騰訊安全半年報揭秘：用戶手機如何成了黑產(chǎn)掘金機器

陸英

“被坑了，錢提不出來。”

“完了，我的也是。”

小志和同學(xué)大眼瞪小眼，本想靠著課余時間在手機上做做任務(wù)賺點零花錢，沒料想社會滿滿的都是套路。

據(jù)小志講身邊有不少同學(xué)都在做這個“兼職”。但是最近，好幾個平臺都出現(xiàn)了無法提現(xiàn)、余額凍結(jié)等問題，因此做的人也就越來越少了。

然而，小志并沒有意識到，自己口中的這份“兼職”，背后卻有著一條完整的黑色產(chǎn)業(yè)鏈，不法分子利用他們作弊刷量，以低廉的成本去騙取APP開發(fā)者的推廣費用。此前也有過諸多公開報道，在學(xué)生群中，充斥著“每天玩手機就能賺錢”等各種蠱惑性的刷量信息。

而事實上，這只是互聯(lián)網(wǎng)黑產(chǎn)的冰山一角。近期騰訊安全發(fā)布的《2018上半年互聯(lián)網(wǎng)黑產(chǎn)研究報告》列舉了七大互聯(lián)網(wǎng)黑產(chǎn)鏈條，隨著技術(shù)的迭代，網(wǎng)絡(luò)犯罪分子的攻擊手段也在不斷翻新，受到攻擊的行業(yè)也在不斷增多，互聯(lián)網(wǎng)安全環(huán)境正面臨著嚴(yán)峻的挑戰(zhàn)。

1.警惕手機變“掘金機器”

“小志所接觸到的是比較常見APP刷量活動，在這種“眾籌肉刷”的模式之前，不法分子更多地是采用機刷。利用模擬器偽裝真實用戶，或者把大量手機設(shè)備集中在一起群控。”網(wǎng)絡(luò)安全專家表示，“刷量的出現(xiàn)源于APP開發(fā)者的推廣需求，為了讓自己的應(yīng)用能夠安裝到更多用戶的手機之上，開發(fā)者會尋求推廣渠道并為此付費。”

利益驅(qū)使之下，部分推廣人員就做起了刷量的生意。知情人士透露，做大的刷量代理，月入百萬也不是不無可能。但由于人工操作效率還是較低，所以有不少“聰明”的黑產(chǎn)團隊開始動起了歪腦筋。

騰訊安全發(fā)布的報告指出，2018年市面上出現(xiàn)一批木馬自動刷量平臺。木馬SDK通過合作的方式植入到一些用戶應(yīng)用中進行傳播，然后通過云端控制系統(tǒng)下發(fā)任務(wù)到用戶設(shè)備中自動執(zhí)行刷量操作。

這就是一條典型的黑產(chǎn)鏈條，除此之外，報告還列出了移動端的其他三種：暗扣話費、廣告流量變現(xiàn)以及手機應(yīng)用分發(fā)等黑產(chǎn)。

這些互聯(lián)網(wǎng)黑產(chǎn)，給用戶和軟件開發(fā)者帶來了巨大損失。騰訊手機管家統(tǒng)計的2018年上半年手機病毒八大類型對比中，資費消耗和惡意扣費合計占比60.55 %，隱私獲取占到20.4 %，余下的還有流氓行為、誘騙欺詐和系統(tǒng)破壞等。

對于普通用戶層面的侵害，概括起來主要是兩方面：財產(chǎn)和隱私安全。財產(chǎn)方面，比如暗扣話費，數(shù)據(jù)顯示每天互聯(lián)網(wǎng)上新增的病毒變種超過2 200個，每天都在影響數(shù)百萬用戶。業(yè)內(nèi)一致把這些惡意應(yīng)用稱為“掘金機器”，其多是偽裝成色情游戲、聊天交友等應(yīng)用誘惑用戶下載安裝，之后便開始掠奪用戶話費。按照人均消耗幾十元話費估算，一天就可牟取數(shù)千萬暴利。據(jù)騰訊安全反欺詐實驗室觀測，這些惡意軟件的影響近期又呈現(xiàn)出了增長勢頭。

另外是隱私安全，網(wǎng)上流傳有一句話，“互聯(lián)網(wǎng)之下，你我皆是透明人”，就是對用戶隱私安全現(xiàn)狀的描述。比如令蘋果用戶頭大的博彩短信，有知情人士表示，極有可能你的個人信息已經(jīng)在黑市被賣掉了。

