2019年Android恶意软件专题报告docx.docx

2019年Android恶意软件专题报告摘 要 2019年全年，360安全大脑共截获移动端新增恶意程序样本约180.9万个，平均每天截获新增手机恶意程序样本约0.5万个。新增恶意程序类型主要为资费消耗，占比46.8%；其次为隐私窃取（41.9%）、远程控制（5.0%）、流氓行为（4.6%）、恶意扣费（1.5%）、欺诈软件（0.1%）。 2019年全年，360安全大脑累计为全国手机用户拦截恶意程序攻击约9.5亿次，平均每天拦截手机恶意程序攻击约259.2万次。 从省级分布来看，2019年全年遭受手机恶意程序攻击最多的地区为广东省，占全国拦截量的9.8%；其次为山东（7.7%）、江苏（7.3%）、河南（6.9%）、浙江（5.8%）等。 从城市分布来看，2019年全年遭受手机恶意程序攻击最多的城市为北京市，占全国拦截量的2.2%；其次为重庆（2.0%）、上海（1.9%）、广州（1.9%）、成都（1.8%）等。 2019年移动金融行业、移动流量产业和移动社交领域均遭受了移动恶意软件的攻击。对移动金融行业的攻击，主要表现为窃取大量银行账号密码信息，这类事件大多针对国外银行；而在国内，大量冒充以及虚假金融借贷服务，其本身并无真实借贷业务，仅用于骗取用户隐私和钱财；对移动流量产业的攻击，表现为移动广告商使用不同的欺诈技术获得广告主的报酬；对移动社交领域的攻击，则是利用揣摩特殊人群心里需求特点，使用虚假身份在社交过程中推送虚假信息，诱导充值进行诈骗。 2019全年从漏洞数量看，Android系统以414个漏洞位居产品漏洞数量榜首。从系统更新情况看，截至2019年5月，Google发布的Android系统版本分布统计，Android Oreo（Android 8.0/8.1）达到28.3%，占比第二的是Android Nougat（Android 7.0/7.1）总占比已达19.2%。从漏洞在野利用情况看，使用Janus和Strandhogg漏洞的恶意软件较为活跃。 2019年移动端APT方面，360烽火实验室监测到的公开披露的APT报告中，涉及移动相关的APT报告14篇。被提及受到移动APT组织攻击的受害者所属国家主要有中国、朝鲜、韩国、印度、巴基斯坦、以色列、叙利亚、伊朗、埃及等东亚、西亚、中东多个国家。移动端APT组织活动针对的目标和领域来看，涉及政治、经济、情报等多个重要板块。 2019年围绕5G、重点领域的钓鱼攻击、生物信息安全以及企业对数据的使用等方面暴露出多种安全风险及问题，将成为未来几年攻防对抗发展的的主要趋势，需要加强治理和战略部署。关键词：移动安全、恶意软件、移动端APT、金融、流量、社交第一章 总体态势一、 恶意软件新增量与类型分布2019年全年，360安全大脑共截获移动端新增恶意软件样本约180.9万个，环比2018年（434.2万个）下降了58.3%，平均每天截获新增手机恶意软件样本约0.5万个。自2015年起，恶意软件新增样本呈逐年下降趋势。下图给出了2012年-2019年移动端新增恶意软件样本量统计：纵观2019 年全年恶意样本增长情况，在1月与12月出现新增样本量峰值，其余月份新增样本趋势较平稳。观察新增样本类型，主要体现在恶意扣费、资费消耗、隐私窃取。由于春节假期前后，大众的社交娱乐活动增多，棋牌游戏、抢红包已成为大众假期娱乐必选项。不法分子正是利用这一敏感时间段，大肆传播恶意软件，实现不良获利。具体分布如下图所示：2019年全年移动端新增恶意软件类型主要为资费消耗，占比46.8%；其次为隐私窃取（41.9%）、远程控制（5.0%）、流氓行为（4.6%）、恶意扣费（1.5%）、欺诈软件（0.1%）。二、 恶意软件拦截量分析2019年全年，360安全大脑累计为全国手机用户拦截恶意软件攻击约9.5亿次，平均每天拦截手机恶意软件攻击约259.2万次。通过统计2019年Q4季度样本数量TOP500的恶意软件发现，赌博棋牌与色情视频类软件呈现增长态势，致使拦截量直线上升。下图给出了2019年移动端各季度恶意软件拦截量统计：三、 恶意软件拦截量地域分析2019年全年，从省级分布来看，遭受手机恶意软件攻击最多的地区为广东省，占全国拦截量的9.8%；其次为山东（7.7%）、江苏（7.3%）、河南（6.9%）、浙江（5.8%），此外河北、四川、安徽、湖南、云南的恶意软件拦截量也排在前列。