数据中心机房的耗电量突然激增,而服务器并没有扩容;

服务器主机和办公电脑的CPU、显卡资源占有率居高不下,应用卡慢,严重影响正常业务运行;

凌晨2-6点,业务低峰时期,服务器的占用消耗却异常偏高;

……

如果出现以上某种情况,作为企业的信息中心或网络安全负责人,需要警惕了:您的内网、机房和各种设备,很可能感染了“挖矿”病毒。这些病毒利用漏洞远程攻击到政企机构内部,让个人主机、企业服务器、云服务器等沦陷为“挖矿”的矿机,成为黑客团伙牟利工具,同时消耗企业宝贵的算力和能源,产生大量碳排放,祸害极大。

12月2日,奇安信依托安全大数据、全网测绘、漏洞响应、威胁情报和挖矿感知等全链条优势,对外推出补天挖矿态势监测响应平台(CMSA平台)。该平台可以对互联网上的“挖矿”行为进行监测和分析,帮助政企机构更全面的了解“挖矿”行为的整体威胁和态势。

image.png

根据补天CMSA平台监测数据显示,国内平均每天涉及“挖矿”相关的事件约15亿次,活跃矿机峰值近20万,广东、河南、四川、江苏、陕西等数据产业发达或者能源富集的省份,成为“挖矿”活跃的主要区域。

image.png

奇安信安全专家表示,和专业矿池、矿场等不同,挖矿病毒似乎单个耗电量不高,能耗感知性不强,但据统计,挖矿病毒相比于专业“挖矿”,获得同样算力价值的前提下,耗电量是后者的500倍!   

同时,挖矿病毒由于分布广泛,总量巨大,累加起来的电力浪费和碳排放,将非常惊人。由于部分国企计算机被发现暗中从事虚拟货币生产活动,不仅严重占用相关企业计算机、网络和电力等生产资源,而且严重危害企业运营和生产安全,防范挖矿病毒势在必行。   

image.png

图: 补天挖矿态势监测响应解决方案

奇安信补天CMSA平台从发现、评估、清除三个阶段,帮助客户对“挖矿”行为进行全面、闭环式的监测分析和研判处置。 

在发现威胁阶段,基于补天CMSA平台提供的威胁情报信息,有针对性对所管辖区域、组织、资产的“挖矿”行为进行评估,掌握行为态势。

在协助评估阶段,依托威胁情报信息,协助对区域、组织、资产的挖矿事件提供事件简介、终端数量、时间分析、趋势分析、所属企业/单位、地理位置等报告;

在助力清除阶段,可以配合下发监管处置,持续跟踪事件结果,接入应急响应处理,从而完成事件闭环。

众所周知,数据作为威胁攻击的真相之源,是态势监测响应的前提和基础,因此,全要素的数据收集能力是补天CMSA平台的核心关键。目前,奇安信拥有业内领先的安全大数据积累,其全球独有的行为样本库,总样本200多亿;规模领先的存活网址库,每天查寻量达到100多亿条;顶级全量域名信息库的总量超过400亿;开源情报源达到2000多个;补天漏洞响应平台的报道漏洞数超过75万;而超级海量的多维数据库中拥有数据总量更是超过700PB。

今年9月,国家发改委等11部门发布《关于整治虚拟货币“挖矿”活动的通知》,严禁新增虚拟货币“挖矿”项目,加快存量项目有序退出,同时也将虚拟货币“挖矿”活动列为淘汰类产业。不久前,国家发改委对外表示,将以产业式集中式“挖矿”、国有单位涉及“挖矿”和比特币“挖矿”为重点开展全面整治。奇安信本次推出的补天CMSA平台,将更好的配合国家落实“挖矿”行为专项调查和整治工作,降低“挖矿”能源和算力浪费,为推动国家节能减排,实现碳达峰、碳中和目标等做出积极贡献。    

“97%的金融服务/金融科技行业代码库包含开源,其中超过60%的代码库存在漏洞。”根据公开数据显示,金融行业的软件供应链安全形势十分严峻,从源头解决软件开发安全问题、实现安全左移势在必行。

供应链安全风险繁杂 涵盖技术、管理等多个环节

近年来,国内外供应链安全事件屡见不鲜,例如大家所熟知的SolarWinds事件等,导致包括美国关基、军队、政府在内的18000多家客户全部受到影响,成为年度最严重的供应链安全事件。在国内,部分软件供应商在开发过程中缺少安全活动,或供应商自身存在网络安全缺陷,进而导致的源代码泄露、运维权限泄露,直接影响了最终用户的引用系统安全性。

