1、 2018 年 Android 恶意软件专题报告 2019 年 2 月 14 日 摘 要 2018 年全年，360 互联网安全中心共截获移动端新增恶意软件样本约 434.2 万个，平均 每天新增约 1.2 万个。全年相比 2017 年（757.3 万个）下降了约 42.7%。 2018 全年移动端新增恶意软件类型主要为资费消耗，占比高达 63.2%；其次为隐私窃 取（33.7%） 、恶意扣费（1.6%） 、流氓行为（1.2%） 、远程控制（0.3%） 。 2018 全年，360 互联网安全中心累计监测移动端恶意软件感染量约为 1.1 亿人次，相比 2017 年 （2.14 亿人次） 感染量下降

2、 48.6%， 平均每日恶意软件感染量约为 29.2 万人次。 2018 全年从地域分布来看， 恶意软件感染量最多的省份为广东省， 占全国感染量的 8.2%； 其次为北京（7.2%） 、山东（6.5%） 、河南（6.4%）江苏（6.1%）等。感染量最多的城 市为北京，占全国城市的 7.2%；其次是重庆（2.2%） 、广州（1.6%） 、成都（1.3%） 、 南京（1.3%） 。位居 Top10 的城市还有东莞、呼和浩特、石家庄、上海、哈尔滨。 2018 年恶意软件使用了多种新技术，分别是利用调试接口感染传播，首次出现 Kotlin 语言开发的恶意软件，劫持路由器设置，篡改剪切板内容，滥用 Te

3、legram 软件协议， 恶意软件适配高版本系统以及针对企业和家庭的网络代理攻击。 2018 年移动高级威胁方面，360 烽火实验室监测到的公开披露的 APT 报告中，涉及移 动相关的 APT 报告 23 篇。被提及次数最多的被攻击国家依次是韩国、以色列、巴基斯 坦、巴勒斯坦、伊朗、叙利亚和印度。 2018 年移动高级威胁主要围绕在亚太和中东地区，涉及朝韩半岛、克什米尔地区，巴 以冲突地区。除此以外，还体现了部分国家内部动荡的政治局势。 2018 年移动平台黑灰产业生态，根据结构划分为流量获取分发、流量变现盈利和数据 信息安全三个方面。 2018 年度 CVE Details 报告显示， An

4、droid系统以 611 个漏洞位居产品漏洞数量榜前列， 与 2017 年 842 个相比略有减小，下降 27.4%，与 2016 年相比增加 16.6% 截止 2018 年 10 月， Google 发布的 Android 系统版本分布统计， Android Nougat （Android 7.0/7.1） 达到 28.2%， 占比第二的是 Android Oreo （Android 8.0/8.1） 总占比已达 21.5%， 而最新系统版本 Android 9 Pie 不足 0.1%。 系统厂商自律定期更新开发者策略， 政府监管处置各类违法违规应用， 警企协同打击网 络犯罪，共建大安全生态

5、环境。 从移动威胁趋势上看，5G 时代到来物联网安全问题凸显，基于内容的诈骗活动将越来 越活跃， 虚拟货币价格虽然降低但攻击仍将继续， 社交网络下的新型传播方式以及数据 泄露推动隐私全球立法，这五个方面将成为未来的主要趋势。 关键词：关键词：移动安全、恶意软件、高级威胁、黑灰产业、威胁趋势 目 录 第一章 总体态势 . 1 一、 恶意软件新增量与类型分布 . 1 二、 恶意软件感染量分析 . 2 三、 恶意软件感染量地域分析 . 3 第二章 盘点恶意软件的新技术 . 5 一、 利用调试接口传播 . 5 二、 KOTLIN语言开发的恶意软件首现 . 5 三、 劫持路由器设置 . 6 四、 篡改剪