从城市分布来看，遭受手机恶意软件攻击最多的城市为北京市，占全国拦截量的2.2%；其次为重庆（2.0%）、上海（1.9%）、广州（1.9%）、成都（1.8%），此外深圳、郑州、苏州、东莞、西安的恶意软件拦截量也排在前列。第二章 多个领域遭受移动恶意软件攻击现状据中国互联网信息中心发布的第44次中国互联网发展状况统计报告报告统计，截止2019年6月，我国移动互联网网民数量突破8.47亿，占我国网民总数量的99.2%1。金融服务、生活服务以及社交娱乐等全面面向移动互联网迁移。一方面这些行业领域给我们带来了生活的便利，物质和精神需求的满足；另一方面这些行业也遭受到移动恶意软件的攻击，不仅侵害了移动用户的合法利益，同时破坏了正常的行业领域发展。2019年移动金融行业、移动流量产业和移动社交领域均遭受了移动恶意软件的攻击。对移动金融行业的攻击，主要表现为窃取大量银行账号密码信息，这类事件大多针对国外银行；而在国内，大量冒充以及虚假金融借贷服务，其本身并无真实借贷业务，仅用于骗取用户隐私和钱财；对移动流量产业的攻击，表现为移动广告商使用不同的欺诈技术获得广告主的报酬；对移动社交领域的攻击，则是利用揣摩特殊人群心里需求特点，使用虚假身份在社交过程中推送虚假信息，诱导充值进行诈骗。一、 针对移动金融行业攻击(一) 全球金融机构遭受移动钓鱼攻击有数据显示2019年第三季度，43.19%的网络钓鱼攻击针对在线金融机构，包括银行、在线商城及电子支付系统2。从移动端平台看，2019年360安全大脑拦截针对金融机构的钓鱼类银行恶意软件近300万次，月均拦截25万次。从全年拦截次数看，其中6月至8月拦截量最低月均约4万次，10月和11月拦截量最高月均81万次，呈现年中低，年末高的活跃趋势。究其原因，我们认为是与年末银行等金融机构为了达成年度商业目标，揽储等活动更加频繁有关，从而针对移动金融机构攻击也出现强势增长。在2019年，遭受移动钓鱼攻击的金融机构所在国家主要有美国，加拿大，奥地利，德国，法国，波兰，土耳其，英国，澳大利亚，捷克，丹麦，立陶宛，印度，意大利，爱尔兰，日本，西班牙，罗马尼亚，瑞典，新西兰，巴西，比利时，俄罗斯等等，集中在西亚、欧洲、北美和澳洲。(二) 国外金融账户信息遭受持续攻击由于国内外金融行业发展以及支付习惯的差异，恶意软件作者通常会精心伪造国外银行页面，有针对性的对全球指定的金融机构进行网络钓鱼，以获取银行客户的账户信息，最终从银行账户中窃取金钱。根据360安全大脑所监测到的信息，对攻击国外金融机构的钓鱼类银行恶意软件家族进行了梳理，由于这类家族数量众多且各个厂商的命名不同，在此我们仅列举出一些有影响力的恶意家族来说明各个家族之间的演变关系及特点。Marcher于2013年底首次出现。该恶意家族最初窃取俄罗斯用户的Google Play凭据和支付卡数据。2014年3月，采用相同策略的新版本已发展成为银行类恶意家族，并且以德国的金融机构为主要目标，并且此后攻击者将攻击的金融机构清单不断扩大。截至2016年5月，Marcher已经针对包括英国，德国，奥地利，波兰，法国，澳大利亚和土耳其银行。基于Marcher源代码派生出新的恶意软件变种Exobot和Gustuff。Exobot最早出现在2016年6月，其最初是基于Marcher恶意家族源代码，是Marcher恶意家族的一种变种，同样具有窃取银行凭据的恶意行为。2017年5月ExoBot2.0版的发布并且通过官网销售。2018年1月Exobot作者在网络犯罪地下论坛称其退出并出售Exobot源代码，2018年5月，ExoBot的源代码泄漏。下图为Exobot在网络犯罪地下论坛出售的页面：BankBot最早出现在2016年12月俄语的网络犯罪地下论坛，在2017年1月被安全厂商捕获并命名为BankBot，此后BankBot成为了共享源代码派生的银行类恶意家族通用名称。基于BankBot源代码派生的新的恶意家族有Anubis、LokiBot、Razdel、MysteryBot和CometBot等。其中以Anubis最为流行，Anubis源于2016年12月俄语的网络犯罪地下论坛名为maza-in的用户ID制作的银行恶意软件源代码改进而来。