软件供应链安全影响重大,各国纷纷推行政策法规推动软件供应链安全保护工作。2021 年 5 月 12 日,美国总统拜登签署发布《改善国家网络安全行政令》,明确提出改善软件供应链安全,要求构建更有弹性且安全的软件供应链环境,确保美国的国家安全。同年 7 月,美国国家标准与技术所(NIST)发布《开发者软件验证最低标准指南》,进一步为加强软件供应链安全加码。

我国对软件供应链安全问题也给予了高度重视,除了等保2.0等标准要求之外,今年有多个重点行业推出针对供应链安全的详细工作要求。

image.png

奇安信安全专家认为,供应链的安全风险很繁杂,这些风险来自软件开发、集成交付、运维运营等环节,也可能来自提供咨询、系统集成、运维测评等服务的服务商。这些风险大体上可以归纳成两个大类,第一类是软件产品本身的安全隐患,例如开源组件缺陷、软件漏洞等;第二类是软硬件产品服务提供商自身存在的安全隐患,例如重要系统端口暴露、弱口令、人员权限管理不善等。攻击者可以利用上述的两类隐患,通过植入、替换、源代码分析、跳板攻击等手法,实现对应用系统的攻击。

供应链安全建设涉及企业和组织内的多个部门,除了网络安全部、项目建设、运维运营、质量管理等部门外,还涉及供应商管理、商务采购等部门。同时供应链安全建设也涉及管理制度、管理流程的设计和落地。

五大建议三项举措 帮助重点行业应对供应链安全风险

结合上述背景,国家多个行业监管部门近期提出了对供应链安全风险的警示,并作出了工作部署和工作要求。针对供应链安全风险,奇安信总结了以下五个方面的建设意见。

第一是增强自身的风险防范意识,提高对供应链安全关注。组织内部相关部门学习供应链安全知识,了解软件供应链风险。建设涵盖代码检测、开源检测、软件成分分析、软件行为分析、渗透测试在内的安全检测能力,并以上述检测能力,支持风险评估和审计工作。

第二是明确供应链安全责任部门和流程。这里既要明确供应链安全的核心责任部门,也需要明确相关部门的责任。同时根据自己的业务特点和既有的业务流程,制定供应链安全的管理制度、管理流程和应急响应预案。

第三是建立供应商安全评估能力体系,建立开源组件检测能力和开源情报系统。供应商安全评估能力体系至少包括了两部分的内容,一个是供应商安全能力要求,另一个是供应商安全审查的机制。特别是要求供应商建设开源组件分析能力,能提供开源组件台账和开源风险情报,以及开源漏洞响应机制、漏洞修补的能力。

第四是建设软件安全开发体系。在执行开发软件系统和由供应商定制开发软件系统两个场景内,开发团队应结合实际的开发流程,参考软件安全开发的模型与最佳实践,在开发流程中引入响应的安全活动。这些安全活动包括但是不限于安全需求分析、安全特性设计、安全编码规范、安全测试、安全交付、安全运行等环节。这个过程中应重点关注开源组件的引入和管理,以及长期的漏洞检测机制建设、安全事件响应机制建设。

第五是督促供应商加强自身的网络安全建设。供应商应按照甲方要求,或参考等级保护等安全标准,建设建全自身的网络安全管理机制和技术体系。防止供应商自身的信息安全隐患威胁到最终用户的安全性。

针对广大客户在供应链安全领域遇到的安全问题,奇安信可以为客户提供以下三类服务。

首先是咨询规划服务。奇安信结合自身的供应链安全实践以及对监管政策的理解,和客户一起,结合客户的具体业务,为客户打造符合自身实际情况的供应链管理制度、管理流程。包括供应商安全要求、供应商准入制度、供应商安全检查制度、安全开发流程制度、安全编码规范、供应链安全响应机制等。

其次是供应链安全相关能力。这其中包括源代码审计能力、开源组件审计能力、开源漏洞情报、渗透测试能力、软件安全分发、运行环境加固、权限管理、供应链安全攻防等,更广泛的安全能力还包括为供应商建设完整的网络安全体系。

最后是供应链安全相关标准和体系的落地。随着未来供应链相关标准的推出,奇安信也希望能与软件开发方、使用方一起,打造支持相关标准和流程的具体落地的业务系统,例如安全开发管理平台、开源管理平台、供应链安全管理平台等。

“在网络空间对抗不断升级、数字化加速转型、国家战略推动、开源代码被普遍使用的情况下,软件供应链安全建设是大势所趋。”此前,奇安信解决方案中心高级总监金多表示。接下来,奇安信愿意与软件使用方、开发商、服务商一起,结合行业背景与实际业务情况,遵照标准要求,助力金融等行业客户共同打造更安全的软件供应链体系。

