2016年移动恶意软件威胁榜首:手机广告木马

2016年，卡巴斯基实验室的移动安全产品检测到以下结果：

l 共检测到近4000万次移动恶意软件实施的攻击，共对超过400万台基于安卓的设备进行了保护(2015年，保护的设备数量为260万台)

l 共检测到超过260,000个手机勒索软件木马安装包(同往年相比，增长了近8.5倍)

l 有超过153,000名不同的用户遭受手机勒索软件的攻击(同2015年相比，增加了1.6倍)

l 共检测到超过128,000种手机网银木马(同2015年相比，增长了近1.6倍)

广告木马：你的设备是否已经root?

2016年，传播最广泛的木马类型为广告木马，占排名前20位的移动恶意软件中的16位。

这些木马能够获取设备的root权限，不仅可以让恶意软件在受感染设备上肆意展示广告，导致设备无法正常使用，还能够偷偷安装其它应用。此外，这些木马程序还能够从Google Play购买应用。

很多情况下，木马还能够利用系统中未修补的漏洞进行攻击，因为很多用户并没有安装最新的系统更新。

不仅如此，这些恶意软件还会将其模块安装到系统目录，导致清除感染变得非常困难。有些广告木马甚至还能够感染恢复镜像，这样即使恢复设备到出厂设置，仍然无法清除木马。

这类恶意软件经常出现在官方的Google Play应用商店中，例如，有些木马会伪装成Pokemon GO的游戏指南。这种恶意程序在Google Play上被下载了超过500,000次。我们的产品将这种恶意软件检测为Trojan.AndroidOS.Ztorg.ad.

2016年，共有来自167个国家的153,258名不同的用户遭到勒索软件木马的攻击。同2015年相比，增长了1.6倍。

当今的勒索软件会利用勒索信息覆盖屏幕窗口，使得用户无法使用设备。2016年传播最广泛的手机勒索软件——Trojan-Ransom.AndroidOS.Fusob就使用了这种勒索手段。

这种木马主要攻击德国、美国和英国的用户，同时避免攻击位于独联体和其它周边国家的用户。一旦启动，该木马会检查设备所使用的语言，如果获取的结果不对，木马会停止执行。这种木马幕后的网络罪犯通常会勒索100-200美元以解锁设备。赎金必须通过预付费iTunes礼品卡代码进行支付。

2016年，来自164个国家的超过305,000名用户遭到手机银行木马的攻击。2015年，则是来自137个国家的超过56,000名用户遭到攻击。

在所有遭受手机恶意软件攻击的用户中，来自俄罗斯、澳大利亚和乌克兰的用户遭受手机银行木马攻击的比例最为，位列前三位。

手机银行木马这些年仍然在不断演化。很多木马可以利用工具绕过最新的安卓安全机制，继续从最新版本的安卓操作系统窃取用户信息。同时，这些手机银行木马的开发者在不断给这些工具添加最新的功能。例如，Marcher家族的手机银行木马不仅能够执行常见的银行应用覆盖功能，还能够将用户从金融机构的网站重定向到钓鱼页面。

来自国际刑警组织全球创新总部的专业警官同样为本报告做出了贡献。根据国际刑警组织的调查，暗网仍然是一个吸引网络罪犯进行非法业务和交易的平台。暗网提供匿名性，廉价的服务和以客户为导向的策略，为网络罪犯提供了交流和进行交易的手段。网络罪犯可以通过暗网购买和销售各种产品和服务，包括手机恶意软件工具。手机恶意软件以软件包(即远程访问木马——RAT)、个人解决方案和复杂工具的形式进行销售，就像是那些规模较小的专业公司开发的工具一样，作为“僵尸程序服务”模式的一部分进行销售。此外，手机恶意软件在卖方商店、论坛和社交媒体上同样“颇受关注”。

卡巴斯基实验室美国区高级恶意软件分析师Roman Unuchek总结说:“2016年，能够利用超级用户权限的广告木马数量持续增长。过去一年，这种威胁都位居榜首，而且没有迹象显示这种趋势会发生变化。网络罪犯利用大多数设备不会安装操作系统更新(或者安装得较晚)这一事实，通过古老的、已知的和现成的漏洞利用程序进行攻击。此外，我们还发现，对网络罪犯来说，现在移动领域有一些拥挤，所以他们开始寻找智能手机之外的对象进行攻击。也许从2017年开始，我们将看到从移动设备发起的针对物联网组件的攻击”。

要了解更多关于2016年手机恶意软件演化详情，请浏览Securelist.com上的相关博文。