就可以访问有关用户位置的消息和数据。这些第三方并不仅仅局限于追踪用户的第三方,某些服务的客户端-服务器交互也会忽略最小化的安全需求,从而导致任何人都可以访问其保存的数据。

而完善的追踪器软件的状况则有所不同,我们无法在Google Play上找到这样的应用程序,但这部分恶意软件的开发人员会积极维护恶意软件。其中的大部分恶意软件都是具有丰富间谍功能的“商业化”解决方案,它们可以在受感染的设备上收集几乎所有数据,包括照片(全部照片或特定照片,比如在某个特定位置拍摄的照片)、通话、短信、位置信息、屏幕敲击(键盘记录)等内容。

追踪软件应用程序网站的截图,展示了这个软件的功能:

2.png

许多应用程序利用root特权,从社交网络或即时消息通讯应用程序的受保护存储中提取聊天记录。如果恶意应用无法获取到所需的访问权限,追踪器可以使用屏幕快照功能、屏幕点击记录功能,甚至可以使用“辅助功能”从常见应用程序的窗口中提取出发送和接收到的消息文本。商业间谍软件Monitor Minor就是一个这样的例子。

追踪软件应用程序网站的截图,展示该软件具有拦截社交网络和即时消息通讯APP数据的功能:

3.png

商业间谍软件FinSpy的开发人员在此基础上进一步扩展了其功能,可以拦截Signal、Threema和其他安全通讯软件中的通信功能。为了确保能成功拦截,恶意应用程序利用脏牛漏洞(CVE-2016-5195)获取root用户特权。可以推测的是,攻击者也正在使用带有过期操作系统内核的旧设备,利用旧版本的内核,漏洞利用程序可以实现root用户的特权提升。

值得关注的是,使用即时通讯应用程序的用户已经达到数亿人。人们不再通过传统的电话和短信方式进行交流,而逐渐转移到即时通讯应用程序之中。因此,攻击者也逐渐关注存储在此类应用程序中的数据。

2.2 针对个人数据的攻击:广告应用程序

在2019年,我们观察到广告类恶意应用程序威胁数量有明显增长,这类应用程序的目的之一是在移动设备上收集个人数据。

统计数据显示,2019年受到广告类恶意软件攻击的用户数量与2018年相比基本保持持平。

2018-2019年期间受到广告类恶意软件攻击的用户数量:

4.png

同时,检测到的广告类恶意软件安装包的数量,与2018年相比几乎增长了一倍之多。

2018-2019年期间检测到的广告类恶意软件安装包的数量:

5.png

这些指标通常都是相互关联的,但在广告类恶意软件中却并非如此。我们可以将其解释为以下几个因素:

1、广告类恶意软件安装程序包是自动生成的,并且几乎可以传播到任何地方,但由于某些原因无法到达潜在受害者的终端上。在这类恶意软件生成后,可能立即会被检测到,从而无法进一步传播。

2、通常,这类应用程序没有任何实际用处,仅包含一个广告软件模块,因此受害者会立即删除这类软件。

尽管如此,今年已经是广告类恶意软件连续第二年排在威胁榜前三名。根据KSN的统计数据,可以证明它目前是最常见的威胁类型之一:在2019年受攻击用户数量排名前10的移动威胁中,广告类恶意软件占据了4个位置,其中一个恶意软件家族AdWare.HiddenAd排名第三。

1    DangerousObject.Multi.Generic  35.83%

2    Trojan.AndroidOS.Boogr.gsh     8.30%

3    AdWare.AndroidOS.HiddenAd.et      4.60%

4    AdWare.AndroidOS.Agent.f       4.05%

5    Trojan.AndroidOS.Hiddapp.ch   3.89%

6    DangerousObject.AndroidOS.GenericML  3.85%

7    AdWare.AndroidOS.HiddenAd.fc      3.73%

8    Trojan.AndroidOS.Hiddapp.cr    2.49%

9    AdWare.AndroidOS.MobiDash.ap     2.42%

10   Trojan-Dropper.AndroidOS.Necro.n  1.84%

* 上述统计在被攻击的所有用户中,遭受某类恶意软件攻击用户所占的比例。

在2019年,移动端广告恶意软件的开发人员不仅发布了数以万计的软件包,而且还从技术层面上增强了他们的“产品”,特别是增加了绕过操作系统限制的技术。

例如,出于节省电量的考虑,Android对应用程序的后台活动增加了某些限制。这类限制也会限制各种威胁的正常运行,其中就影响了潜伏在后台并等待C&C指令的广告类恶意应用程序。随着这类限制的引入,恶意应用程序无法在自己的窗口范围之外显示广告,从而导致大多数广告类恶意软件无法正常工作。