12月2日上午,三六零与洛阳市政府签署战略合作协议。双方将以数字化引领高质量发展为主线,在洛阳布局360中部数字安全科技创新总部,深化地企合作,全面促进当地数字产业化和产业数字化发展,助力洛阳建设国家数字化转型示范城市。河南省委常委、洛阳市委书记江凌与360集团创始人、董事长周鸿祎举行工作会谈并见证签约。

江凌表示,发展数字经济是把握新一轮科技革命和产业变革新机遇的战略选择。党中央高度重视发展数字经济,大力实施网络强国战略和国家大数据战略,为我们加快数字经济发展指明了方向。产业数字化是红海中开辟的蓝海,数字产业化未来是一片新蓝海。洛阳将进一步抢抓数字经济新风口,与360集团等行业领军企业深化合作,依托在洛布局的360数字安全科技创新基地,梳理更多应用场景,开展更多针对性项目开发,加强大数据专业人才培养,不断提升数字化安全保障能力,更好发挥数字技术对经济社会发展的放大、叠加、倍增作用。

周鸿祎表示,进入新发展阶段,数字经济正在成为提升城市竞争力的重要抓手。360集团将深耕洛阳、扎实做事,积极发挥自身数字安全领域的技术优势,立足洛阳特色、紧盯洛阳所需,助力洛阳构建数字安全网络体系,带动洛阳加快打造网络安全产业生态,利用互联网新技术推动更多传统产业转型升级,实现价值链、产业链、商业链的重构,为洛阳副中心城市建设、青年友好型城市建设作出积极贡献。

根据协议,360集团将在洛阳设立360中部数字安全科技创新总部和数字化运营公司,参与洛阳市新型智慧城市建设、城市安全能力体系建设及运营,立足洛阳,辐射中原城市群,提升洛阳作为中原城市群副中心城市的竞争优势。洛阳市将加快制定数字产业政策,扶持数字产业发展,推动产业融合与创新,打造数字产业生态圈,支持360集团在洛项目建设发展。

届时,360集团将积极探索数字化转型城市合作新模式,通过一系列具体举措落实落地,加快中部布局,具体包括:在洛阳落地大数据协同安全技术国家工程实验室洛阳分中心,提出有针对性的大数据安全解决方案,提供持续的数据安全运营服务;打造洛阳新一代数字安全能力体系,形成动态防御、主动防御、纵深防御、精准防御、整体防护和联防联控的安全能力体系,保障城市数字化建设的安全稳定运行;建设数字城市安全场景中心,配套建设安全检测公共服务平台及各类场景安全基础服务体系;助力洛阳数字化转型和数字安全智慧城市建设,助力县区数字化转型,推动新型研发机构建设和数字人才本地化培养,为洛阳市的数字产业结构调整、科技成果转移转化、本土人才培养与应用等方面提供支撑。

洛阳市委副书记、代市长徐衣显,副市长侯占国,360集团党委书记、总裁张备,副总裁、未来研究院院长杜跃进等参加签约仪式。

签约结束后,周鸿祎还应邀出席洛阳市委理论学习中心组围绕数字经济发展举行的集体学习(扩大)会,围绕“数字化转型和网络安全”向洛阳市领导干部做专题报告。他在报告中指出,数字化带来的安全问题更为复杂,需要我们用数字化思维重塑网络安全,构建新战法、新框架、新技术和新能力,形成面向未来的数字化安全能力体系。江凌、徐衣显等洛阳市领导出席会议并听取了报告。

研究人员发现过度信任打印机会引发DDoS攻击、隐私泄露等威胁。

意大利研究人员在最新研究成果中指出,当前打印机存在一些基本漏洞,且在网络安全和数据隐私合规方面落后于其他IoT和电子设备。通过评估网络安全风险和隐私威胁,研究人员发现针对打印机可以发起一系列攻击——Printjack,包括将打印机纳入DDoS网络、执行隐私泄露攻击等。

Printjack攻击

研究人员通过Shodan扫描了可以通过TCP 9100端口访问的欧洲国家的打印机设备,该端口是用于TCP/IP打印机工作。端口扫描结果显示有上万个IP地址回应了端口查询,其中德国、俄罗斯、法国、英国暴露的设备最多。

Sample of scan results 

扫描结果

参与DDoS攻击

第一类Printjack攻击就是将打印机纳入DDoS僵尸网络,攻击者可以利用已知的远程代码执行漏洞来实现。成为受害者的打印机会消耗更多电量、产生更多的热量,相关的电子器件的使用寿命会降低。