現(xiàn)今智能手機已經(jīng)成為人們生活、工作必不可缺的工具之一。而隨著我國“互聯(lián)網(wǎng)+”進程的不斷推進，公共事業(yè)和互聯(lián)網(wǎng)之間的聯(lián)系越來越密切，如移動醫(yī)療服務(wù)、社保服務(wù)、電子身份證和電子駕照等，這些敏感數(shù)據(jù)如果不做好相關(guān)地保護工作，那你的手機真的就如電影里所說，變成了“手雷”。

2.不斷升級迭代的惡意軟件

騰訊安全指出，進入2018年以后這些惡意應(yīng)用變得更加隱蔽、更加普遍且更加難具對抗性。

首先是黑產(chǎn)采用加固方案作為自己的保護傘。騰訊安全反欺詐實驗室通過對病毒樣本分析發(fā)現(xiàn)，使用加固技術(shù)的樣本占比明顯呈現(xiàn)上升趨勢，其中社工欺詐類、惡意廣告類、色情類和勒索類等病毒尤甚。

據(jù)專業(yè)人士介紹，加固技術(shù)開發(fā)的最初目的是用于保護應(yīng)用核心源代碼不被竊取，但隨著病毒對抗的不斷提升，越來越多的病毒開始采用加固來保護自己的惡意代碼不被安全軟件發(fā)現(xiàn)。

其次是黑產(chǎn)所使用的技術(shù)在不斷迭代。據(jù)介紹，云加載技術(shù)是目前惡意軟件開發(fā)者對抗安全軟件的最流行手段。報告里寫到，隨著開發(fā)人員對Android系統(tǒng)架構(gòu)和動態(tài)加載技術(shù)理解的深入，各種代碼熱更新方案和插件優(yōu)化框架被發(fā)明并且免費開源，這為開發(fā)者實施云控作惡提供了技術(shù)基礎(chǔ)。

目前云加載技術(shù)已經(jīng)處于3.0版本，該版本框架病毒開發(fā)者不僅可以通過地域、運營商、機型和設(shè)備等維度限制感染用戶群，其還可以利用VA等虛擬加載技術(shù)徹底剝離惡意代碼，通過一個白框架來按需加載擴展各種惡意功能，普通安全廠商很難再捕獲到病毒的惡意行為。

最后則是黑產(chǎn)開始瞄準(zhǔn)供應(yīng)鏈的薄弱環(huán)節(jié)。無論是從供應(yīng)鏈上游的開發(fā)環(huán)境，還是下游的分發(fā)環(huán)節(jié)入侵的惡意應(yīng)用，他們的隱蔽性正變得更強、潛伏周期更久、清理難度也更高。2018年4月時騰訊安全的TRP-AI反病毒引擎捕獲到一個惡意推送廣告信息的SDK“寄生推“，其感染了超過300多款知名應(yīng)用，潛在用戶數(shù)超2 000萬。

值得注意的是，隨著區(qū)塊鏈、數(shù)字幣的熱度越來越高，互聯(lián)網(wǎng)病毒木馬的重點也開始往這方面轉(zhuǎn)移。再加上移動設(shè)備的性能不斷提升，近期就出現(xiàn)了不少黑產(chǎn)團伙嘗試?yán)檬謾C平臺生產(chǎn)電子貨幣。

比如HiddenMiner潛伏于第三方應(yīng)用市場誘導(dǎo)用戶下載，然后控制用戶手機竊取門羅幣；再如多次發(fā)生的Google play官方應(yīng)用市場中的應(yīng)用包含挖礦惡意代碼。或許未來某一天，我們手中的手機就會變成黑產(chǎn)團伙的“肉雞”。

同移動端一樣，PC端的黑產(chǎn)也是見縫插針。2017年5月爆發(fā)的WannaCry勒索病毒，就是以勒索比特幣為目的，其將被感染計算機中的文件加密，用戶需支付300美元的比特幣才可解鎖。從高校的教學(xué)網(wǎng)絡(luò)到派出所公安網(wǎng)絡(luò)再到電信運營商，據(jù)統(tǒng)計全球范圍內(nèi)有超過150多個國家20多萬計算機被攻擊。正是因此，WannaCry遭到了執(zhí)法部門和安全廠商的聯(lián)合打擊。