主要目标是从受害者的设备中窃取银行凭据。它通常冒充Flash Player更新软件，Android系统工具或其他合法应用软件。Anubis通常由下载器和有效载荷两部分组成，目前很多恶意家族仍然在使用Anubis的下载器进行自我保护和伪装。maza-in于2018年12月宣布发布Anubis 2.5版本，但是有人质疑新版本只是重新设计了后端Web界面，并没有重写整个代码。2019年1月Anubis源代码在一个地下论坛中泄露。2019年3月已经停止支持和更新。截止2019年3月Anubis针对来自100多个不同国家/地区的约370个金融机构的应用软件，主要活跃在欧洲，西亚，北美和澳大利亚。下图为maza-in在俄语的网络犯罪地下论坛中的发布的帖子：以上这些攻击金融机构的恶意软件家族都具备一些显著的特点，首先都是从网络犯罪地下论坛以租售的形式开始传播，增加了自身的隐蔽性。其次，在这些恶意软件源码遭到泄露后，在接下来的时间里立马会出现新的恶意软件家族，新的恶意软件作者起初会根据泄漏的代码构建自己的恶意软件版本或者变种。最后，会基于泄露的代码进行功能上的改进，比如引入了勒索功能、代理功能及键盘记录等。另外，在2019年最新发现的银行类恶意家族如Cerberus和Ginp，也都符合这一特点，它们目前仍然处在积极开发中。(三) 国内仿冒金融借贷诈骗屡见不鲜我们调查发现，针对移动金融行业的攻击，国内与国外有明显的不同，国外主要遭受恶意软件的钓鱼攻击，而国内则是通过仿冒金融借贷类应用软件，以短信、网页广告和社交网络等形式广撒网，通过放款前收取工本费、解冻费、保证金、担保金等名目诈骗用户钱财，不仅给借贷人带来财产损失，还损害了正规金融机构的借贷服务的口碑。2019年，360安全大脑共发现金融借贷类应用软件约19.4万个。全年新增借贷类应用软件相比2017年（约0.5万个）增长了约37.8倍。相比2018年（约1.4万个）增长了约12.9倍，呈现爆发式增长。从每月新增借贷类应用软件数据看，第一季度最低约0.5万个，第三季度最高约11.3万个，第一季度到第三季度呈现增长趋势，然而第四季度出现大幅下降仅约2.6万个。究其原因，我们注意到2019年10月，央行下发个人金融信息（数据）保护试行办法（初稿）征求意见（以下简称办法），重点涉及完善征信机制体制建设，将对金融机构与第三方之间征信业务活动等进一步作出明确规定，加大对违规采集、使用个人征信信息的惩处力度。这一办法对一些违法违规的借贷类应用软件得到有效治理，从而影响到第四季度的新增借贷类应用软件数量。随着金融借贷类应用软件快速增长，出现了大量仿冒金融借贷类的应用软件，这些仿冒的软件并无真实借贷业务，不仅骗取借贷人钱财，而且部分仿冒金融借贷类要求借贷人提交姓名、身份证照片、个人资产证明、银行账户、家庭住址等骗取用户隐私信息。2019年猎网平台发布的网络诈骗趋势研究报告显示，金融诈骗是举报量最高的诈骗，高达3314例。其次为游戏诈骗举报量1927例，兼职诈骗1823例。从人均损失上看，人均损失最高的诈骗为博彩诈骗，人均损失高达73953元。其次为交友诈骗人均损失53351元；金融诈骗人均损失53265元，是人均损失第三高的诈骗类型。在对金融借贷软件诈骗骗术和接触渠道的研究方面，根据360金融反诈实验室联合360手机卫士发布的报告显示，放款前收费是金融诈骗团伙常用的骗术，金融诈骗常用的收费名目如下数据显示，借贷人接触仿冒金融借贷类应用软件渠道占比，电话（52.1%），短信（24.6%），微信（7.0%），搜索（5.6%），QQ（5.6%），网址（1.4%），其他（3.5%）,有超过一半的受害者通过电话渠道接触仿冒的金融借贷类应用软件。通过对大量用户举报的金融借贷诈骗案例中发现，第三方分发平台是这些仿冒金融借贷类的应用软件的主要传播源，主要原因是这些第三方分发平台对于分发软件审核不严，造成了这些仿冒的应用软件大肆泛滥，下图所示是第三方分发平台分发的仿冒的金融借贷类应用软件：除了第三方分发平台，2019年我们研究发现仿冒金融借贷类应用软件的一个新分发渠道，其依靠服务器指令替换软件内容，应用市场中的软件介绍与实际运行内容不符，从而绕过应用市场审核， 应用市场成为仿冒金融借贷类应用软件的传播新渠道3。