DoS打印机自己

第二个攻击为paper DoS攻击,即发送重复的打印作业直到受害者的纸耗尽。虽然看似消耗了纸和油墨,但实际上会使打印服务降级。发起这类攻击也非常简单,只需要在目标网络中执行一个简单的Python脚本就可以创建一个重复1千次的循环打印作业。

Script used for placing the printer in DoS state

用于发起paper DoS的脚本

窃取用户隐私

在大多数的Printjack攻击中,攻击者都有可能执行中间人攻击,并监听打印的材料。因为没有打印数据是加密发送的,因为如果攻击者利用打印机网络中的漏洞,就可以获取明文形式的打印数据。

为证明,研究人员使用Ettercap来在发送者和打印机之间交互,然使用wireshark拦截到一个发送给打印机的pdf文件。

为发起该攻击,攻击者必须要有本地访问权限,并利用目标网络中的漏洞。

Sniffed PDF file 

嗅探pdf文件

总结

当前打印机缺乏安全框架使得近年来有很多针对打印机的网络攻击,尤其是在打印机联网后。2021年,研究人员发现了多个厂商打印机产品中的安全漏洞,有漏洞存在超过16年,影响数百万打印机。打印机厂商需要升级设备安全性和数据处理流程,既包括硬件层面的也包括软件层面的。

研究人员发现过度信任打印机会引发DDoS攻击、隐私泄露等威胁。

意大利研究人员在最新研究成果中指出,当前打印机存在一些基本漏洞,且在网络安全和数据隐私合规方面落后于其他IoT和电子设备。通过评估网络安全风险和隐私威胁,研究人员发现针对打印机可以发起一系列攻击——Printjack,包括将打印机纳入DDoS网络、执行隐私泄露攻击等。

Printjack攻击

研究人员通过Shodan扫描了可以通过TCP 9100端口访问的欧洲国家的打印机设备,该端口是用于TCP/IP打印机工作。端口扫描结果显示有上万个IP地址回应了端口查询,其中德国、俄罗斯、法国、英国暴露的设备最多。

Sample of scan results 

扫描结果

参与DDoS攻击

第一类Printjack攻击就是将打印机纳入DDoS僵尸网络,攻击者可以利用已知的远程代码执行漏洞来实现。成为受害者的打印机会消耗更多电量、产生更多的热量,相关的电子器件的使用寿命会降低。

DoS打印机自己

第二个攻击为paper DoS攻击,即发送重复的打印作业直到受害者的纸耗尽。虽然看似消耗了纸和油墨,但实际上会使打印服务降级。发起这类攻击也非常简单,只需要在目标网络中执行一个简单的Python脚本就可以创建一个重复1千次的循环打印作业。

Script used for placing the printer in DoS state

用于发起paper DoS的脚本

窃取用户隐私

在大多数的Printjack攻击中,攻击者都有可能执行中间人攻击,并监听打印的材料。因为没有打印数据是加密发送的,因为如果攻击者利用打印机网络中的漏洞,就可以获取明文形式的打印数据。

为证明,研究人员使用Ettercap来在发送者和打印机之间交互,然使用wireshark拦截到一个发送给打印机的pdf文件。

为发起该攻击,攻击者必须要有本地访问权限,并利用目标网络中的漏洞。

Sniffed PDF file 

嗅探pdf文件

总结

当前打印机缺乏安全框架使得近年来有很多针对打印机的网络攻击,尤其是在打印机联网后。2021年,研究人员发现了多个厂商打印机产品中的安全漏洞,有漏洞存在超过16年,影响数百万打印机。打印机厂商需要升级设备安全性和数据处理流程,既包括硬件层面的也包括软件层面的。

abstract_digits_cell-1200x600.jpg

与上一季度相比,攻击者的活跃程度有所下降,移动攻击的数量下降到960万。研究人员没有看到任何新的大规模活动试图传播任何特定的移动恶意软件家族。

1.png

2020 年第三季度至 2021 年第三季度针对卡巴斯基移动解决方案用户的攻击次数

然而,第三季度研究人员也有一些有趣的发现。因此,修改后的WhatsApp版本之一FMWhatsApp 16.80.0包含了木马Triada和一个广告SDK。具有扩展功能的 WhatsApp 构建的流行使该木马在本季度移动恶意软件排名中名列第五。