然而,KeepMusic广告类恶意软件的作者发现了一个“明智”的解决方法。为了绕开这些限制,他们的软件不会像恶意软件那样请求权限,而是让程序循环播放无声的MP3文件。由于操作系统认为音乐播放器正在运行,所以就不会终止KeepMusic的后台进程。最终,这个广告类恶意软件可以从服务器请求Banner内容,并随时显示。

2.3 针对个人数据的攻击:利用对辅助功能的访问

在2019年,我们见证了首个具有增强功能的移动金融恶意软件(Trojan-Banker.AndroidOS.Gustuff.a)的出现。在此之前,攻击者主要是使用两种方法从银行账户窃取资金:

1、通过受害者的短信银行。这是一种自动化盗窃技术,只需要提供有关收款方的信息。恶意软件可以将这些数据存储在其主体中,也可以作为命令从C&C接收。特洛伊木马将感染设备,并将带有转账请求的短信发送到特定的银行号码。随后,银行会自动从设备拥有者的账户中将资金转账给收款方。由于这种盗窃行为的不断发生,银行也加强了对移动转账的限制,因此这种攻击媒介已经转变为备用手段。

2、通过窃取网上银行凭据的方式。这是近年来的主要方法,网络犯罪分子在受害者的设备上显示一个仿冒的窗口,该窗口模仿银行的登录界面,并接收受害者输入的凭据。在这种情况下,网络犯罪分子需要使用他们的移动设备或浏览器上的应用程序来亲自进行交易。银行的反欺诈系统很可能会检测到异常活动,并阻止这样的交易行为。这样一来,即便受害者的设备已经被感染,攻击者也将空手而归。

在2019年,网络犯罪分子挖掘了第三种方法:通过操纵银行应用程序实现窃取。首先,伪造来自银行的虚假推送通知,诱导受害者运行应用程序。一旦用户点击运行,则打开真正的银行应用程序,但与此同时攻击者使用辅助功能可以完全控制该应用程序,实现填写表格、点击按钮等功能。此外,这一切都是由恶意软件自动操作,无需人工执行任何操作。这类操作往往可以受到银行的信任,最大转账金额可能会超过短信银行所限制的最高金额。最终将导致网络犯罪分子可以一口气将账户上全部的钱席卷一空。

实际上,从银行账户窃取资金,只是对辅助功能的一种恶意使用方法。实际上,具有这些权限的任何恶意软件都可以控制所有屏幕上的进程,而任何Android应用程序基本上都是按钮、数据输入表单和信息显示的简单组合。即使开发人员实现了自己的控制元素,例如需要以一定的速度来滑动滑块,那么也可以使用辅助功能的命令来完成。因此,网络犯罪分子借助辅助功能可以充分发挥创造,编写出最危险的移动端恶意软件,包括间谍软件、银行木马和勒索软件木马。

辅助功能的滥用对用户的个人数据构成了严重威胁。以前,网络犯罪分子必须在合法页面上覆盖网络钓鱼窗口,并请求一系列许可,才可能窃取到个人信息。而现在,可以假装受害者本人,将所有必要的数据输出到屏幕上,或者以简单的方法输入。并且,如果恶意软件需要更多服务,它完全可以自行打开“设置”,点击一些按钮,并获取到必要的权限。

2.4 热门应用市场Google Play上的移动端木马

与通过社会工程学的方式诱导受害者从第三方来源安装应用程序相比,将恶意软件放置在主流的Android应用程序商店中显然更具有诱惑力。此外,这种方式还存在几个优点:

1、能绕过Android内置的防病毒保护SafetyNet。如果用户从Google Play下载应用程序,有非常大的概率可以在无需任何额外请求的情况下完成应用程序的安装,而从第三方来源安装应用程序可能需要以虚假的理由来诱骗受害者禁用内置保护。针对这种绕过方式,唯一可以保护用户免受感染的就是第三方安全解决方案。

