基于近期移动互联网安全事件的深度探索

傅强　阿曼太　雷小创　肖媛媛　郑竞可

摘   要：基于恒安嘉新（北京）科技股份公司内部威胁情报数据，文章对2019年10月至2020年4月期间发生的间谍软件安全事件，以及利用“新型冠状肺炎”热点发起的移动安全事件进行整理，以让更多用户更深层次的了解网络空间安全威胁。移动安全事件的发生，不仅会造成用户个人隐私泄露、财产经济损失，还可能威胁企业安全，甚至危害国家关键信息基础设施稳定运行，全民应该提高自身网络安全防护意识、及时补充网络安全防护知识。

关键词：威胁情报数据;移动安全事件;隐私泄露;恶意软件

中图分类号： TP309.5          文献标识码：B

Abstract： Based on the internal threat intelligence data of Hengan Jiaxin （Beijing） Technology Co.， Ltd.， this article collates the spyware security incidents that occurred between October 2019 and April 2020， as well as the mobile security incidents initiated by using the "New Crown pneumonia" hot spot to give more users a deeper understanding of cyberspace security threats. The occurrence of mobile security incidents will not only cause users' personal privacy leakage， property economic losses， but also may threaten the security of enterprises， and even endanger the stable operation of the state's key information infrastructure. The whole people should raise their own awareness of network security protection and timely supplement the knowledge of network security protection.

Key words： threat intelligence data;mobile security incidents;privacy leaks;malicious software

1 引言

随着移动互联网的高速发展、智能手机的快速普及，大家的生活、工作越来越离不开移动智能设备，市场上涌现出丰富的APP（Application，移动互联网应用），据CNNIC第45次《中国互联网络发展状况统计报告》显示，截至2019年12月，我国国内市场上监测到的APP数量为367万款，APP为人民的生活、工作提供诸多便利的同时，也为移动互联网黑色产业链提供了得以滋生的土壤。

恒安嘉新（北京）科技股份公司基于内部威胁情报数据，以及国内网舆情监测技术，第一时间追踪国内外移动互联网安全事件，本文是针对2019年10月至2020年4月期间，国内外发生的间谍软件安全事件、利用疫情热点相关的安全事件，以及相关技术、危害进行阐述，希望用户能对移动安全事件有一定的了解，从而进一步提高自身防范，时刻保持警惕。

2 移动安全事件概述

2.1 间谍软件安全事件

间谍软件是一种能够在用户不知情的情况下，在其手机上安装软件后门、收集用户个人信息的软件。黑客组织借用间谍软件具有窃取情报信息的特性，常常利用其窃取其他国家重要人员的个人隐私数据，让自己掌握更多其他国家的信息，或者受利益驱使，非法售卖窃取敏感数据，从中获取高额利益。

基于恒安嘉新威胁情报数据，2019年9月初，发现安卓遠控木马间谍软件（以下简称AhMyth间谍软件）。2020年4月，发现首款具有APT组织性质的间谍软件（以下简称Donot Team APT），这类间谍软件是针对某国家和特殊人员进行持续性攻击，其主要目的是收集敏感的隐私数据（如短信、联系人、通讯录、通话记录、键盘记录、日历行程等），并远程控制操纵用户设备，达到对特定人员设备持久性监控。

基于恒安嘉新威胁情报数据，间谍软件的历史演变情况，如图1所示。

2.1.1 AhMyth间谍软件

RB Music是一款专为Balouchi音乐爱好者提供流媒体广播的应用程序，AhMyth间谍软件伪装成RB Music，安装运行后会在后台监视用户操作行为，在用户不知情的情况下，收集用户联系人列表、短消息等敏感信息，并收集存储在设备上的文件，同时利用短信群发的方式，恶意传播间谍软件。AhMyth间谍软件流程图如图2所示。

在用户不知情的情况下，AhMyth间谍软件客户端与服务端进行通信，接收服务端的远程控制指令，客户端根据不同的指令，执行相应的操作，如获取联系人信息、短信息、文件信息、发送短信等恶意操作。AhMyth间谍软件远程控制框架如图3所示。