在第三季度,出现了新的木马家族,通过 Google Play 传播。除了Trojan.AndroidOS.Jocker 、 Trojan.AndroidOS.MobOk(让用户注册付费订阅)和 Trojan-Dropper.AndroidOS.Necro(从攻击服务器下载有效载荷)外又增加了两个。第一个包括Trojan.AndroidOS.Fakeapp 变种的诈骗应用程序,利用社交支付的主题进行欺诈;第二个是快速增长的家族木马——PSW.AndroidOS.Facestealer,它窃取Facebook账户数据。

移动银行木马也在不断发展,例如,在韩国活跃的 Trojan-Banker.AndroidOS.Fakecalls 家族采用了一个奇怪的技巧:如果用户尝试致电银行,恶意软件会断开真正的电话并播放存储在木马体内的预先录制的接线员进行响应。

移动攻击趋势统计

2021年第三季度,卡巴斯基检测到676190个恶意安装包,比上一季度减少了209915个,比2020年第三季度减少了445128个。

2.png

2020 年第三季度至 2021 年第三季度检测到的恶意安装包数量

按类型划分的移动恶意软件

3.png

2021 年第二季度和第三季度按类型划分的新检测到的移动恶意软件的分布

2021 年第三季度检测到的所有威胁中有三分之二来自 RiskTool 应用程序 (65.84%),其份额增长了 27.37 %。绝大多数检测到的此类应用程序 (91.02%) 都属于 SMSreg 家族。

广告软件以 21.51%位居第二,低于上一季度。研究人员最常遇到的恶意对象来自 AdWare.AndroidOS.FakeAdBlocker(占该类别中所有检测到的威胁的 34.29%)、AdWare.AndroidOS.HiddenAd(30.66%)和 AdWare.AndroidOS.MobiDash(8.81%)。

排名前 20 的移动恶意软件程序

请注意,下面的恶意软件排名不包括风险软件和潜在的不需要的软件,如RiskTool或广告软件。

4.png

受此恶意软件攻击的唯一用户占卡巴斯基移动解决方案所有受攻击用户的百分比

第三季度前20名中的前10名威胁是之前的排名中已经提到的。

和以前一样,DangerousObject.Multi.Generic (33.02%) 位居第一,这是研究人员通过云技术检测到的恶意软件的结论。每当防病毒数据库缺乏检测恶意软件的数据时,这项技术就会发挥作用,但云已经包含有关该对象的信息。这基本上就是检测最新恶意软件类型的方法。

向短期付费号码发送短信的Trojan-SMS.AndroidOS.Agent.ado已经从第三位攀升到第二位(6.87%)。

第三名是 Trojan.AndroidOS.Whatreg.b(4.41%),它允许攻击者使用受害者的电话号码注册由他们独立控制的新 WhatsApp 帐户。

Triada 家族木马位列第四、第五和第十三。他们在受感染的设备上下载并执行其他恶意软件。Triada 的受害者经常遭受Trojan.AndroidOS.Whatreg.b 以及 Trojan-Downloader.AndroidOS.Necro.d(第 9 名,3.56%)、Trojan-Downloader.AndroidOS.Gapac.e(第 16 名,1.71%)和Trojan-Dropper.AndroidOS.Agent.rp (第 17 名,1.66%)木马的攻击,所有这些都可能属于同一个活动。

Trojan.AndroidOS.Hiddad.gx (3.70%) 是烦人的广告来源,上升至第六位。

排名第七的是DangerousObject.AndroidOS.GenericML (3.68%),这些样本已被加入恶意名单中,会被系统识别为恶意文件。

恶意软件 Trojan.AndroidOS.Agent.vz(3.63%)与 Triada 类似,是各种木马感染链中的重要一环,下降到第八位。

排在第十位和第十五位的都属于Trojan-Dropper.AndroidOS.Hqwar 家族,这是一个用于在目标设备上解压和执行各种银行木马的投放器。

本季度新出现的木马SMS.AndroidOS.Fakeapp.b 排在第十一位(3.35%),这种移动恶意软件可以发送短信、呼叫预设号码、显示广告,隐藏图标,大多数被木马攻击的用户来自俄罗斯。

使用户注册付费服务的 Trojan.AndroidOS.MobOk.ad (3.13%) 跌至第 12 位。广告软件下载程序Trojan-Downloader.AndroidOS.Agent.kx (2.21%) 上升至第14位。

Exploit.AndroidOS.Lotoor.be (1.66%) 是一种用于将设备权限提升到超级用户级别的漏洞,排在第 18 位。该家族的成员通常与其他广泛传播的恶意软件(如 Triada 和 Necro)捆绑在一起。

另一个新出现的木马Trojan.AndroidOS.Fakeapp.dn (1.64%)排名19。这是一个利用社交支付主题的诈骗应用程序,它会打开虚假页面,提示用户提供他们的个人数据并支付费用。