2、可以克服使用者的心理障碍。官方的应用程序商店往往比第三方的“市场”具有更大的可信度,并且可以作为更有效分发软件的一个窗口。

3、无需花费额外代价即可瞄准受害者。攻击者可以在Google Play上发布精心伪造的应用程序,这些伪造的应用看上去非常像是主流银行应用程序。我们此前曾经分析过一起针对巴西移动端用户的攻击活动,在该恶意活动中,攻击者精心伪造了一些巴西银行的移动应用并成功上传到Google Play上。

除了上述这些,网络犯罪分子还采用了其他一些技巧来最大程度提高设备感染率:

1、CamScanner的案例表明,通过更新其处理广告的代码,可以使用恶意功能来替换掉应用程序的合法功能。我们可以将其视为最复杂的攻击媒介,因为其成功取决于很多因素,包括合法应用程序的用户基础、开发人员对第三方广告代码的信任程度以及恶意活动的类型。

2、另一个案例表明,攻击者有时会选择最受用户欢迎的分类,并将行为良好的应用程序上传到Google Play,例如照片编辑器。

3、我们曾发现过最具威胁的案例是来自Joker家族的特洛伊木马,我们已经在Google Play上发现了很多样本,而现在仍然可以接连找到。网络犯罪分子采用了大规模发布恶意应用程序的策略,以各种功能为掩护,上传了包括更换壁纸的工具、安全解决方案、流行游戏在内的各种应用程序。其中的某些恶意应用已经获得超过数十万次下载。在如此短的时间之内,没有其他攻击媒介可以收获到如此之多的潜在受害者。

目前,Google和反病毒厂商已经加强联合,共同对抗Google Play应用商店中存在的威胁。通过这种方式,理论上可以防止大多数恶意软件渗透到Google官方应用商店中。

三、统计数字

在2019年,我们总共发现了3503952个移动恶意安装程序包,比上一年减少了1817190个。这一数字达到了2015年以来的新低。

2015-2019年Android端移动恶意软件安装包的数量统计:

6.png

我们已经连续三年发现作为安装包分发的移动威胁数量总体呈现出下降的趋势。其中,很大程度上要取决于特定的网络犯罪活动——一些恶意活动变得不太活跃,另一些活动已经完全停止,新的威胁参与者还不具备足够的影响力。

这样的趋势与移动端威胁产生的实际攻击次数相似。在2018年,我们观察到总计1.165亿次攻击,而在2019年,这一数字降至8000万次。

卡巴斯基移动解决方案在2018-2019年之间防御的攻击数量:

7.png

这些数字可以追溯到一年前,也就是Asacub银行木马开始流行之前。

由于攻击次数与遭到攻击的用户数量直接相关,因此这一指标也具有相同的趋势。

2018-2019年遭到移动恶意软件攻击的用户数量:

8.png

2019年遭受攻击用户的地理位置:

9.png

根据移动端恶意软件攻击的用户比例,排名前10位的国家分别是:

· 伊朗       60.64%

· 巴基斯坦       44.43%

· 孟加拉国       43.17%

· 阿尔及利亚   40.20%

· 印度       37.98%

· 印尼       35.12%

· 尼日利亚       33.16%

· 坦桑尼亚       28.51%

· 沙特阿拉伯   27.94%

· 马来西亚       27.36%

* 排名不包含报告周期内卡巴斯基移动安全解决方案活跃用户少于25000的国家。

** 上述统计单一国家内遭受攻击的唯一用户占该国家卡巴斯基移动安全解决方案所有用户的百分比。

在2019年,伊朗(60.64%)再次连续第三年位居榜首。该国最常见的威胁来源于广告恶意软件和潜在有害软件,包括Trojan.AndroidOS.Hiddapp.bn、AdWare.AndroidOS.Agent.fa和RiskTool.AndroidOS.Dnotua.yfe。

巴基斯坦(44.43%)从第七位上升到第二位,主要原因在于受到广告类恶意软件攻击的用户数量出现明显增加,而其中贡献最大的是AdWare.AndroidOS.HiddenAd恶意家族的成员。孟加拉国(43.17%)也是与之类似的情况,由于同一个广告类恶意软件家族,其份额有所增加。

3.1 移动威胁的类型

2018-2019年按类型划分的移动威胁分布:

10.png

在2019年,风险工具类占比下降了20个百分点,占到32.46%。我们认为,其主要原因是SMSreg恶意家族相关的威胁数量急剧下降。这个家族的一大典型特征是通过短信的方式进行付款,例如:向攻击者进行汇款或订阅移动服务。而且,不会明确告知用户向其移动账户收取的付款或金额。而在2018年,我们发现了1970742个SMSreg安装包,这个数量明显在2019年下降了一个量级,降到了193043个。与此同时,此类威胁中其他成员的软件包数量并没有减少,反而有明显增加。