远程控制指令表如表1所示。

AhMyth间谍软件诱导用户通过短信的方式群发给用户好友，短信内容包含AhMyth间谍软件下载链接，实现病毒传播，群发短信效果如图4所示。

2.1.2 Donot Team APT间谍软件

Donot Team APT是一个疑似具有南亚某国政府背景的APT组织，主要是针对巴基斯坦等南亚地区进行网络间谍活动。该间谍软件擅长伪装成系统工具或系统服务在移动端进行传播，在用户未知情的情况下，私自收集用户隐私数据，包括短信、联系人、通讯录、通话记录、键盘记录、日历行程等，除了以上恶意行为外，该类恶意软件运行后还会要求用户开启无障碍服务，利用该项服务遍历WhatsAPP节点获取用户聊天内容，将窃取的所有数据保存在文本文件或本地数据库中，最后上传至远程服务器。伪装的安装图标如图5所示。

Donot Team APT程序首次运行，会请求开启可访问性服务，然后从远程服务端获取指令配置参数，客户端根据配置文件参数的值选择进行不同操作，执行获取用户隐私数据的相关操作，Donot Team APT程序运行流程图如图6所示。

应用首次运行请求开启可访问性服务（该服务允许用户自动进行各种UI交互并模拟用户点击屏幕的项目），主要目的是用于获取WhatsAPP用户聊天内容，请求开启可访问性服务界面如图7所示。

客户端会从远程服务端获取指令配置参数，根据配置文件参数的值选择进行不同操作，远程控制指令功能如图8所示。

远程控制指令表如表2所示。

2.2 疫情相关安全事件

2020年初，随着“新型冠状病毒”疫情在全世界爆发，黑灰产也借用疫情热点投放疫情相关的木马样本。在PC端，巴西某黑产组织利用疫情相关视频携带银行木马，Emotet通过分发附有日本新型冠状病毒患者报道的电子邮件，传播恶意病毒;在移动端，伪装成新型冠状病毒（名为Coronavirus）应用名称诱骗用户安装，安全事件无处不在。

2.2.1 利用新型冠状病毒热点的攻击事件

2020年2月开始，基于恒安嘉新威胁情报数据，新型冠状病毒相关的安全事件明显上升，这类软件主要是应用名称伪装成“Coronavirus”（中文名为冠状病毒），诱导用户安装启动真实恶意程序“Corona1”，通过“Corona1”程序执行各种恶意行为，使用户难以察觉。在用户未知情的情况下，该应用会连接服务端对用户手机端下发远程控制指令，手机端会执行多达70余条不同功能的远控指令。不仅如此，该程序还会从服务端下发新的控制端服务器地址，以达到持续控制用户手机的目的。

该应用程序采用Socket协议通信，通过Socket连接服务端获取远控指令，然后执行相应的远程控制操作，远程控制流程如图9所示。

远程控制指令列表如表3所示。

2.2.2 利用“新型冠状病毒肺炎”的勒索病毒和短信蠕虫病毒

2020年3月，“新型冠状病毒”上升为全球性公共卫生事件，攻击者利用人们的恐惧心理在人们心理防备最脆弱的时候通过分发与“新型冠状病毒”相关的恶意程序，Anubis臭名远昭的银行木马首次利用文件名为Covid-19的应用程序，进行传播“新型冠状病毒”类型的勒索病毒和短信蠕虫病毒。

在疫情期间，大家对自己所在位置附近是否有新型冠状病毒肺炎感染者非常关心，勒索病毒通过“用户通过此应用能够清楚的知道自己所在位置附近的新型冠状病毒肺炎感染者”的方式来诱骗用户安装使用，以达到诱骗用户下载安装，启动后会对用户手机实施锁屏勒索，恶意行为流程如图10所示。

勒索病毒程序分发网站如图11所示。

用户手机被锁屏后，勒索者恐吓用户如果不在24小时内支付250美元的比特币，会将用户手机上的联系人、图片、视频、社交账户等信息曝光于众，勒索页面如图12所示。

短信蠕虫病毒是以“用户可以购买到高质量且价格便宜的防护口罩”为幌子，诱骗用户访问一个在线销售口罩的网站，诱导用户在线支付口罩费用，并记录用户的银行卡号、信用卡号等信息，然后利用短信群发的方式进行恶意传播。购买口罩网站如图13所示。