6、切板内容 . 7 五、 滥用 TELEGRAM软件协议 . 8 六、 恶意软件适配高版本系统 . 9 七、 企业和家庭网络攻击进阶 . 10 第三章 移动高级威胁持续进化 . 11 一、 移动高级威胁全球研究 . 11 二、 地缘政治影响日益显著 . 11 三、 部分国家内部局势动荡 . 13 四、 移动端成为新的攻击入口 . 14 第四章 移动平台黑灰产业生态 . 16 一、 流量获取分发相关产业生态 . 16 二、 流量变现盈利相关产业生态 . 18 三、 数据信息安全相关产业生态 . 21 四、 移动平台黑灰产业特征与趋势 . 23 第五章 协同联动共建大安全生态环境 . 24 一、 严

7、峻的系统环境 . 24 二、 系统厂商自我约束 . 26 三、 政府监管与信息举报 . 26 四、 警企协同打击网络犯罪 . 29 第六章 威胁趋势预测 . 30 一、 5G 时代到来物联网安全问题凸显 . 30 二、 基于内容的诈骗活动将成为主流趋势 . 30 三、 “币圈”降温但攻击仍将继续. 30 四、 社交网络下的传播链重建 . 31 五、 数据泄露推动隐私立法全球化 . 32 附录一：参考资料 . 33 360 烽火实验室 . 37 1 第一章 总体态势 一、 恶意软件新增量与类型分布 2018 年全年， 360 互联网安全中心共截获移动端新增恶意软件样本约 434.2 万个， 平均

8、 每天新增约 1.2 万个。全年相比 2017 年（757.3 万）下降了约 42.7%。自 2015 年起，恶意 软件新增样本量呈逐年下降趋势。 图 1.1 2012-2018 年移动端新增恶意软件数量情况 2018 年新增恶意软件整体呈现上半年、下半年较低的态势。其中 3 月份新增量最多， 约 50.0 万个恶意软件，第四季度中新增样本量均较低。 图 1.2 2018 年移动端各月新增恶意移动端样本数分布情况 2 2018 全年移动端新增恶意软件类型主要为资费消耗，占比高达 63.2%；其次为隐私窃 取（33.7%） 、恶意扣费（1.6%） 、流氓行为（1.2%） 、远程控制（0.3%）

9、。 图 1.3 2018 年移动端新增恶意软件类型分布情况 二、 恶意软件感染量分析 2018 全年， 360 互联网安全中心累计监测移动端恶意软件感染量约为 1.1 亿人次， 相比 2017 年（2.14 亿人次）感染量下降 48.6%，平均每日恶意软件感染量约为 29.2 万人次。 从七年的移动端恶意软件感染量对比看，经过 2012-2015 年的高速增长期，2016 年起 呈现逐年下降趋势，恶意软件发展逐渐平稳。 图 1.4 2012-2018 年移动端恶意软件感染量对比情况 3 2018 年移动端新增恶意软件感染量的按季度对比情况来看，总体呈下降趋势。四季度 新增量最低，仅约 52.4

10、 万个。 全年来看，2018 年四个季度的感染量总体呈下降趋势；其中一季度最高约为 3437.3 万 人次，四季度感染量最少，仅约 2057.1 万人次。 图 1.5 2018 年移动端新增恶意软件感染量按季度对比情况 三、 恶意软件感染量地域分析 2018全年从地域分布来看， 恶意软件感染量最多的省份为广东省， 占全国感染量的8.2%； 其次为北京（7.2%） 、山东（6.5%） 、河南（6.4%）和江苏（6.1%） 。此外河北、浙江、四川、 黑龙江、江西的恶意软件感染量也排在前列。 图 1.6 2018 年恶意软件感染量 TOP10 省级分布情况 4 恶意软件感染量最多的城市为北京，占全国