1、Agent     27.48%

2、SMSreg  16.89%

3、Dnotua  13.83%

4、Wapron  13.73%

5、SmsSend       9.15%

6、Resharer       4.62%

7、SmsPay  3.55%

8、PornVideo    2.51%

9、Robtes   1.23%

10、Yoga      1.03%

* 以上是在2019年检测到的风险工具类软件包总数中,各恶意软件家族所占的份额。

Skymobi和Paccy退出了潜在有害软件TOP 10的行列,这两个家族在2019年被检测到的安装数量减少到十分之一。我们推测,这两个恶意软件的作者正准备精简或停止对其的开发和运营。但是,这里出现了一个新的威胁——Resharer家族(4.62%),在本年度排名第六。这一恶意软件家族以自我传播为主要特点,在各个网站上发布有关自己的信息,并通过偶见的方式将自身传递给受害者的联系人。

广告类恶意软件呈现出明显的增长趋势,增长了14个百分点。其中,占据较大比重的是HiddenAd(26.81%),与2018年相比,这一系列恶意软件安装包数量增加了两个数量级。

1、HiddenAd     26.81%

2、MobiDash     20.45%

3、Ewind    16.34%

4、Agent    15.27%

5、Dnotua  5.51%

6、Kuguo   1.36%

7、Dowgin  1.28%

8、Triada    1.20%

9、Feiad     1.01%

10、Frupi      0.94%

* 以上是在2019年检测到的广告类恶意软件包总数中,各恶意软件家族所占的份额。

MobiDash(20.45%)和Ewind(16.34%)家族也在本年度有明显增长。与此同时,在2018年保持领先地位的Agent家族(15.27%)跌至第四位。

与2018年相比,检测到的移动木马数量急剧下降。我们已经连续两年观察到下降趋势,但投放工具(Dropper)仍然是数量最多的恶意软件类别之一。Hqwar系列恶意软件的下降幅度最大,从2018年的141000下降到2019年的22000。与此同时,Ingopack系列首次被发现是在2019年,我们全年共检测到115654个恶意样本。

同时,特洛伊木马类威胁的占比上升了6个百分点,在该类别中占比最高的两个恶意软件家族分别是Boogr和Hiddapp。Boogr系列包含使用机器学习(ML)技术检测到的各种特洛伊木马。Hiddapp系列的功能是在后台运行时将图标隐藏在已安装应用程序的列表之中。

移动勒索软件木马的占比略有增加。此类威胁的前三大家族与2018年相比几乎保持不变,依次分别是Svpeng、Congur和Fusob。

3.2 排名前20的移动恶意软件程序

在下面的恶意软件排名中,我们略去了潜在不需要的软件,例如风险工具类和广告类软件。

1、DangerousObject.Multi.Generic  49.15%

2、Trojan.AndroidOS.Boogr.gsh     10.95%

3、Trojan.AndroidOS.Hiddapp.ch   5.19%

4、DangerousObject.AndroidOS.GenericML  5.08%

5、Trojan-Dropper.AndroidOS.Necro.n  3.45%

6、Trojan.AndroidOS.Hiddapp.cr    3.28%

7、Trojan-Banker.AndroidOS.Asacub.snt      2.35%

8、Trojan-Dropper.AndroidOS.Hqwar.bb      2.10%

9、Trojan-Dropper.AndroidOS.Lezok.p  1.76%

10、Trojan-Banker.AndroidOS.Asacub.a  1.66%

11、Trojan-Downloader.AndroidOS.Helper.a  1.65%

12、Trojan-Banker.AndroidOS.Svpeng.ak       1.60%

13、Trojan-Downloader.AndroidOS.Necro.b   1.59%

14、Trojan-Dropper.AndroidOS.Hqwar.gen    1.50%

15、Exploit.AndroidOS.Lotoor.be      1.46%

16、Trojan.AndroidOS.Hiddapp.cf    1.35%

17、Trojan.AndroidOS.Dvmap.a       1.33%

18、Trojan-Banker.AndroidOS.Agent.ep  1.31%

19、Trojan.AndroidOS.Agent.rt  1.28%

20、Trojan-Dropper.AndroidOS.Tiny.d    1.14%

* 上述为在所有受到攻击的用户中,被特定恶意软件攻击的用户所占的比例。

在我们盘点2019年的时候,与往年一样,我们可以看到TOP 20移动恶意软件中排名第一的是DangerousObject.Multi.Generic(49.15%),这是我们使用云技术检测到的恶意软件,这样的方法适用于在反病毒数据库缺少有效特征值,也无法使用启发式的方法检测恶意软件的情况。通过这种方式,就可以发现新的恶意软件。