與過去無差別的廣撒網(wǎng)戰(zhàn)術(shù)不同，現(xiàn)在“勒索病毒的攻擊對象正變得更加精準(zhǔn)：針對最可能敲詐得手的高價值目標(biāo)精確打擊。有不少攻擊者利用系統(tǒng)漏洞或者釣魚郵件入侵企業(yè)內(nèi)部網(wǎng)絡(luò)，然后選擇高價值的數(shù)據(jù)進行勒索。所以2018年上半年出現(xiàn)了不少教育機構(gòu)、醫(yī)療機構(gòu)、進出口貿(mào)易企業(yè)和制造業(yè)企業(yè)等高價值目標(biāo)的計算機系統(tǒng)被攻擊的事件。

3.讓陽光照進黑暗角落

黑產(chǎn)如此之猖獗，莫非用戶只能任其宰割，拿他一點辦法沒有？答案當(dāng)然是否定的。

對于司法機關(guān)來說，加大對黑產(chǎn)的打擊力度，提高不法分子的犯罪成本刻不容緩。有數(shù)據(jù)顯示，互聯(lián)網(wǎng)黑產(chǎn)已經(jīng)成為世界性難題，美國、英國等發(fā)達國家的網(wǎng)絡(luò)犯罪率已經(jīng)超過傳統(tǒng)犯罪模式。

我國有關(guān)部門已經(jīng)對此給出了足夠重視，2018年年初公安部、最高人民檢察院、最高人民法院以及工信部等部門聯(lián)合舉行了2018年守護者計劃大會，表示將采取聯(lián)合治理的模式，打擊網(wǎng)絡(luò)黑產(chǎn)，共同構(gòu)建“網(wǎng)絡(luò)安全共同體“。

近日，中央電視臺《新聞直播間》欄目報道濰坊青州公安機關(guān)同騰訊電腦管家和騰訊守護者計劃安全團隊，成功偵破一起特大非法控制計算機信息系統(tǒng)案件。案件中的犯罪嫌疑人利用木馬病毒控制389萬用戶的計算機進行靜默挖礦。

據(jù)騰訊安全團隊介紹，該木馬病毒主要是被植入在《絕地求生》游戲外掛、海豚加速器（修改版）、高仿盜版某視頻網(wǎng)站和酷藝影視網(wǎng)吧VIP等程序中，通過網(wǎng)吧聯(lián)盟、論壇、下載站和云盤等渠道進行傳播。

這也就引出了清理工作中的第二股中堅力量———市場上的網(wǎng)絡(luò)安全機構(gòu)。比如說騰訊安全團隊的TRP-AI反病毒引擎，集成TRP-AI反病毒引擎的系統(tǒng)發(fā)現(xiàn)新病毒的能力提升了8.3%。其2018年4月初曾捕獲一款名為“銀行節(jié)日提款機”的惡意木馬，這款木馬在手機中偽裝成正常的支付插件，在用戶不知情的情況下造成資費損耗和隱私泄露。

最后，從個人角度出發(fā)，日常生活中我們每個人都應(yīng)該提高防范意識。不能像開篇講到的刷量事件主人公小志，因眼前蠅頭小利而助長了歪風(fēng)邪氣。最為典型的就是“羊毛黨”，通常情況下互聯(lián)網(wǎng)企業(yè)在進行優(yōu)惠促銷活動之時，最容易遭遇“羊毛黨”的攻擊。另外，“羊毛黨”刷量刷單的賬號造成的虛假繁榮，也會給相關(guān)企業(yè)造成不小損失。

此前有媒體發(fā)表文章提到，免費的就是最貴的，最常見的蹭網(wǎng)背后都有著一條完整的產(chǎn)業(yè)鏈。所以，你以為在“薅”免費的“羊毛”，卻不料別人“薅”的是你的肉身。

綜上不難發(fā)現(xiàn)，互聯(lián)網(wǎng)行業(yè)充斥著形形色色的黑產(chǎn)，你我似乎都已無處可躲。但與其說坐以待斃，不如社會各方共同聯(lián)起手來主動出擊，讓陽光照進黑暗角落，肅清整個互聯(lián)網(wǎng)環(huán)境。此外，即便黑產(chǎn)也在不斷地自我升級，但是從騰訊安全團隊推出的TRP-A反病毒引擎、反挖礦防護、女媧石等技術(shù)和產(chǎn)品來看，目前安全機構(gòu)對于病毒木馬的防范工作已經(jīng)相當(dāng)完善，能夠做到從源頭進行監(jiān)控，防患于未然。