短信蠕虫病毒会遍历用户的联系人，并群发包含恶意下载地址的诱骗短信，短信内容为“通过使用口罩保障自身安全性，单击此链接可下载该应用并订购自己的口罩-http：//coro***fetymask.tk”，短信内容效果如图14所示。

3 移动安全事件技术和危害

3.1恶意软件技术

3.1.1恶意软件传播方式

（1）利用当下实时舆论热点，制造伪装舆情诱导用户传播;

（2）伪装成安全应用在应用商店正常上架;

（3）通过仿冒的钓鱼网站诱导用户安装使用;

（4）假冒某政府部门、机构、公司、个人发送带有恶意软件文件的邮件，诱导用户安装使用;

（5）用戶设备感染恶意病毒后，恶意程序会在后台获取用户设备联系人信息，通过向用户设备联系人发送带有恶意程序下载链接的短信传播恶意软件。恶意软件传播方式如图15所示。

3.1.2 恶意软件免杀

随着Android系统、安全软件防护技术能力的提高，恶意软件想逃避安全软件的检测，防止自身进程被安全软件终止，保证其恶意服务能够正常运行，需要做免杀处理。恶意软件免杀的方式如图16所示。

（1）安全软件免杀

一般情况下，用户安装的杀毒软件系统权限比较高，因此，恶意软件常用的方式是运行后检测用户手机中是否安装杀毒软件，如果已安装，将不触发其恶意服务运行，已达到免杀的效果。安全软件检测方式如图17所示。

（2）诱骗用户加入电池优化白名单

从Android 6.0开始，系统为了省电增加了休眠模式，系统待机后，会关闭后台正在运行的进程，但系统会有一个后台运行的白名单，白名单中的应用将不会受到影响。恶意软件会诱导用户加入电池优化白名单，如图18所示。

（3）利用广播定时唤醒

系统广播唤醒服务，主要是系统定时广播每分钟触发一次的特性，恶意软件每分钟检查一次恶意服务的运行状态，如果已经被结束了，就利用系统广播唤醒服务方式重新启动恶意服务。

（4）提高服务器优先级

恶意软件通过提高服务的优先级，设置服务为前台服务。首先会启动两个ID相同的前台服务，然后启动的服务取消前台显示，保留下来的另一个前台服务将不会在状态栏显示，这样就不会被用户察觉。

3.1.3 恶意软件获取敏感权限

敏感权限如READ_CONTACTS（读取联系人信息）、READ_SMS（读取短信息）、 RECEIVE_SMS（接收短信息）是应用收集用户敏感信息的必要条件。为了获取用户个人隐私数据，恶意软件必须优先申请获取上述的敏感权限，在用户明确拒绝同意授予恶意软件敏感权限的情况下，恶意软件通常采用两种方式获取用户敏感权限。

（1）无障碍性服务主动授予敏感权限：AccessibilityService（无障碍服务），它能給有残疾的用户或暂时无法与设备完全交互的用户提供更好的无障碍用户交互功能。所以恶意软件可以使用该项服务模拟用户点击屏幕上的项目。包括授予恶意应用敏感权限、自动订阅付费服务、监控用户设备操作、获取通信聊天记录等操作。应用请求开启无障碍服务如图19所示。

（2）设置应用兼容系统的版本：将应用TargetSDK的值设置为低于23，手机系统低于6.0，系统会默认授予应用申请的所有权限，且用户无法在安装APP之后，取消恶意应用已经申请的权限。

3.1.4 远程控制技术

高级的恶意软件通常都具备远程控制的功能，其目的是为了能够对受害人的手机端进行持续性的远程操控，目前，远程控制的主要方式是以网络为主，远程控制流程如图20所示。

3.1.5 恶意软件获取用户敏感信息

（1）获取用户设备的联系人、短信、通话记录、浏览器历史记录、媒体文件、日历日程事件等数据库信息;

（2）加载仿冒的钓鱼页面获取用户输入的敏感信息;

（3）监听设备键盘事件，收集用户键盘输入信息;

（4）监听剪切板操作，收集用户剪切板内容;