Trojan-SMS.AndroidOS.Prizmes.a (1.53%)排在20,它以录音机的名义预装在一些 Android 设备上。

移动恶意软件的全球分布

5.png

2021年第三季度移动恶意软件的全球分布

受移动恶意软件攻击的用户比例排名前 10 位的国家/地区:

6.png

在2021 年第三季度,排名第一的是伊朗 (20.14%),其主要威胁是 AdWare.AndroidOS.Notifyer 和 AdWare.AndroidOS.Fyben 这两个烦人的广告软件模块。

沙特阿拉伯(17.84%)位居第二,AdWare.AndroidOS.HiddenAd 和 AdWare.AndroidOS.FakeAdBlocker 广告软件最常见。

中国 (17.07%) 位居第三,Trojan.AndroidOS.Najin.a 是其传播最广泛的木马。

手机银行木马

研究人员在报告期内检测到 12097 个手机银行木马安装程序,比第二季度减少 12507 个,同比减少 22813 个。

占比最大的是 Trojan-Banker.AndroidOS.Agent(占检测到的所有银行木马的 46.72%),接下来是Trojan-Banker.AndroidOS.Bian(16.18%)和 Trojan-Banker.AndroidOS.Anubis(8.20%)。

7.png

2020 年第三季度至 2021 年第三季度卡巴斯基检测到的手机银行木马安装包数量

十大最常见的移动银行

8.png

受此恶意软件攻击的唯一用户占遇到银行威胁的所有卡巴斯基移动安全解决方案用户的百分比

在 2021 年第三季度,Anubis 家族的 Trojan-Banker.AndroidOS.Anubis.t (16.77%) 在统计的移动银行木马排名中排名第一,排在第二位 (11.17%) 和第十位 (2.81%) 的是 Svpeng 家族的银行家,Bian家族排名第三(9.08%)和第九(2.83%)。

9.png

2021年第三季度移动银行威胁的地理分布

受手机银行木马攻击的用户比例排名前 10 位的国家:

10.png

受手机银行木马攻击的唯一用户占该国所有卡巴斯基移动安全解决方案用户的百分比

在2021年第三季度,西班牙受到移动金融威胁的用户数量最大(1.02%)。在该国检测到的流行银行木马是 Trojan-Banker.AndroidOS.Bian.h(占检测到的所有银行木马的 33.55%),奥地利 (0.44%) 位居第二, Bian 家族代表 — Trojan-Banker.AndroidOS.Bian.f (96.02%) 占比最大,克罗地亚 (0.43%) 位居第三,Bian.f (97.59%) 是其分布最广的银行木马。

移动勒索软件木马

在 2021 年第三季度,研究人员发现了6157个移动勒索软件木马安装包,比上一季度增加了2534个,比2020年第三季度增加了635个。

11.png

2020年第三季度- 2021年第三季度卡巴斯基检测到的移动勒索软件安装程序数量

十大最常见的手机勒索软件

12.png

受恶意软件攻击的唯一用户占所有受勒索软件木马攻击的卡巴斯基移动安全解决方案用户的百分比

与第二季度相同,在这次勒索软件木马排名中, Trojan-Ransom.AndroidOS.Pigetrl.a位居第一,占所有受攻击用户的 51%,它的大部分攻击(92%)针对的是俄罗斯用户。

13.png

2021年第三季度移动勒索软件木马的地理分布

受移动勒索软件木马攻击的用户比例排名前 10 位的国家:

14.png

受勒索软件木马攻击的唯一用户占该国所有卡巴斯基移动安全解决方案用户的百分比

被移动勒索软件木马攻击的用户数量最多的国家与第二季度相同:哈萨克斯坦(0.57%),瑞典(0.22%)和吉尔吉斯斯坦(0.21%)。其中,Trojan-Ransom.AndroidOS.Rkor 家族木马是最常见的威胁。

abstract_digits_cell-1200x600.jpg

与上一季度相比,攻击者的活跃程度有所下降,移动攻击的数量下降到960万。研究人员没有看到任何新的大规模活动试图传播任何特定的移动恶意软件家族。

1.png

2020 年第三季度至 2021 年第三季度针对卡巴斯基移动解决方案用户的攻击次数

然而,第三季度研究人员也有一些有趣的发现。因此,修改后的WhatsApp版本之一FMWhatsApp 16.80.0包含了木马Triada和一个广告SDK。具有扩展功能的 WhatsApp 构建的流行使该木马在本季度移动恶意软件排名中名列第五。