第二名是Trojan.AndroidOS.Boogr.gsh(10.95%)。此类恶意软件被我们基于机器学习的系统识别为恶意。通过这种方式发现的另一个恶意软件是DangerousObject.AndroidOS.GenericML(5.08%,排名第四)。我们可以通过机器学习的方式,发现与恶意文件结构相同的其他文件,并将其判定为同种恶意软件。

Hiddapp家族的成员分别占据其中第三名、第六名和第十六名的位置。这类恶意软件在运行后,会在应用程序列表中隐藏其图标。此类恶意软件的后续动作,可能是下载或投放其他应用程序,或者显示广告。

其中,第五名和第十三名都是Necro系列家族的投放工具和加载工具。在这两个威胁分类中,Necro家族的成员都没能进入前10名的位置。即使是功能最弱的Hwar投放工具系列,其生成的对象数量也大大超过了Necro。正是由于该恶意软件家族以Google Play为目标进行渗透,才会导致用户经常遇到Necro家族的成员。

Asacub银行木马家族的成员分别占据第七名和第十名。从年初开始,特洛伊木马的运营团队就开始积极传播该恶意软件,从2019年3月开始,我们注意到该恶意家族的活动有所减少。

2019年被Asacub移动银行木马攻击的用户数量:

11.png

Hqwar家族中的投放工具占据了第八名和第十四名。在其恶意活动中遭受攻击的用户从2018年的80000下降到了2019年的28000。但是,我们仍然能发现该恶意软件家族不断尝试感染用户,目前还不能排除它会重回榜首的可能性。

Hqwar移动端恶意投放工具在2019年攻击的用户数量:

12.png

排在第九名的是来自Lezok家族的另一个投放工具——Trojan-Dropper.AndroidOS.Lezok.p(1.76%)。该木马与Hqwar之间的显著区别在意,恶意软件会在设备访问应用商店之前就完成渗透。KSN统计数据证明了这一点,该木马经常会在系统目录中使用类似于PhoneServer、GeocodeService这样的名称。

我们检测到的恶意软件常用路径与其对应的受害者数量如下:

1、/system/priv-app/PhoneServer/       49,688

2、/system/priv-app/GeocodeService/  9747

3、/system/priv-app/Helper/  6784

4、/system/priv-app/com.android.telephone/      5030

5、/system/priv-app/       1396

6、/system/priv-app/CallerIdSearch/     1343

在开启设备电源后,Lezok会将其Payload转储到系统中。即使受害者使用常规的OS工具删除转储的文件,或者将设备重置为出厂设置,这一过程也同样会发生。其关键点在于,木马已经成为了出厂固件中的一部分,可以重新加载(或还原)已删除的文件。

最后一个值得关注的特洛伊木马是Trojan-Downloader.AndroidOS.Helper.a(1.56%),排名第十一位。尽管该恶意软件是可以被删除的,但是在受感染的系统中还存在另一个木马,该木马安装了帮助程序,无法轻易被删除。根据KSN的统计,Trojan-Downloader.AndroidOS.Triada和Trojan.AndroidOS.Dvmap家族可以作为帮助程序的传递工具。一旦受害者移除了帮助程序,则这两个木马中的其中一个会对其加载并进行重新安装。

3.3 移动银行木马

2019年,我们共检测到69777个移动银行木马的安装程序包,数量是去年的一半。但是,由于其他类别和移动恶意软件家族活动的减少,在所有检测到的威胁中,银行木马的占比略有增加。

卡巴斯基在2019年检测到的移动银行木马安装包数量:

13.png

其中,自2019年4月开始,分发Asacub木马的恶意活动数量急剧减少,这也影响到了银行木马安装包以及攻击的数量。

2018-2019年移动银行木马的攻击次数:

14.png

值得关注的是,全年内每月平均攻击的次数为270000。

银行木马受攻击用户所占份额排名前十的国家:

