在2016年,手机恶意安装软件包数量大幅增长,达到8,526,221个——是上一年的三倍。作为比较,从2004年到2013年,我们检测到超过一千万个恶意安装软件包;而在2014年,这个数字是近250万个。
从1月初到2016年12月底,卡巴斯基实验室记录了近4000万次的手机恶意软件攻击,并保护了4,018,234个用户的Android设备(2015年为260万)。
2016年卡巴斯基实验室解决方案阻止攻击的数量
2016年卡巴斯基实验室解决方案保护的用户数量
移动威胁的地理位置分布
已记录的恶意手机软件攻击多达230多个国家和地区。
2016年移动设备威胁受攻击的用户数量的地理分布情况
TOP 10个国家受移动恶意软件攻击的用户百分比
*我们排除了在报告调查期内卡巴斯基实验室移动安全产品用户数量少于25,000的国家。
**受攻击的用户百分比是其占卡巴斯基实验室移动安全产品在该国的用户总数的百分比。
中国在2015年的排名居首位,在2016年上半年继续领先,但在今年下降到第四位,被在2016年一整年获得类似评级的孟加拉国所取代。在孟加拉国超过一半以上的卡巴斯基实验室移动安全产品的用户遭到了手机恶意软件的攻击。
在2016年,孟加拉国用户受到攻击最多的手机恶意软件是属于Ztorg和Iop家族为代表的广告木马,以及Sprovider家族的广告程序。这种恶意软件,以及AdWare.AndroidOS.Ewind和AdWare.AndroidOS.Sprovider木马系列的代表最常见于上述Top10国家的用户设备上,除了中国和乌兹别克斯坦。
在中国,很大一部分攻击来自于Backdoor.AndroidOS.Fakengry.h和Backdoor.AndroidOS.GinMaster.a木马系列以及RiskTool.AndroidOS为代表的木马。
乌兹别克斯坦用户受到的大多数攻击是Iop和Ztorg家族的Trojan-SMS.AndroidOS.Podec.a和Trojan-FakeAV.AndroidOS.Mazig.b为代表的广告木马,以及Sprovider家族的广告程序也在该国很流行。
手机恶意软件的类型
我们计算了今年所检测到的手机恶意软件的安装包数量的分布情况,这些数据不包含木马变种:
2015年和2016年按类型分布的新型手机恶意软件
在本报告所述期间,检测到的新型RiskTool的安装文件数量显著增长 —— 从2015年的29%增加到2016年的43%。同时,新型AdWare安装文件的占比下降了13%,而这在上一年为21%。
在2016年,检测到的SMS木马安装包的百分比继续下降 —— 从24%下降到11%,这是最显著的下降。尽管如此,我们不能说SMS木马威胁不再严重;在2016年,我们检测到了近70万个该类恶意软件的新型安装包文件。
Trojan-Ransom有着最显著的增长:2016年检测到的所有安装软件包中此类恶意软件的比例增加了近6.5倍,达到4%。这种增长是由两个家族的手机勒索软件——Trojan-Ransom.AndroidOS.Fusob和Trojan-Ransom.AndroidOS.Congur的积极传播造成的。
前20个恶意移动程序
请注意,以下恶意程序的排名不包括潜在的有害程序,如RiskTool或AdWare(广告程序)。
*受到相关恶意软件攻击的用户占受攻击的用户总数的百分比
Top 20中的第一个是DangerousObject.Multi.Generic(占比67.93%),是由云安全技术检测到的恶意程序。当防病毒数据库既不包含签名也不包含用于检测启发式的恶意程序时,云技术检测就起作用了。这基本上是检测新型恶意软件的有效手段。
第二名是Backdoor.AndroidOS.Ztorg.c,该广告木马使用超级用户权限在用户不知情的情况下安装各种应用程序。值得注意的是,2016年的评级中包括16个广告木马(在表中以蓝色突出显示),这比2015年多了4个。
2016年最流行的手机银行木马是Trojan-Banker.AndroidOS.Svpeng.q排在第三位。该木马会通过AdSense广告网络进行广泛的传播。由于Chrome浏览器中的漏洞,用户无需采取任何操作就可以在设备上下载该木马。应该注意的是,在2016年有超过一半以上的手机银行木马的攻击用户是由Svpeng家族为代表的木马感染引发的。它们使用钓鱼窗口窃取信用卡数据,并攻击SMS银行系统。
Fusob木马家族的代表——Trojan-Ransom.AndroidOS.Fusob.pac和Trojan-Ransom.AndroidOS.Fusob.h – 分别排在第12位和第13位。这些木马通过显示自己的窗口阻止设备正常使用并索要赎金。
手机银行木马
在2016年,我们检测到了128,886个手机银行木马安装包,比2015年增加了1.6倍。