在第三季度,出现了新的木马家族,通过 Google Play 传播。除了Trojan.AndroidOS.Jocker 、 Trojan.AndroidOS.MobOk(让用户注册付费订阅)和 Trojan-Dropper.AndroidOS.Necro(从攻击服务器下载有效载荷)外又增加了两个。第一个包括Trojan.AndroidOS.Fakeapp 变种的诈骗应用程序,利用社交支付的主题进行欺诈;第二个是快速增长的家族木马——PSW.AndroidOS.Facestealer,它窃取Facebook账户数据。

移动银行木马也在不断发展,例如,在韩国活跃的 Trojan-Banker.AndroidOS.Fakecalls 家族采用了一个奇怪的技巧:如果用户尝试致电银行,恶意软件会断开真正的电话并播放存储在木马体内的预先录制的接线员进行响应。

移动攻击趋势统计

2021年第三季度,卡巴斯基检测到676190个恶意安装包,比上一季度减少了209915个,比2020年第三季度减少了445128个。

2.png

2020 年第三季度至 2021 年第三季度检测到的恶意安装包数量

按类型划分的移动恶意软件

3.png

2021 年第二季度和第三季度按类型划分的新检测到的移动恶意软件的分布

2021 年第三季度检测到的所有威胁中有三分之二来自 RiskTool 应用程序 (65.84%),其份额增长了 27.37 %。绝大多数检测到的此类应用程序 (91.02%) 都属于 SMSreg 家族。

广告软件以 21.51%位居第二,低于上一季度。研究人员最常遇到的恶意对象来自 AdWare.AndroidOS.FakeAdBlocker(占该类别中所有检测到的威胁的 34.29%)、AdWare.AndroidOS.HiddenAd(30.66%)和 AdWare.AndroidOS.MobiDash(8.81%)。

排名前 20 的移动恶意软件程序

请注意,下面的恶意软件排名不包括风险软件和潜在的不需要的软件,如RiskTool或广告软件。

4.png

受此恶意软件攻击的唯一用户占卡巴斯基移动解决方案所有受攻击用户的百分比

第三季度前20名中的前10名威胁是之前的排名中已经提到的。

和以前一样,DangerousObject.Multi.Generic (33.02%) 位居第一,这是研究人员通过云技术检测到的恶意软件的结论。每当防病毒数据库缺乏检测恶意软件的数据时,这项技术就会发挥作用,但云已经包含有关该对象的信息。这基本上就是检测最新恶意软件类型的方法。

向短期付费号码发送短信的Trojan-SMS.AndroidOS.Agent.ado已经从第三位攀升到第二位(6.87%)。

第三名是 Trojan.AndroidOS.Whatreg.b(4.41%),它允许攻击者使用受害者的电话号码注册由他们独立控制的新 WhatsApp 帐户。

Triada 家族木马位列第四、第五和第十三。他们在受感染的设备上下载并执行其他恶意软件。Triada 的受害者经常遭受Trojan.AndroidOS.Whatreg.b 以及 Trojan-Downloader.AndroidOS.Necro.d(第 9 名,3.56%)、Trojan-Downloader.AndroidOS.Gapac.e(第 16 名,1.71%)和Trojan-Dropper.AndroidOS.Agent.rp (第 17 名,1.66%)木马的攻击,所有这些都可能属于同一个活动。

Trojan.AndroidOS.Hiddad.gx (3.70%) 是烦人的广告来源,上升至第六位。

排名第七的是DangerousObject.AndroidOS.GenericML (3.68%),这些样本已被加入恶意名单中,会被系统识别为恶意文件。

恶意软件 Trojan.AndroidOS.Agent.vz(3.63%)与 Triada 类似,是各种木马感染链中的重要一环,下降到第八位。

排在第十位和第十五位的都属于Trojan-Dropper.AndroidOS.Hqwar 家族,这是一个用于在目标设备上解压和执行各种银行木马的投放器。

本季度新出现的木马SMS.AndroidOS.Fakeapp.b 排在第十一位(3.35%),这种移动恶意软件可以发送短信、呼叫预设号码、显示广告,隐藏图标,大多数被木马攻击的用户来自俄罗斯。

使用户注册付费服务的 Trojan.AndroidOS.MobOk.ad (3.13%) 跌至第 12 位。广告软件下载程序Trojan-Downloader.AndroidOS.Agent.kx (2.21%) 上升至第14位。

Exploit.AndroidOS.Lotoor.be (1.66%) 是一种用于将设备权限提升到超级用户级别的漏洞,排在第 18 位。该家族的成员通常与其他广泛传播的恶意软件(如 Triada 和 Necro)捆绑在一起。