值得注意的是，在金融借贷诈骗的大量举报案例中，一些诈骗分子通过假冒知名金融借贷类应用软件的形式实施诈骗，更容易骗取用户信任实施诈骗，大大提高了诈骗成功的可能，损害了正规金融借贷服务行业的形象。二、 针对移动流量产业攻击(一) 流量是企业商业模式的基因流量是互联网尤其是移动互联网商业模式的重中之重，流量的获取和分发是移动互联网最基本的入口，所有的业务和应用都架构在流量经济之上。企业变现的核心在于流量转化，基于流量转化的商业模式可以决定一个企业的成败。然而，流量转化离不开广告营销公司，它们能够通过广告投放帮助企业建立品牌形象，从而建立自己的产品或服务矩阵。一般而言，广告投放过程包含这样几个环节：第一步，广告主选择投放哪种广告，常见的形式包括 SEM、DSP、信息流、开屏广告等；第二步，确认广告的付费形式，常见的广告付费形式有CPM、CPC、CPA、CPS为主要的结算方式，分别按照展示量、点击量、 转化量、销售额结算；第三步，跟踪广告的投放数据，常见的投放数据有展现量、点击量、点击率、消费、下载量、成功注册量等。一方面由于广告服务商在广告投放过程中存在各级代理，各种渠道流量获取的透明度不高；另一方面广告主一般会制定点击率、点击成本、互动率、转化成本等各种各样得指标，多方面因素催生了流量作弊黑灰产业。(二) 流量的评判性催生虚假流量企业在追求商业利益的背景下，不断强调“流量变现”“流量即王道”，流量的重要性在移动互联网中得到了进一步的放大。比如购物网站中对商品的评价，文章的阅读量，视频的播放量都是依靠流量来判定产品、文章、视频的质量，流量的评判性成为消费者决策的重要依据。数据显示，2019年第三季度，全球超过四分之一（26%）的 Android系统应用软件内广告包含欺诈性质的虚假流量内容，其中在中国注册的应用软件内程序化广告的虚假流量率最高为334。流量的评判性催生虚假流量，不论是在电商、支付平台、还是O2O、自媒体、广告等行业，都有着它的身影。不同行业的流量作弊形式不同，移动端常见刷量方式已经被我们多次曝光，比如感染恶意软件实现刷量、脚本代替人模拟点击、篡改API执行结果以及破解SDK代码等等。(三) 移动广告流量欺诈手段剖析2019年3月，Google发布的2018年Android安全报告显示，点击欺诈应用软件占PHA总安装率的54.95，如下图所示：2019年我们发现移动广告欺诈手段更加激进和复杂，采取多种手段规避检测，例如代码被大量混淆，使用自定义加密算法，伪装成流行的浏览器图标诱导点击，注册为前台服务保持活动状态，延长触发时间，检测Google沙箱IP，在打开最近的屏幕设置标题和图标不可见，以及仿冒知名应用进行嫁祸等多种手段。常见的移动广告欺诈主要有模拟点击、点击劫持、移动设备劫持、移动设备仿真和IP地址仿真等多种形式。模拟点击是使用受恶意软件感染的设备进行虚假访问和广告点击。欺诈者使用各种技巧来绕过广告商的监测技术。经过特殊设计的恶意软件可以使用延迟触发和模拟人点击来更好地模拟真实的人类点击广告。通常，广告商是点击欺诈的主要受害者，但一些犯罪分子也会采用该技术来针对使用设备用户，这可能包括订阅付费服务。2019年10月，Ai.type键盘应用软件中发现可疑移动交易记录，在用户未知的情况下私自模拟点击行为，进行广告刷量和订阅付费服务操作6。该软件嵌入看似正常的SDK，但是包含了应用开发者可能不知道的行为和功能。该SDK功能将设备连接到广告分发平台，使用JavaScript下载广告并在未经用户同意的情况下执行自动点击操作。点击劫持是用户点击有意义或看上去真实的按钮、链接的地方，但实际上，他们单击的是隐藏在网页上不可见元素中的链接。欺诈者必须在浏览器和移动操作系统开发方面保持技术领先，才能不断寻找隐藏元素而不被阻止或泄露的新方法。他们还使用精心设计的文字和图像来诱使用户单击页面的特定部分。欺诈者还利用点击可能会将其重定向到令人迷惑的网页载满广告的网站并向广告商索取收入，或是吸引或诱使他们进行付费服务订阅，或者他们可能只是使用不可见的链接来触发恶意软件下载。移动设备劫持是欺诈者将恶意软件植入手机。这可以包括伪装或加密应用软件中的代码，以使它们在进入正式的Google Play商店之前可以逃避安全检查。让看起来无辜的应用软件秘密下载并安装其他造成实际损害的应用软件。该恶意软件反复加载广告，从而使欺诈者从广告商那里获取分成。