2016年卡巴斯基实验室解决方案检测到的手机银行木马安装包数量
在2016年,有164个国家的305,543个用户被手机银行木马攻击,而去年这个数字是137个国家的56,194个用户。
2016年手机银行威胁地理位置分布情况(受攻击的用户数量)
被手机银行木马攻击的用户占所有被攻击的用户数的百分比的国家Top10:
*我们排除了在报告期调查内卡巴斯基实验室移动安全产品用户数量少于25,000的国家。
**手机银行木马攻击的用户数占卡巴斯基实验室在该国的移动安全产品的用户总数的百分比。
俄罗斯 —— 在这10个国家里排名第一 ——有4%的手机用户受到了手机银行木马的攻击。这几乎是排在第二的澳大利亚的两倍之多。不过这个事实也很容易解释,最流行的手机银行木马Svpeng主要在俄罗斯进行传播。Asacub和Faketoken家族的代表也在那里非常流行。
在澳大利亚,Trojan-Banker.AndroidOS.Acecard和Trojan-Banker.AndroidOS.Marcher木马家族的感染比较流行。在韩国(排在第7名)最流行的手机银行木马是Trojan-Banker.AndroidOS.Wroba木马家族。
在前十位的其他国家,传播最积极的手机银行木马家族是Trojan-Banker.AndroidOS.Faketoken和Trojan-Banker.AndroidOS.Svpeng。后者的代表在2016年传播特别广泛,有一半以上的手机用户受到该木马的攻击。正如我们已经提到的,这是由于他们通过AdSense广告网络进行了传播分发,并通过移动浏览器漏洞隐身加载所导致的结果。
Trojan-Banker.AndroidOS.Faketoken木马家族在这个评级中排名第二。它的一些修改过的变种版本能够攻击2000多个金融组织。
第三名是Trojan-Banker.AndroidOS.Asacub木马家族,攻击了16%以上的手机银行的用户。这些木马主要分布在俄罗斯,通常会通过短信垃圾邮件进行传播。
手机勒索软件Trojan-Ransom
在2016年,手机勒索软件的数量显著增加,以及已检测到的安装包数量和受攻击的用户数量均有所增长。在本报告所述期间,我们共检测到261,214个安装包,这几乎是2015年的8.5倍。
卡巴斯基实验室检测到的手机勒索软件Trojan-Ransomware安装包的数量(2016年第一季 -——2016年第四季)
2016年,来自167个国家的153,258个用户受到了Trojan-Ransom程序的攻击; 这是2015年的1.6倍。
有趣的是,2016年前两个季度的大量安装包属于Trojan-Ransom.AndroidOS.Fusob系列的勒索软件,尽管该恶意软件在第三季度的活动量有所下降。第四季度的后续增长是由Trojan-Ransom.AndroidOS.Congur木马家族的活动量增加导致的:它包括相对简单的木马,使用自己的窗口阻止设备正常使用,或更改设备的密码。
2016年手机勒索软件威胁地理位置分布情况(受攻击的用户数)
受到Trojan-Ransom恶意软件攻击的国家Top10 – 占该国所有被攻击用户数的百分比。
*我们排除了在报告调查期内卡巴斯基实验室移动安全产品用户数量少于25,000的国家。
**手机Trojan勒索软件攻击的用户占卡巴斯基实验室在该国的移动安全产品用户总数的百分比。
被手机勒索软件攻击的手机用户百分比的最大值是德国 —— 超过2.5%。在整个排名的几乎所有国家,Trojan-Ransom.AndroidOS.Fusob和Trojan-Ransom.AndroidOS.Svpeng家族的代表特别流行。哈萨克斯坦(排在第5名)是唯一的一个例外 ——最频繁传播的赎金程序是Trojan-Ransom.AndroidOS.Small家族的各种修改版本的变种。
有关这三个手机木马勒索软件系列的更多信息可以在一个专门的研究报告中找到。
结论
在2016年,能够利用超级用户权限的广告木马的数量继续增长。在这一年中,这是头号威胁,我们看不到这种威胁趋势有改变的迹象。网络犯罪分子利用了大多数设备不接收操作系统更新(或者推迟接收操作系统更新)的事实,因此这些用户很容易受到老的,已知的和容易获得的漏洞的攻击。
今年,我们将继续密切关注手机银行木马的发展情况:这类恶意软件的开发者是第一个使用新技术的群体,并且总是在寻找方法来绕过在最新版本的移动操作系统中实现的安全机制。
在2016年,最具争议的问题之一是物联网设备的安全性。各种互联网连接的“智能”设备越来越受欢迎,尽管他们的安全级别相当低。同样在2016年,我们发现了一个“攻击路由器”的木马。我们看到移动手机领域对网络犯罪分析来说有点不够用,他们开始与智能手机以外的世界进行更多的互动。也许在2017年,我们将看到从移动设备发起的针对物联网组件的重大攻击事件。