11、城市的 7.2%；其次是重庆（2.2%） 、广州 （1.6%） 、成都（1.3%） 、南京（1.3%） 。位居 Top10 的城市还有东莞、呼和浩特、石家庄、 上海、哈尔滨。 图 1.7 2018 年恶意软件感染量 TOP10 城市分布情况 5 第二章 盘点恶意软件的新技术 一、 利用调试接口传播 adb是连接Android设备与PC端的桥梁， 可以让用户在电脑上对设备进行全面的操作， 是 Android 系统为方便软件开发者提供的一种调试接口， 一般情况下软件开发人员是通过启 用 USB 调试选项来使用这种接口的。但事实上，这种接口可以直接绑定到网络端口上。一 旦被绑定到网络端口，攻击者就可

12、以在不借助物理接触的前提下，远程操作 Android 设备。 今年 2 月，360 安全团队监测到全球首个 Android 平台挖矿蠕虫 ADB.Miner1。 ADB.Miner 利用了 Android 设备上的 5555 端口，5555 端口是 Android 设备上 adb 调试接 口的工作端口，正常状态下应该处于关闭状态，但未知原因导致部分设备错误打开了该端 口。 ADB.Miner 蠕虫摆脱了通过短信、垃圾邮件等社交诱骗的传播方式，而是直接从 adb 接口感染和传播。另外，adb 接口功能相当丰富，其中文件上传功能及 Shell 指令为蠕虫的 繁殖和运行提供了便利。在传播中，ADB.

13、Miner 复制了 MIRAI 中 SYN 扫描模块的代码， 试图加速对 5555 端口开放情况的探测过程，以便提高传播速度。 图 2.1 端口 5555 上的扫描流量正在快速增长 二、 Kotlin 语言开发的恶意软件首现 Kotlin2是一个用于现代多平台应用的静态编程语言, 2017 年 5 月 Google 宣布 Kotlin 正式成为 Android 官方支持开发语言。 Kotlin 特点简洁，大大减少了样板代码的数量；安全，因为它避免了诸如空指针异常之 类的整个类错误；互操作性，充分利用 JVM，Android 和浏览器的现有库；并且工具友好， 可用任何 Java IDE 或者使用

14、命令行构建。 2018 年 1 月，安全厂商发现首个以 Kotlin 编程语言开发的恶意软件3，该恶意软件不 仅能够执行远程命令，窃取信息，模拟点击广告，它还可以在未经许可的情况下为用户订 阅付费短信业务。 6 图片来自（ 图 2.2 使用 Kotlin 开发的恶意软件的包结构 三、 劫持路由器设置 路由器被入侵的可能性大致分为两种。一种是使用路由器本身的漏洞攻击，另一种是 通过路由器管理功能所设置的弱认证信息非法登录。 早在 2016 年 12 月，就曾出现了劫持路由器 DNS 设置的 Switcher4恶意软件家族，恶 意软件即会利用一份预置好的包含 25 种默认登录名与密码的列表， 在路

15、由器的管理员 Web 界面中执行密码暴力破解。 如果破解尝试成功后， 木马会导航至 WAN 设置选项并设置不法 犯罪分子控制的流氓 DNS 作为主 DNS 服务器。 2018 年 3 月， 日本媒体报道了大量日本用户的路由器 DNS 设置被劫持， 将用户重定向 到恶意 IP 地址，导致用户手机下载安装了伪装成 Facebook 和 Chrome 更新的 XLoader5恶 意软件，恶意行为包括窃取隐私、网站钓鱼、挖矿等。截至目前，攻击者已经将目标语言 从 4 种扩展到 27 种，包括欧洲和中东语言，平台也从 Android 覆盖到 iOS、PC 平台。 7 图片来自（ 图 2.3 XLoade

16、r 感染链 四、 篡改剪切板内容 在使用手机时经常会用到剪切板功能，通过小小的剪贴板在各种 APP 之间传递和共享 信息。 我们发现由于剪切板功能简单， 使用时也不需要申请额外的权限， 导致被恶意利用， 在复制粘贴过程中暗藏玄机。 2018 年伊始，我们发现羊毛党篡改剪贴板以非正常方式传播支付宝的吱口令，通过支 付宝的红包活动赚取红包赏金。我们将信息及时反馈给支付宝，在新一期的赚取赏金活动 中支付宝调整了策略，限制了邀请方式和邀请次数。 10 月，我们监控到利用剪切板盗取比特币（Bitcoin）钱包的恶意软件6。通过监控用 户手机剪贴板中的内容来判断是否是加密数字货币的钱包地址，如果是钱包地址