移动设备仿真主要分为机器作弊和人工作弊，机器作弊主要使用群控系统，通常通过改机工具冒充特定的手机或平板电脑型号，从而使流量显示来自移动设备。机器作弊成本较低，离不开代码程序，但这类型流量容易被监测到；人工作弊即通过雇佣、激励的方式雇佣大批人员去生成的流量，这类作弊带来的虚假流量较难屏蔽，但成本相对较高。IP地址仿真主要涉及使用各种技术来更改报告的IP地址发出请求，例如点击次数和广告展示次数。这可以用来使假定的人类用户看起来在一个利润更高的市场中，但是通常这样做是为了避免从同一IP地址报告过多的虚假点击并引起怀疑。三、 针对移动社交领域攻击中国移动社交市场格局虽然稳定，却不乏竞争。当下社交呈现较强的刚需特征，市场空间巨大，与此同时新技术、新形式、新需求等多重因素的叠加让后来者看到希望，因此互联网势力纷纷推出新型社交产品试图瓜分变革红利。2019年初，以多闪、马桶MT、聊天宝为代表的新型社交产品率先吹响移动社交市场冲锋号，但效果平平，后续又有多款新型产品相继上线，持续搅动移动社交市场战争。在中国移动互联网加速渗透的过程中，移动社交用户也出现了大规模增长。有数据显示，2019年中国移动社交用户规模为7.77亿，预计2020年有望突破8亿人7。其中，中国陌生人社交用户预计增至6.22亿人8。(一) 借社交名义频繁触碰监管底线2019年第一季度，多款陌生人社交应用软件先后被分发渠道以及监管部门封杀和勒令关停，涉事原因多为应用软件内出现涉黄内容，行业风气整顿刻不容缓。2019年2月，音遇、Hello语音、微光等语音社交类应用软件遭到了苹果应用商店的下架9。2019年4月，音遇由于涉黄和大面积出现不发分子的广告，而遭到全网的下架10。2019年4月，国家网信办启动小众即时通信工具专项整治，比邻、聊聊、密语、等9款陌生人社交应用软件因为涉嫌淫秽色情而被国家网信办关停11。2019年4月16日，探探出现在国家网信办启动的小众即时通信工具专项整治榜单中。4月28日，业内人士普遍认为探探由于涉嫌传播淫秽色情等违法违规信息，在安卓应用市场遭遇下架；5月1日，探探亦被苹果应用商店下架12。(二) 同城交友陪聊美女多为虚假用户从数据看似移动社交领域一片繁荣商机潜力无限，实则不然，大量的同城交友类应用软件中充斥着的桃色陷阱和内幕，很多陪聊的美女都是虚假用户。这类交友应用，通常起的名字大多很直白，比如：夜约、成人约爱、同城陌陌约、缘分、激情约爱、同城单身约、闪约等。让人看到名称怦然心动，立马下载安装。安装过后，不需要注册选一下性别位置就可以了。进入后，不一会就可以得到一大堆的美女等你来搭讪，真是让人激动万分。我们以一款名为“约聊”的应用软件为例，注册之后会在短时间收到很多陌生美女头像向你打招呼的消息，当回复第一条聊天信息之后，第二条聊天信息需要充值付费，价格显示69元一个月，138元六个月以及139元终身，并且下方还提示其他用户充值消费的信息，但购买之后，原先热情发来招呼的美女们全部噤声，与之前的热情主动判若两人，不管发出多少消息都得不到回复。另外，我们还尝试在不同地点进行注册登录，发现这些陌生陪聊美女的话术一模一样，由此可见这个软件所谓的同城交友，实际上都是骗局，陪聊美女都是程序控制的虚假用户，她们的头像，相册均来自网络。这些聊天机器人自动发送文字、语音信息搭讪新注册及在线用户，然后引诱用户充值陷入骗局。这类应用的开发成本很低，甚至可以直接购买然后换个应用名，换个启动时的开屏图片，进而开始大肆骗钱。目前5G、人工智能、VR等技术的发展与变迁让声音、图片、视频等新型社交方式加快落地。社交需求呈现出新变化，在行业变革的重要窗口期，这类软件真假难辨，取证也是困难重重，给移动社交领域的良性发展带来不利影响。第三章 第五维空间面临的高级威胁和挑战随着信息和网络技术的飞速发展，互联网已渗透到人类生活的方方面面，并对国家安全、军事斗争以及战争形态产生了重大而深远的影响，网络空间已成为与陆、海、空、天并列的第五维空间领域。第五维空间作为网络空间，是连接其他四维空间的纽带，第五维空间的优劣势将决定在其它物理维空间的优劣势，将成为多维作战空间争夺的关键领域，第五维空间的力量也将成为主导全维作战行动的重要力量。一、 第五维空间安全将成为各国政治、经济、军事安全的重大挑战军事战近忧，网络战远忧。作为不分军民的网络战争，攻击发起者早已从业余团队演进成具有国家背景的黑客组织和网络部队。