（5）通过截屏、录屏可监控用户对设备的操作获取用户的输入信息。

3.2 恶意软件危害

恶意软件危害主要分为五大方面。

（1）降低设备运行效率、浪费系统资源。恶意软件安装运行后长期驻留系统内存、长期占用系统资源、自行安装、自启动其它应用等行为会造成系统资源的浪费，降低设备的运行效率。

（2）妨碍用户正常的网络活动。恶意软件如“恶意广告软件”“勒索软件”安装运行后频繁弹出广告、锁定用户屏幕、将自身页面置顶等行为会妨碍用户正常的网络活动。

（3）危害网络信息安全。恶意软件如“间谍软件”“木马软件”安装运行后收集上传用户个人隐私数据、将个人隐私数据流通于地下市场进行买卖，造成用户身份信息、银行信息、账号信息的泄露，危害网络信息的安全。

（4）危害用户财产安全。恶意软件如“银行木马”安装运行后通过钓鱼页面窃取用户银行账户信息转走用户银行资金;“勒索软件”锁定用户屏幕、加密用户文件勒索用户进行付费;“广告木马”通过模拟点击、欺骗用户点击等手段订购各类付费服;诈骗集团利用用户泄露的个人隐私数据进行诈骗，这些行为都会危害用户财产。

（5）造成用户资源损失。恶意软件如“流氓软件”安装运行后删除用户设备文件、数据，使这些文件、数据无法恢复，造成用户、公司资源的损失。

4 结束语

本文主要是基于恒安嘉新威胁情报数据，对2019年10月至2020年4月期间发生的间谍软件安全事件，以及利用“新型冠状肺炎”热点发起的移动安全事件进行整理，希望用户能对移动安全事件有一定的了解，从而进一步提高自身防范，时刻保持警惕。后续建议监管应用商店厂商遵从国家《中华人民共和国网络安全法》的规定，严格审核上架应用的安全性，拥有职业道德，不为不良利益所诱惑。建议用户提高警觉性，使用软件请到官网下载或是到应用商店下载正版软件，避免从论坛等下载软件，可以有效地减少该类病毒的侵害。

参考文献

[1] 常建国，冯万强.大数据时代背景下“保护个人隐私和信息安全”的研究对策[J].现代营销（经营版），2020（02）：41.

[2] 于朝晖.CNNIC发布第45次《中国互联网络发展状况统计报告》[J].网信军民融合，2020（04）：30-31.

[3] 陈发堂，赵昊明，吴晓龙，李阳阳.移动网络用户隐私与信息安全研究[J].南京邮电大学学报（自然科学版）， 2020，40（02）：35-40.

[4] 张梦秋.从APP使用角度对用户隐私安全的思考[J].电子世界，2019（11）：82-83.

[5] 张宁，赵来娟，何渊.大数据环境下移动社交网络用户隐私问题研究[J].情报探索，2019（01）：14-17.

作者简介：

傅强（1982-），男，汉族，北京人，河南师范大学，本科，恒安嘉新（北京）科技股份公司智能安全创新研究院，院长，总工程师;主要研究方向和关注领域：信息安全。

阿曼太（1982-），男，哈萨克族，新疆昌吉人，中央民族大学，本科，恒安嘉新（北京）科技股份公司智能安全创新研究院，执行副院长;主要研究方向和关注领域：移动应用安全、恶意代码检测、电信反欺诈、人工智能技术在网络安全领域的落地与应用。

雷小创（1987-），男，汉族，陕西西安人，西安科技大学，本科，恒安嘉新（北京）科技股份公司暗影移动安全实验室，主任;主要研究方向和关注领域：移动互联网安全、移动恶意程序检测、黑产溯源。

肖媛媛（1996-），女，汉族，湖南邵阳人，湖南警察学院，本科，恒安嘉新（北京）科技股份公司暗影移动安全实验室，分析师;主要研究方向和关注领域：移动安全。

郑竞可（1993-），女，汉族，河南平顶山人，河南理工大学，本科，恒安嘉新（北京）科技股份公司暗影移动安全实验室，分析师;主要研究方向和关注领域：移动安全。

（本文为“2020年429首都网络安全日”活动征文）