17、则替换成 从服务器得到的攻击者的钱包地址。当用户把复制的钱包地址粘贴到转账地址栏的时候， 原先的钱包地址已经被木马替换成了攻击者的钱包地址，造成用户的财产损失。 8 图 2.4 2018 年移动端篡改剪切板恶意软件每月新增数量 五、 滥用 Telegram 软件协议 从去年开始出现利用 Telegram 软件协议的木马，今年有更多的恶意软件作者开始滥用 Telegram 软件协议。 滥用 Telegram 软件协议的 IRRAT 和 TeleRAT7恶意软件家族接连被曝 光，并且还出现了与之前使用 Telegram Bot API 方式不同的 HeroRat8恶意软件家族，它使 用了名为 Te

18、lesharp9的开源项目，它可以使用 C#语言创建 Telegram Bot，目前这个开源项 目已经不再维护。 图 2.5 TeleSharp 开源项目功能介绍 9 六、 恶意软件适配高版本系统 在 2016 年年度报告中，我们提到界面劫持技术被大量用在钓鱼软件和勒索软件。虽然 Google 在 Android 5.0 系统及以上版本限制了获取栈顶 Activity 的获取方法，减弱了这种攻 击方式。但当时由于 Android 5.0 以下版本仍然有一定的市场占有率，低版本手机仍然可能 遭受到这种威胁。 2018 年 Google 已经发布了 Android 9 Pie，经过两年的发展 An

19、droid 5.0 以上系统已经 占据主导地位。纵观 Google 在 Android 系统安全方面的更新，每一版本都在遏制恶意软件 方面做出了积极应对，这使得界面劫持技术变得更加困难。 2018 年 6 月，我们发现 MysteryBot10恶意软件家族开始适配高版本系统，它通过诱 导用户授予 APP Device Administrator 和 AccessibilityService 权限，而后滥用 Usage Access 权限。Usage Access 权限可以获取一个时间段内的应用统计信息，按照使用时间排列后，即 可获取当前最顶层的 APP。 图片来自（ 图 2.6 Mystery

20、Bot 请求 Usage Access 权限 10 七、 企业和家庭网络攻击进阶 针对企业和家庭内网的攻击，继 DressCode11、MilkyDoor12恶意软件家族后，今年 又出现了利用移动设备攻击内网的新的恶意软件家族 TimpDoor13。TimpDoor 通过短信进 行网络钓鱼， 诱导用户下载安装虚假 APP， 将受感染的 Android 设备转变为移动网络代理， 允许不法分子加密访问内部网络，给企业和家庭内部网络带来巨大安全风险。 家族名称家族名称 DressCode MilkyDoor TimpDoor 曝光时间曝光时间 2016 年 8 月 2017 年 4 月 2018 年

21、 10 月 传播方式传播方式 Google Play 第三方市场 Google Play 第三方市场 钓鱼短信 数据转发数据转发 SOCKS 代理 SOCKS代理使用SSH远程转 发，从主控端获取 SSH 登录 信息，具有广告和下载功能。 SOCKS代理使用SSH远程转 发， 代码包含 SSH 登录信息， 实现基本的代理功能。 表 1 DressCode、MilkyDoor 与 TimpDoor 恶意软件家族对比 11 第三章 移动高级威胁持续进化 今年 360 安全团队曝光的毒云藤（APT-C-01）14、蓝宝菇（APT-C-12）15组织对我 国政府、国防、科技、教育、金融等多方面进行了长