在全域交织渗透的同时，数以百亿计的物联网设备、新技术、芯片、云端都会成为攻击的切入点，漏洞无处不在。近年来漏洞问题带来的第五维空间安全问题与国家政治、经济、军事等紧密相关, 国内与国外对于漏洞的管控政策相继出台。在网络安全漏洞的披露方面13，美国制定了各种法律并结合政策手段加以规范。2001年出台的爱国者法案、2002年关键基础设施信息法及2013年发布的提高关键基础设施的网络安全鼓励个人和组织向政府披露漏洞信息，以减少网络入侵事件，提高网络安全的信息共享并为用户营造可信赖的网络环境。美国国防部2004年1月发布的漏洞披露政策，允许自由安全研究人员通过合法途径披露国防部公众系统存在的任何漏洞。2017年7月，美国司法部犯罪科网络安全部门发布在线系统漏洞披露计划框架，帮助组织机构制定正规的漏洞披露计划。美国已从政策、立法和程序上，构建了国家层面统一的网络安全漏洞披露协调和决策机制。2019年11月，为有效落实我国网络安全法，确保信息发布有利于防范网络安全威胁和风险，推动政企机构和公众了解威胁和风险并进行处置响应，同时又要避免不当发布引发消极后果。国家网信办发布网络安全威胁信息发布管理办法（征求意见稿）（以下简称办法）14。办法对发布涉及计算机病毒、网络攻击、网络侵入、网络安全事件等可能威胁网络正常运行活动的相关安全威胁信息，以及包括系统漏洞、网络风险等在内的可能暴露网络脆弱性的安全威胁信息，从发布内容、发布流程、发布方法等方面，对研究机构、网络安全厂商、个人研究者，以及信息发布平台运营单位做出了较为具体的规范。随着网络争端的络续，网络战已成为国与国对抗的核心战场。人类已经迈向网络战时代，网络战争时刻都在发生。没有网络安全，就没有国家安全。(一) 严峻的系统环境Android系统开源就意味着在安全问题上显得更加透明，运用工具审查安全漏洞变得更容易。根据汇总CVE数据的网站出具的2019年度CVE Details报告显示15，Android系统以414个漏洞位居产品漏洞数量榜首，虽然与2018年611个相比下降32.2%有所减小，但是仍然处在漏洞榜前列。(二) 系统更新情况从Android系统更新情况看，Google每次发布Android新版本，对系统安全性都有所增强，但是由于Android系统碎片化严重，系统版本更新速度慢，系统安全环境整体提升受到影响。截至2019年5月，Google发布的Android系统版本分布统计16，Android Oreo（Android 8.0/8.1）达到28.3%，占比第二的是Android Nougat（Android 7.0/7.1）总占比已达19.2%，自2019年5月起谷歌就未再更新过这份数据，所以最新版本Android 10占比还仍然未知。综合上述对Android系统环境的介绍，我们可以看出仍然存在大量未升级至新版本系统正在被使用，这些与安全更新脱节的现象直接导致用户手机暴露于各种漏洞的威胁之下，可造成用户的隐私、财产安全。(三) 漏洞利用情况2019年开始不断曝出Android漏洞在现实环境中被恶意软件利用，其中比较有代表性Janus漏洞（CVE-2017-13156）17和Strandhogg漏洞18。Janus漏洞（CVE-2017-13156），可以让攻击者向任何APK中插入代码，绕过Android系统的签名校验机制，直接安装到Android系统中，如果作为其他应用软件的更新包安装，可以继承该应用软件的所有权限，对应用软件进行完全控制。如果被控制的应用软件是一个具有很高权限的应用软件，比如系统应用，甚至可以完全接管系统。该漏洞影响使用JAR签名方案（v1方案）签名的应用软件，不影响APK签名方案v2签名的应用软件。2019年7月，国外安全公司发现Agent Smith恶意软件家族19，Agent Smith伪装成与Google相关的应用软件，恶意软件的核心部分利用各种已知的Android漏洞，并自动将设备上已安装的应用软件替换为恶意版本，而无需用户干预，感染了大约2500万个设备。Agent Smith在核心模块中使用一系列Bundle漏洞，用于在受害者不知情的情况下安装应用软件。使用Janus漏洞（CVE-2017-13156），使攻击者可以用受感染的版本替换任何正常的应用软件。