另一个新出现的木马Trojan.AndroidOS.Fakeapp.dn (1.64%)排名19。这是一个利用社交支付主题的诈骗应用程序,它会打开虚假页面,提示用户提供他们的个人数据并支付费用。

Trojan-SMS.AndroidOS.Prizmes.a (1.53%)排在20,它以录音机的名义预装在一些 Android 设备上。

移动恶意软件的全球分布

5.png

2021年第三季度移动恶意软件的全球分布

受移动恶意软件攻击的用户比例排名前 10 位的国家/地区:

6.png

在2021 年第三季度,排名第一的是伊朗 (20.14%),其主要威胁是 AdWare.AndroidOS.Notifyer 和 AdWare.AndroidOS.Fyben 这两个烦人的广告软件模块。

沙特阿拉伯(17.84%)位居第二,AdWare.AndroidOS.HiddenAd 和 AdWare.AndroidOS.FakeAdBlocker 广告软件最常见。

中国 (17.07%) 位居第三,Trojan.AndroidOS.Najin.a 是其传播最广泛的木马。

手机银行木马

研究人员在报告期内检测到 12097 个手机银行木马安装程序,比第二季度减少 12507 个,同比减少 22813 个。

占比最大的是 Trojan-Banker.AndroidOS.Agent(占检测到的所有银行木马的 46.72%),接下来是Trojan-Banker.AndroidOS.Bian(16.18%)和 Trojan-Banker.AndroidOS.Anubis(8.20%)。

7.png

2020 年第三季度至 2021 年第三季度卡巴斯基检测到的手机银行木马安装包数量

十大最常见的移动银行

8.png

受此恶意软件攻击的唯一用户占遇到银行威胁的所有卡巴斯基移动安全解决方案用户的百分比

在 2021 年第三季度,Anubis 家族的 Trojan-Banker.AndroidOS.Anubis.t (16.77%) 在统计的移动银行木马排名中排名第一,排在第二位 (11.17%) 和第十位 (2.81%) 的是 Svpeng 家族的银行家,Bian家族排名第三(9.08%)和第九(2.83%)。

9.png

2021年第三季度移动银行威胁的地理分布

受手机银行木马攻击的用户比例排名前 10 位的国家:

10.png

受手机银行木马攻击的唯一用户占该国所有卡巴斯基移动安全解决方案用户的百分比

在2021年第三季度,西班牙受到移动金融威胁的用户数量最大(1.02%)。在该国检测到的流行银行木马是 Trojan-Banker.AndroidOS.Bian.h(占检测到的所有银行木马的 33.55%),奥地利 (0.44%) 位居第二, Bian 家族代表 — Trojan-Banker.AndroidOS.Bian.f (96.02%) 占比最大,克罗地亚 (0.43%) 位居第三,Bian.f (97.59%) 是其分布最广的银行木马。

移动勒索软件木马

在 2021 年第三季度,研究人员发现了6157个移动勒索软件木马安装包,比上一季度增加了2534个,比2020年第三季度增加了635个。

11.png

2020年第三季度- 2021年第三季度卡巴斯基检测到的移动勒索软件安装程序数量

十大最常见的手机勒索软件

12.png

受恶意软件攻击的唯一用户占所有受勒索软件木马攻击的卡巴斯基移动安全解决方案用户的百分比

与第二季度相同,在这次勒索软件木马排名中, Trojan-Ransom.AndroidOS.Pigetrl.a位居第一,占所有受攻击用户的 51%,它的大部分攻击(92%)针对的是俄罗斯用户。

13.png

2021年第三季度移动勒索软件木马的地理分布

受移动勒索软件木马攻击的用户比例排名前 10 位的国家:

14.png

受勒索软件木马攻击的唯一用户占该国所有卡巴斯基移动安全解决方案用户的百分比

被移动勒索软件木马攻击的用户数量最多的国家与第二季度相同:哈萨克斯坦(0.57%),瑞典(0.22%)和吉尔吉斯斯坦(0.21%)。其中,Trojan-Ransom.AndroidOS.Rkor 家族木马是最常见的威胁。

据BleepingComputer网站报道,网络攻击者已经开始利用最新的新型冠状病毒变种——奥密克戎(Omicron)进行网络钓鱼,将其用作恶意电子邮件的“诱饵”。

奥密克戎作为最新的毒株,科学家担心其具有高传染性,以及现有疫苗可能无效,这一话题在全球引发关注。而攻击者能迅速适应最新趋势和热门话题,利用人们对奥密克戎的担忧和恐惧,增加相关钓鱼邮件的打开机率。

英国消费