22、期的网络间谍活动。网络战和网络攻 击成为一些热点冲突背后无硝烟的战场，可以说没有网络安全就没有国家安全，就没有经 济社会稳定运行，广大人民群众利益也难以得到保障。 2018 年，我们在中国互联网安全大会（ISC）上以APT 攻击战场升级：移动端拉响 安全警报为题，深度介绍移动端 APT 发展现状、移动端价值、植入方式、相关案例以及 发展趋势。移动端的重要程度，使得成为 APT 组织转向的新目标。 一、 移动高级威胁全球研究 在 2018 年 360 烽火实验室监测到的公开披露的 APT 报告中，涉及移动相关的 APT 报 告 23 篇。 被提及次数最多的被攻击国家依次是韩国、 以色列、 巴基斯

23、坦、 巴勒斯坦、 伊朗、 叙利亚和印度。 从公开披露的 APT 报告数量上看，移动 APT 已经成为新兴的 APT 战场，原因在于手 机中存储着人们大量重要的隐私信息，这些信息能够让攻击者发动攻击前，在攻击目标的 身份辨别上更加准确，在攻击时攻击的地点和时间更加精确，在攻击后最终获得的收益更 加丰厚。 从公开披露的移动高级威胁活动中涉及目标领域情况来看，政府、军事、宗教、媒体、 企业是 APT 攻击者的主要目标，这也与 APT 攻击的主要意图和目的有关。 被攻击目标国家被攻击目标国家 所属地区所属地区 相关报告数量相关报告数量 主要被攻击领域主要被攻击领域 韩国韩国 亚太地区 6 政府、军事、

24、媒体、企业 以色列以色列 中东地区 4 政府、军事 巴基斯坦巴基斯坦 亚太地区 4 政府 巴勒斯坦巴勒斯坦 中东地区 3 政府 伊朗伊朗 中东地区 2 政府、宗教 叙利亚叙利亚 中东地区 2 政府、军事 印度印度 亚太地区 2 政府、军事 表 2 移动高级威胁研究关注被攻击国家排行 二、 地缘政治影响日益显著 2018 年移动高级威胁主要围绕在亚太和中东地区，涉及朝韩半岛、克什米尔地区，巴 以冲突地区。APT 行动与国家及地区间的政治摩擦密切相关，围绕地缘政治的影响日益显 著。 12 2018 年围绕朝韩半岛，在移动端韩国是被公开披露次数最多的被攻击国家。主要攻击 组织为 Group 123，

25、又称 Reaper group，APT37，Geumseong121，Scarcruft，该组织被国外 安全厂商认为是来自朝鲜的一个频繁活跃的 APT 攻击组织。 披露时间披露时间 披露来源披露来源 概述概述 2018.4.2 Cisco Talos 安全厂商对一个虚假的反病毒恶意软件 KevDroid 的分析， 并 且多家安全厂商对其相关分析和归属的判断16。 2018.4.5 Palo Alto Networks 介绍了相关联的鱼叉式网络钓鱼活动，其中伪装的应用名称 为“PyeongChang Winter Games” 17。 2018.8.22 ESTsecurity 韩国安全厂商披露

26、 Operation Rocket Man，分析了其针对 Windows 和 Android 两个平台的攻击活动18。 2018.12.13 ESTsecurity 韩国安全厂商披露 Operation Blackbird， 主要为该组织实施针 对移动终端的攻击活动19。 表 3 2018 年 Group 123 组织移动端相关活动 另一个活跃的 APT 组织 Sun Team 也被频繁曝光，主要针对脱北者和媒体记者。Sun Team 和 Group 123 在移动恶意样本分发上存在一些关联，疑似归属为同一组织或使用了共 同的基础服务。 披露时间披露时间 披露来源披露来源 概述概述 2018.