使用SHAREit和Xender的Man-in-the-Disk漏洞来安装恶意更新。Strandhogg最早在2015年USENIX安全研讨会上发布了此漏洞。是一个存在于Android多任务系统中的应用漏洞。该漏洞利用则是基于一个名为“taskAffinity”的Android控件设置，允许包括恶意应用在内的任意程序，随意采用多任务处理系统中的任何身份。该漏洞影响所有Android版本，包括最新的版本Android 10。2019年12月，我们发现数十个利用此漏洞的Bankbot恶意家族变种，其针对近20个国外银行。二、 第五维空间将成为多维作战空间争夺的关键领域2019年7月，国务院新闻办公室发布的新时代的中国国防20指出，网络空间是国家安全和经济社会发展的关键领域。网络安全是全球性挑战，也是中国面临的严峻安全威胁。中国军队加快网络空间力量建设，大力发展网络安全防御手段，建设与中国国际地位相称、与网络强国相适应的网络空间防护力量，筑牢国家网络边防，及时发现和抵御网络入侵，保障信息网络安全，坚决捍卫国家网络主权、信息安全和社会稳定。(一) 移动端APT全球研究2019年，360烽火实验室监测到的公开披露的APT组织活动报告中，涉及移动端相关的APT组织活动报告14篇。被提及受到移动APT组织攻击的受害者所属国家主要有中国、朝鲜、韩国、印度、巴基斯坦、以色列、叙利亚、伊朗、埃及等东亚、西亚、中东多个国家。APT组织活动归根到底其实是利益冲突，从公开披露的移动端APT组织活动针对的目标和领域来看，涉及政治、经济、情报等多个重要板块。(二) 政治目标的刺探2019年，移动端以对政治目标刺探为目的APT攻击活动，从地理位置上看主要围绕在亚太和中东地区，涉及朝鲜半岛、克什米尔地区、巴以冲突地区、海湾地区。APT行动与国家及地区间的政治摩擦密切相关，围绕地缘政治的影响日益显著。2019年围绕朝鲜半岛，国外安全厂商认为来自朝鲜的多个活跃APT组织对包括韩国在内的多个亚洲国家进行攻击，攻击目标和领域包括政府、军事、外交、人权、外贸等。披露时间组织行动披露来源概述2019.2.4Lazarus Group（APT-C-26）McAfee安全厂商发现伪装成由韩国开发人员开发的交通应用，它能够下载恶意插件、接收控制指令进行远控、伪装Google进行钓鱼、搜索用户手机与军事政治有关的文件等21。2019.6.26黑格莎（Higaisa）腾讯安全厂商发现来自朝鲜半岛的一个具有政府背景的黑格莎（Higaisa）APT攻击组织，常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动。该攻击组织具有移动端的攻击能力，伪装成韩国检察厅。被攻击的对象还包括跟朝鲜相关的外交实体（如驻各地大使馆官员）、政府官员、人权组织、朝鲜海外居民、贸易往来人员等。目前监测到的受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。222019.8.5ScarCruft（APT-C-28）ESTsecurity安全厂商发现ScarCruft在PC端使用隐写术并且配合移动端进行双平台攻击活动,与Blackbird行动使用的代码相似。232019年围绕克什米尔地区，国外安全厂商认为来自印度的APT组织对中国、巴基斯坦等国家进行攻击，攻击目标和领域包括政府、军工、外交、企业等。披露时间组织行动披露来源概述2019.12.19蔓灵花（APT-C-08）360烽火实验室2016年6月开始，蔓灵花组织开始使用定制木马针对中国和巴基斯坦展开了长期有组织、有计划的攻击活动。根据已有数据，发现该组织在攻击活动中常用的载荷投递方式包括水坑、钓鱼、短信、社交工具，受害者包括中国军工行业人员、中国党政干部、企业客服人员以及其他中国群众，也包括巴基斯坦和印度克什米尔区域群体24。2019年围绕巴以冲突地区，国外安全厂商认为来自中东的APT组织尤为活跃。据披露的信息显示，Operation ViceLeaker是2018年5月发现的攻击活动，与当时以色列安全机构宣布哈马斯在以色列士兵的智能手机上安装间谍软件事件可能存在关联。披露时间组织行动披露来源概述2019.3.20双尾蝎（APT-C-23）Check Point安全厂商发现双尾蝎（APT-C-23）最新移动端活动，伪装成Adobe软件并显示带有政治主题的欺骗性PDF文档25。