2020年 Android 平台安全态 势分析报告 奇安信威胁情报中心移动安全团队 2021.2 主要观点  2020年奇安信威胁情报中心累计截获 Android平台新增网银盗号木马样本约 20 万个，针对全球金融行业的攻击依然是攻击者的主要目标之一。  从全球范围来看， 移动互联网的安全治理相对薄弱，特别是 网银盗号木马 依然泛 滥，呈现出种类繁多、手段多样 等特点，对用户财产威胁严重。而 相比之下，国 内的移动互联网安全治理 更有成效，整体安全 环境明显好于全球 ，特别是网银盗 号木马等传统移动安全威胁 ，在国内已经比较少见 。  2020年，AdbMiner挖矿木马家族 攻击活跃，在全球范围内攻陷数以万计的物联网 设备，国内 被攻陷的物联网设备 数量也接近千级。鉴于物联网设备越来越多，物 联网安全事件对物联网的设备的影响量也越来越广。  由于物联网设备 也普遍以Android系统为基础， 且物联网设备的安全防护 水平普 遍不及智能手机 ，因此，随着用户身边的物联网设备越来越多， 物联网设备被攻 陷的风险也在日益增加 。针对Android系统的安全研究，必须把 物联网设备 考虑 在内。  2020年国内依然有多条 黑色产业链持续 活跃，对用户的隐私、财产安全 威胁严 重。其中，山寨网贷、裸聊勒索、诱惑视频、刷量广告、黑卡、群控、棋牌私彩 最为突出。 摘 要  2020年奇安信威胁情报中心累计截获 Android 平台新增恶意程序样本 230万个， 平均每天截获新增恶意程序样本 6301个。其中 ，恶意扣费类占 34.9%、资费消耗类 占24.2%、流氓行为类占 22.8%、隐私窃取类占 12.3%、诱骗欺诈类占 4.3%、远程 控制类占 1.5%。  2020年国外出现众多针对金融行业的网银盗号木马， 而国内出现少量的网银盗号木 马对用户资产造成威胁。  2020年老牌挖矿家族 AdbMiner 针对物联网设备的攻击活动比较活跃，木马通过特 定端口持续感染不安全的 物联网设备实施挖矿来获取收益。有关监管机构通过微信 公众号发布预警消息，警示充电宝木马再次来袭。  2020年山寨网贷黑产通过伪冒正规网贷 APP对民众资产以及个人信息造成严重威 胁。  2020年裸聊勒索黑产 利用社会工程学 引诱男性受害者下载安装 裸聊木马 并引诱其 进行裸聊 ，然后通过木马窃取受害者裸聊视频并 对受害者进行威胁恐吓 来获取钱财。  2020年诱惑视频木马通过伪冒色情 APP引诱用户购买 VIP来骗取钱财，但并不提 供任何完整色情视频 。  2020年刷量广告黑产通过对热门 APP二次改包的方式来注入广告 模块并将广告收 益人指向自己。  2020年新型黑卡产业通过木马远程控制受害者设备的方式 ，将受害者的设备作为自 己的基础设施来向下游黑产人员售卖服务进行收益。  2020年群控黑产继续发展，通过最新云控来 登录大量虚假账户，然后通过注册水军 等多种方式获取收益。  2020年棋牌私彩黑产继续通过盗版视频推广、群推广等多种渠道推广木马程序，引 诱受害者进行赌博并通过木马程序控制赌博结果来骗取受害者钱财。 关键词: 移动安全、金融、流量、网银盗号木马、黑色产业链、挖矿、物联网设备 目 录 第一章 Android 平台恶意样本分析 ................................ ............. 1 第二章 金融类Android 木马攻击分析 ................................ ........... 2 一、 全球网银类木马流行趋势 ................................ ................ 2 二、 针对国内金融机构的仿冒木马 ................................ ............ 3 第三章 物联网Android 木马攻击分析 ................................ ........... 6 一、 挖矿木马 ................................ .............................. 6 二、 充电宝木马 ................................ ............................ 6 第四章 移动平台黑产活动监测 ................................ ................. 8 一、 山寨网贷 ................................ .............................. 8 （一） 山寨网贷诈骗模式 ................................ ............... 8 （二） 山寨网贷 APP态势 ................................ ............... 8 二、 刷量广告 ................................ .............................. 9 （一） 刷量广告黑产分析 ................................ .............. 10 （二） 刷量广告样本态势 ................................ .............. 11 三、 棋牌私彩 ................................ ............................. 13 （一） 棋牌黑色产业链分析 ................................ ............ 13 （二） 棋牌私彩 APP分布态势 ................................ .......... 15 四、 诱惑视频 ................................ ............................. 15 （一） 诱惑视频产业链分析 ................................ ............ 15 （二） 诱惑视频木马样本态势 ................................ .......... 16 五、 裸聊勒索 ................................ ............................. 17 六、 黑卡 ................................ ................................ . 18 七、 群控 ................................ ................................ . 20 第五章 安全建议 ................................ ........................... 22 参考资料 ................................ ................................ . 23 附录A 奇安信威胁情报中心移动安全团队 ................................ ...... 24 附录B 奇安信移动产品介绍 ................................ ................. 24 1 第一章 Android 平台恶意样本分析 2020年奇安信威胁情报中心累计截获 Android 平台新增恶意程序样本 230万个，平均 每天截获新增恶意程序样本 6301个。2020年全年共有三个月爆发较大规模的新增恶意程序 样本，分别是位于上半年的 4月（34.6万个） ，下半年的 10月（43.6万个）和 11月（45.2 万个） ，累计共占全年新增恶意程序样本的 53.7%。其中在爆发最高峰的 10月和11月，这 两个月的恶意样本占比高达 70%以上，是最低峰 6月的4倍。2020年Android平台各月新增 木马数量见下图。 2020年移动端恶意样本类型主要为恶意扣费 (占全年移动端恶意样本的 34.9%)，其次 是资费消耗 (占比24.2%)、流氓行为 (占比22.8%)。可以看到，大半的移动恶意程序是直接 冲着用户“钱包”来的， 切实关系 到用户直接的经济损失。 2 第二章 金融类Android 木马攻击分析 国内外的 Android应用安全环境存在很大的不同， 世界各个不同地区的流行 Android木 马，其攻击目的、攻击方式、伪装方式也有很大的不同。研究和追踪全球木马流行趋势，对 于我们做好国内的安全“免疫”工作，具有很重要的参考价值，也是威胁情报分析的核心工 作之一。所以，在分析国内 Andr