27、1.11 McAfee 介绍利用社交网络服务发送包含恶意软件下载的链接，诱导 脱北者和媒体记者安装恶意软件20。 2018.5.17 McAfee 安全厂商在 Google Play 上发现有针对脱北者的恶意软件 21。 表 4 2018 年 Sun Team 组织移动端相关活动 2018年围绕克什米尔地区， 印度和巴基斯坦分别受到了多个APT组织攻击。 印度方面， 基于国外安全厂商公开的 APT 报告认为攻击印度政府的 APT 组织背后都与巴基斯坦 APT 组织有关，之前 Operation Transparent Tribe22和 Operation C-Major23的策划者也被国外 安

28、全厂商认为是巴基斯坦 APT 组织。 披露时间披露时间 披露来源披露来源 概述概述 2018.1.29 TrendMicro 安全厂商发现 PoriewSpy 间谍软件攻击印度 Android 用户,背 后与巴基斯坦 APT 组织有关24。 2018.5.15 Lookout 安全厂商发现监控窃取军方和政府官员的数据的 Android 和 iOS 恶意软件25。 表 5 2018 年印度受到的移动端攻击相关活动 相比印度，巴基斯坦方面也遭遇了多个 APT 组织攻击，安全厂商分析发现从入侵技术 和使用的工具上多个组织之间存在一定的相似性。 13 披露时间披露时间 披露来源披露来源 概述概述 20

29、18.1.13 TrendMicro 介绍了 Confucius 组织间谍网络活动26。 2018.5.23 TrendMicro 介绍了 Confucius 组织新的工具和技术， 以及与 Patchwork 组 织的联系27。 2018.8.14 360 烽火实验 室 肚脑虫组织（APT-C-35）移动端攻击活动主要针对巴基斯坦 和克什米尔地区的目标人员28。 2018.8.29 TrendMicro 安全厂商发现未知组织 Urpage 与 Bahamut、Confucius 和 Patchwork 组织之间的联系29。 表 6 2018 年巴基斯坦受到的移动端攻击相关活动 2018 年围绕

30、巴以冲突地区，网络攻击活动也十分频繁。从 2016 年起，双尾蝎组织 （APT-C-23）对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对 性的长时间不间断网络攻击。在 2017 年该组织更为活跃，涉及的移动端攻击中不断使用的 新的恶意软件变种 VAMP30、FrozenCell31和 GnatSpy32相继曝光。2018 年该组织对移 动恶意软件的伪装、分发、通信技术上进行了全面的升级改进，恶意行为和攻击持久性进 一步增强。 披露时间披露时间 披露来源披露来源 概述概述 2018.4.16 Lookout 安全厂商发现 Google Play 中的监控软件与针对中东的双尾

31、蝎（APT-C-23）组织有关33。 2018.8.11 Symantec 介绍了针对巴勒斯坦人的最新恶意软件的伪装、分发、通信 技术3435。 表 7 2018 年巴勒斯坦受到的移动端攻击相关活动 以色列方面，世界杯期间以色列国防军指责巴勒斯坦伊斯兰组织哈马斯试图通过恶意 软件攻击以色列士兵的手机36。此前监控以色列国防军的 ViperRAT 恶意软件也被认为与 哈马斯组织有关37。 披露时间披露时间 披露来源披露来源 概述概述 2018.4.16 Lookout 用于监控以色列国防军的 ViperRAT 的新变种在 Google Play 上被发现38。 2018.7.3 以色列国防军 （

32、IDF） 介绍世界杯期间针对以色列士兵的 Android 恶意软件相关信 息，其他安全厂商进行了相继跟踪分析39404142。 表 8 2018 年以色列受到的移动端攻击相关活动 三、 部分国家内部局势动荡 2018 年移动 APT 攻击事件中，还体现出了部分国家内部局势动荡，主要体现在中东国 家伊朗和叙利亚，针对国家内部持不同政见者和反对派力量，以及一些极端主义活动的倡 导者的网络监控。 14 披露时间披露时间 披露来源披露来源 概述概述 2018.1.4 360 追日团队 介绍黄金鼠组织（APT-C-27）对叙利亚地区的攻击活动43。 2018.7.17 360 烽火实验 室 发现黄金鼠组