2019.6.26Operation ViceLeakerKaspersky安全厂商发现针对以色列的攻击活动，首次开发始于2016年底，但其主要活动开始于2017年底到2018年初。同时介绍了，攻击者使用两种方法将恶意代码植入到正常应用中26。2019年海湾地区局势动荡，国外安全厂商认为来自伊朗的APT组织利用短信传播恶意软件下载链接，受攻击国家可能包括土耳其、巴基斯坦、阿富汗。披露时间组织行动披露来源概述2019.6.10MuddyWaterTrend Micro安全厂商发现MuddyWater在移动端的活动，通过向所有联系人发送包含指向该联系人的链接的SMS来传播恶意应用恶意APK。链接指向土耳其的非营利研究机构的合法网站，该网站可能是遭到入侵27。与此同时，美国与伊朗之间的政治紧张持续加剧。据纽约时报报道，美国在2019年6月份，使用网络武器，摧毁了伊朗准军事部门使用的一个关键数据库，该数据库具备定位油轮及策划袭击的能力。受到该网络攻击的影响，暂时降低了伊朗秘密针对波斯湾航运的控制能力。2019年7月18日，据美联社媒体报道声称，美国纽约疑似遭到网络攻击，三十多个电力控制中心被入侵，最终导致纽约大城市停电4个小时，随后美国中情局（CIA）公布调查结果，这场网络攻击疑似来自伊朗革命卫队信息战部队。2020年1月3日，美国对伊朗发动“斩首行动”，美军空袭巴格达机场，伊朗“二号人物”圣城旅指挥官卡西姆苏莱曼尼(Qasem Soleimani)遇袭身亡。“斩首行动”背后与美国国家安全局NSA长期的网络监控、情报获取能力有着必然的联系。正当就在多名美国官员和安全专家，警告要注意来自伊朗方面发动的网络攻击之时，1月4号美国政府网站和塞拉利昂商业银行网站遭到破坏。(三) 经济利益的驱使2019年移动端高级威胁以经济利益为目的，国外安全厂商认识来自东亚的APT组织Konni，冒充虚拟加密货币交易所向攻击目标发送鱼叉式钓鱼邮件，用于窃取被攻击目标的虚拟货币账户信息。国外安全厂商认识来自东亚的APT组织海莲花（APT-C-00），一直针对中国的敏感目标进行攻击活动，是近几年来针对中国大陆进行攻击活动的最活跃的APT攻击组织之一。2019年该组织在移动端的活动首次曝光，使用了著名的网络军火商HackingTeam提供的商业间谍软件。披露时间组织行动披露来源概述2019.8.24KonniESTsecurity安全厂商发现Konni通过鱼叉式网络钓鱼邮件冒充加密货币交易通知，以保护加密货币交换账户的名义诱导下载移动端恶意软件，并称其与APT组织Kimsuky存在关联28。2019.5.24海莲花（APT-C-00）安天安全厂商发现海莲花在移动端的活动，使用的攻击样本签名中包含HackingTeam字样，可能是由HackingTeam提供的商业间谍软件29。同时，据外媒报道，海莲花（APT-C-00）组织可能在2019年春季渗透到德国汽车巨头宝马公司的网络系统中，其活跃的目的可能是收集更多信息，例如各地汽车销量的报告。另外，在2019年2月该组织还对对包括丰田东京销售控股有限公司、东京丰田汽车公司、丰田东京卡罗拉等多家丰田在东京的公司展开攻击，最终导致约310万丰田客户的个人信息被泄露。该组织相继攻击德、日、韩多国汽车巨头企业的行为，被外媒认为是替自己国家汽车制造企业发展开辟道路。(四) 特殊人群的监控2019年移动端APT攻击事件中，还体现出了部分国家内部局势动荡，主要体现在中东地区，针对国家内部持不同政见异见人群、反对派力量，以及一些极端主义活动的倡导者的网络监控。监控内容包括，这些特殊人群的活动范围，预谋的破坏行动，以及控制舆论导向。披露时间组织行动披露来源概述2019.03.11拍拍熊（APT-C-37）360烽火实验室拍拍熊（APT-C-37）是西亚地区某国电子军背景的APT组织，其同时拥有针对Windows和Android的攻击平台，并且在过去主要针对极端组织“伊斯兰国”实施攻击活动30。2019.05.23军刀狮（APT-C-38）360烽火实验室军刀狮（APT-C-38）针对中东地区展开攻击活动，其主要通过Telegram和水坑攻击分发恶意软件，该组织以库尔德人为攻击目标。其攻击平