1、Russia    0.72%

2、South Africa  0.66%

3、Australia       0.59%

4、Spain     0.29%

5、Tajikistan      0.21%

6、Turkey   0.20%

7、USA       0.18%

8、Italy       0.17%

9、Ukraine  0.17%

10、Armenia        0.16%

* 以上为所有受攻击用户中,遭受移动银行攻击的用户所占比例。

俄罗斯(0.72%)已经连续三年进入到前十名之中,有许多不同种类的木马家族都尝试从俄罗斯银行应用程序中窃取凭据,同时这些木马程序也会针对其他国家发起攻击。此外,Asacub是塔吉克斯坦、乌克兰以及亚美尼亚的头号威胁,而Svpeng木马家族主要活跃于俄罗斯和美国。

在南非(0.66%),最常见的特洛伊木马是Trojan-Banker.AndroidOS.Agent.dx,占所有受到银行威胁攻击的用户的95%。

在澳大利亚(0.59%),传播最广泛的特洛伊木马是Trojan-Banker.AndroidOS.Agent.eq,在所有遭到银行类威胁攻击的用户中占77%。

在西班牙,Cebruser和Trojan-Banker.AndroidOS.Agent.ep家族的银行恶意软件占据主要地位,分别占所有遭到银行类威胁攻击的用户的49%和22%。

2019年移动银行类恶意软件前十名:

1、Asacub  44.40%

2、Svpeng  22.40%

3、Agent    19.06%

4、Faketoken     12.02%

5、Hqwar   3.75%

6、Anubis   2.72%

7、Marcher        2.07%

8、Rotexy   1.46%

9、Gugi      1.34%

10、Regon   1.01%

* 以上为所有受到银行木马攻击的用户中,遭到单一恶意软件攻击的用户所占比例。

3.4 移动勒索软件木马

在2019年,我们检测到68362个勒索软件木马安装软件包,比去年增加了8186个。但是,我们观察到整个2019年新勒索软件程序包的数量有所下降,最低记录发生在12月。

2019年Q1至Q4期间用于移动勒索软件木马的新安装软件包数量:

15.png

在我们针对受攻击的用户进行数量统计的过程中,也可以看到类似的趋势。在2019年初,受攻击的用户数量达到了12004的峰值,而在年底,这一数字下降到近三分之一。

2018-2019年期间,受到移动勒索软件木马攻击的用户数量:

16.png

在2019年,各个国家受到移动勒索软件攻击的用户占比:

17.png

受勒索软件木马攻击的用户所占份额排名前十位的国家:

1、USA       2.03%

2、Kazakhstan   0.56%

3、Iran        0.37%

4、Mexico  0.11%

5、Saudi Arabia  0.10%

6、Pakistan        0.10%

7、Canada  0.10%

8、Italy       0.09%

9、Indonesia      0.08%

10、Australia       0.06%

* 排名不包含报告周期内卡巴斯基移动安全解决方案活跃用户少于25000的国家。

** 上述统计单一国家内遭受移动勒索软件攻击的唯一用户占该国家卡巴斯基移动安全解决方案所有用户的百分比。

这已经是连续第三年,美国在受移动勒索软件攻击的用户所占份额中排在第一名(2.03%)。与去年一样,Svpeng勒索软件家族是美国最常见的勒索软件,同时在伊朗(0.37%)也广泛传播。

哈萨克斯坦(0.56%)的情况保持不变,该国仍然排名第二,其中存在威胁最大的仍然是Rkor家族。

在2019年中,我们见证了几种高度复杂的移动银行威胁的出现,特别是可能干扰银行应用程序正常运行的恶意软件。我们不能轻视这些软件所产生的威胁,因为它们往往会直接对受害者造成财产损失。这样的趋势很可能会持续到2020年,并且我们可能会看到更多的这种高科技银行木马。

同样,在2019年,使用移动追踪软件的攻击活动变得更加频繁,其目的是监视和收集有关受害者的信息。就复杂程度而言,追踪器软件与其它恶意软件是差不多的。而在2020年,此类威胁的数量很可能会增加,受到攻击的用户数量也会相应增加。

从我们的统计数据上来看,广告类恶意软件在网络犯罪分子中越来越受欢迎。今后,我们很可能会遇到这类威胁的新成员,最糟糕的一种情况就是受害者的设备上被预先安装了广告类恶意软件的模块。

本文翻译自:https://securelist.com/mobile-malware-evolution-2019/96280/如若转载,请注明原文地址:


文章来源: https://www.4hou.com/posts/E63g
如有侵权请联系:admin#unsafe.sh