33、织 （APT-C-27） Android 恶意样本携带 PE 攻击 样本诱导感染 PC 平台的实例44。 2018.9.7 Check Point 国外安全厂商发现伊朗政府通过移动恶意软件监控内部持不 同政见者和反对派力量，以及伊斯兰国的倡导者和主要在伊 朗西部定居的库尔德少数民族45。 2018.9.7 360 烽火实验 室 介绍针对伊朗长达两年的间谍活动，伪装的 Android 恶意软 件带有伊朗宗教特色46。 2018 BlackHat Lookout 黄金鼠组织（APT-C-27）国外安全厂商认为是中东某国电子 军对反对派的监控活动47。 表 9 2018 年中东地区部分国家受到的移动

34、端攻击相关活动 四、 移动端成为新的攻击入口 与传统的 PC 相比移动 APT 有更多特有的攻击入口，同时受到移动平台自身多种原因 的限制，移动端保护能力弱安全性低，对于一些攻击诱饵普通用户更加难以甄别，使得移 动端攻击比 PC 端受攻击面更广，攻击成功率更高。 2018 年从公开披露的 APT 报告中，攻击入口占比最大的是 Google Play（26.7%） ，其 次是 SNS 网络 （16.7%） 、 IM 即时通讯软件 （13.3%） 、 钓鱼网站 （13.3%） 、 第三方市场 （6.7%） 、 漏洞利用（6.7%） 、网盘（6.7%） 、电子邮件（6.7%）和短信（3.3%） 。

35、图 3.1 2018 年移动高级威胁（APT）植入方式占比 从数据可以看出，攻击者不断地寻找新的方法来为他们的恶意 APP 增加合法性。他们 将恶意应用上传到 Google Play， 再通过社交网络和钓鱼网站进行分发， 由于用户对于 Google 15 Play 的信任会毫不犹豫的去下载安装，从而使攻击者钓鱼攻击变得更加成功。 另一方面，我们也可以数据看出漏洞利用也有一定占比。在今年曝光的 Operation Blackbird 攻击中，攻击者使用了三星 CVE-2015-7888 的路径遍历漏洞获取系统权限植入恶 意模块。除此以外，Group 123 还在攻击中使用了 CVE-2015-6

36、764 浏览器内核漏洞，通过 JS 去安装任意 APP。攻击者在攻击目标设备上成功植入后，通过漏洞可以进行横向移动， 不仅扩大了攻击范围，同时也大大增强了持久性。 16 第四章 移动平台黑灰产业生态 近年来，网络安全产业步入发展的崭新阶段，产业规模快速增长。公开数据显示，2017 年我国网络安全产业规模达到 439.2 亿元，较 2016 年增长 27.6%，预计 2018 年达到 545.49 亿元。而黑灰产业比安全产业发展得更为野蛮。有业内人士认为，黑灰产业已达千亿元规 模，网络黑灰产所带来的安全挑战愈加严峻。灰产游走在法律边缘，法无禁止即可为；黑 产则触及法律的红线，利用互联网技术进行偷

37、盗、诈骗、敲诈等各类违法犯罪案件频繁发 生，围绕互联网衍生的黑灰产行业正在加速蔓延。 2018 年，移动平台各种形式的黑灰产业不断浮出水面，我们对此进行了持续的跟踪和 揭露。就目前移动平台移动黑灰产业生态结构而言，我们围绕流量获取分发、流量变现盈 利和数据信息安全三个方面来分析目前移动平台黑灰产业生态现状。 一、 流量获取分发相关产业生态 流量的获取和分发是互联网尤其是移动互联网最基本的入口，所有的业务和应用都架 构在流量经济之上。流量作为一个基础性服务，采购和获取用户流量是移动黑灰产业中最 重要的一环。2018 年，围绕流量获取分发的黑灰产业主要体现在供应链中的手机分销渠道 环节。 (一) 分销渠道预置木马感染国内多款手机 2018 年 3 月， 国外安全厂商发现国内多款手机被安装了一个被命名为 “RottenSys” 48 的手机恶意推广软件，从 2016 年至今累计感染量达到百万级别，引起科技媒体广泛关注。