四月威胁情报态势报告.pdfVIP

腾讯反病毒实验室 哈勃分析系统 四月威胁情报态势报告 ——恶意手机号及短信篇 报告编号：2016第1期 发布时间：2016年5月 目录 一、 报告概述1 1． 关于我们1 2． 关于本报告1 二、 木马数据概述2 三、 手机号情报及归属地分 2 四、 短信情报及木马分类3 1． 盗号木马4 2． 扣费木马5 3． 后门木马5 五、 扣费渠道情报6 1． 经运营商扣费6 2． 经第三方支付扣费7 六、 总结与建议8 一、报告概述 威胁情报，指的是对计算机系统 （包括但不限于大型机、服务站、个人电脑、手机等移 动设备、嵌入式设备等）中，可能对使用者产生威胁的程序、数据、流量等，进行感知、识 别、提取、汇总后归纳而成的情报。 随着恶意产业的不断发展，在传统的基于恶意代码和特征的打击方式之外，基于威胁情 报的恶意威胁检测和防御的方法正在兴起，并成为近几年的热门方向。 在这个背景下，腾讯反病毒实验室哈勃分析系统推出 “威胁情报态势报告”系列报告， 目的是在安全行业内交流我们对于威胁情报的认识，分享我们对于威胁情报的利用方法，同 时曝光恶意木马作恶手法和恶意产业资源，携手各安全厂商共同开展打击。 1．关于我们 腾讯反病毒实验室是腾讯旗下的安全特色团队，从 “自研引擎能力、哈勃分析系统、 APT前沿技术分析”等多个角度入手，通过建立 “安全查杀能力、热点快速响应能力及病 毒样本分析”等全面、系统、一体化的防护措施，为腾讯安全实力进一步提供了强大技术支 撑。独立开发的杀毒引擎以及云引擎已经获得了VB100、AV-C、西海岸、AV-TEST等多家 国际著名评测机构认证，并且已被用于腾讯电脑管家和手机管家等安全产品之中。 哈勃分析系统是腾讯反病毒实验室依托多年技术积累自主研发的一套样本安全检测系 统，支持对Windows程序、安卓应用、文档、脚本等文件类型的分析检测。哈勃系统采用 虚拟运行环境，在该环境中使用行为激发系统诱使样本运行出与真实环境一致的动态行为， 并且对其执行过程进行完整捕获。通过重点监控其中的高可疑异常行为，同时结合行为判定、 静态特征判定、大数据学习引擎判定等多种手段，哈勃系统可以有效地识别出恶意样本。哈 勃分析系统拥有调度灵活的大规模分析集群，实现了千万级的样本日吞吐量，可以对海量样 本进行高效的筛选和识别。 2．关于本报告 本报告的子主题是 “恶意手机号及短信”。 哈勃分析系统从四月全月来自国内外各类收集渠道、进入系统分析的样本中，整理了样 本模拟执行时发送的全部恶意短信，然后通过短信相关的手机号码、恶意短信类别、内容等 多个维度，对相关威胁情报进行了统计和分析。 随着智能手机的迅速普及，恶意产业也逐渐渗透进入这一领域，恶意安卓应用的增长呈 爆发态势。而在其使用的作恶手法中，收发恶意短信开发难度较低，运行时基本不受机型、 网络等环境限制，同时容易进行伪装和隐藏，因而成为大量恶意应用经常使用的手法。通过 对此类威胁情报进行分析，有助于对此恶意手法的了解，同时可以对类似的恶意应用进行识 别和针对性的打击。 1 二、木马数据概述 此前，在BitDefender、F-Secure等安全厂商各自发布的2015年移动端安全报告中，发 送恶意短信的木马频频出现，数量据统计占全部恶意软件的 10%至15%不等。 4月全月，从哈勃分析系统分析的样本中，具有恶意短信行为的木马总共约6万，平均 每天能发现2千个新的变种，每7个恶意软件中就有1个在模拟环境中会尝试发送恶意短信。 经过与相关客户端数据进行比较，这些木马分布范围极广，平均每日有约 150万部手机会从 短信、浏览器、社交网络的链接中下载到此类木马，可见木马已经在很大程度之上影响到了 我们的日常生活，其中哪怕有很少比例的用户因为疏忽等各种原因安装运行了木马，造成的 损失也无法估量。 三、手机号情报及归属地分 当木马通过发送恶意短信来实现自己不可告人的目的之时，也同时暴露了自己的把柄。 手机号码是短信中必不可少的组成部分，同时手机号的管理权限被掌握在运营商中，并非无 限的资源，无法随意自由获取，因此从中可以发