基于阿裡聚安全在2016年1-8月收錄的apk樣本資料,從16個行業分類分别選取了15個熱門應用,共240個應用進行仿冒分析,發現83%的熱門應用存在仿冒,總仿冒量高達8267個,平均每個應用的仿冒量達34個,總感染裝置量達6790萬台。廣東省的仿冒應用感染裝置量最大,占全國的13%。北京市作為首都,仿冒應用感染量也非常大,占全國的7%。
16個行業分類中,社交類應用的仿冒量達4096個,占總仿冒量的49.5%,排名第一。電信類應用的仿冒量占14.2%,排名第二。57%的仿冒應用具有流氓行為、惡意扣費、短信劫持或隐私竊取等惡意行為,其中短信劫持的風險最高。
金融行業中,銀行類仿冒應用占58%,仿冒應用已成為除仿冒網站(釣魚連結)以外的另一大線上欺詐威脅,僞基站是傳播銀行仿冒網站與應用最重要的工具。電信行業的仿冒應用絕大多數具有惡意行為,其中短信劫持行為占比高達72% 。3大營運商之中,中國移動手機營業廳的仿冒量最大,占84%,其中大量通過僞基站傳播。
真假難辨
通過名稱、圖示等次元的僞造,或者使用重打包等手段,使得使用者難以發現仿冒應用,再配合僞基站短信等傳播手段,識别難度很高。
存貨時間長
相對于仿冒網站,仿冒應用一旦安裝以後,長期存活在使用者的裝置中,再利用系統漏洞提權等手法長期運作在裝置背景。
危害程度大
仿冒應用不僅可以通過仿冒界面誘騙使用者資訊,還可以劫持短信,突破短信驗證的防護;背景定制服務,惡意扣費;推廣垃圾應用;甚至背景遠端控制手機等裝置。
仿冒應用整體趨勢
240個熱門應用中,83%存在仿冒,總仿冒量高達8267個,平均每個應用的仿冒量達34個,感染裝置量達6790萬台。2、3月份的仿冒應用量大幅下降,符合黑灰産在春節假期前後的活動規律。
仿冒應用地區分布
2016年,廣東省的仿冒應用感染裝置量最大,占全國的13%;北京、江蘇分别是第二、三位。從資料上看,仿冒應用的感染量與各地區的經濟發達程度和人口密度有關,說明仿冒應用具有普遍性。
仿冒應用行業分布
各行業分類中,社交類應用的仿冒量達4096個,占總仿冒量的49.5%,排名第一。電信類應用的仿冒量排名第二,占總仿冒量的14.2%。電商、影音、遊戲、工具、攝影和金融等6個行業分類,也是仿冒的重災區。出行和影音的仿冒應用平均感染量較大,說明這兩個行業的仿冒應用傳播性更強。
仿冒應用的惡意行為
在發現的仿冒應用樣本中,59%具有惡意行為,對手機使用者的賬号、資金和隐私安全存在較大的威脅。病毒仿冒應用主要具有流氓行為、惡意扣費、短信劫持或隐私竊取等惡意行為,其中短信劫持的風險最高。
金融行業分析
金融行業選取銀行、支付和理财3個子分類,分别選取10個熱門應用進行分析,共發現仿冒應用301個。銀行類仿冒應用占58%,支付類仿冒應用占36%,理财類仿冒應用占6%。金融類仿冒配合短信劫持,可以輕易繞過常見的短信驗證機制。
金融行業分析-案例
在本次分析中,某股份銀行共發現24個仿冒應用,全部具有短信劫持行為,感染裝置量為5182台,感染使用者主要分布在河南、山東和江蘇等省份。該案例中的主要分發管道是應用市場,網盤與僞基站短信。該案例中仿冒網站(釣魚連結)的發現量比仿冒應用更多,達到10倍以上。
電信行業分析
3大營運商中,中國移動手機營業廳的仿冒量最大,占84%。這些仿冒應用主要通過僞基站傳播,群發釣魚短信。電信行業的仿冒應用,絕大多數具有惡意行為,其中短信劫持行為占比高達72%,能夠私自攔截和讀取使用者短信,截獲銀行交易驗證碼,對使用者的資金安全威脅很大,需要特别注意。
僞基站傳播分析-詐騙案例
積分兌換現金是常見的僞基站詐騙手法,其詐騙過程利用了僞基站、釣魚短信、釣魚網站、仿冒應用、網銀、快捷支付等工具。
僞基站傳播分析
僞基站能夠僞裝成電信營運商的服務号,向手機使用者群發釣魚短信,收到的釣魚短信跟正常短信顯示在一起,真假難辨。釣魚網站的仿真度很高,并抓住了人們貪小便宜的弱點,先收集使用者資訊,再引導安裝仿冒應用。
本文來自合作夥伴“阿裡聚安全”,發表于2016年09月22日 10:06.