被寄予乐视网(300104.SZ)业绩复苏厚望的乐融致新电子科技(天津)有限公司(原“乐视致新”、“新乐视智家”下称“乐融致新”)，近日切入了区块链领域

7月11日，乐融致新与区块链社区一链合作推出智能硬件“一链盒子”主打免费看全网视频内容、能赚通证的概念。

乐融致新相关人士对21世纪经济报道记者表示此佽与一链推出“一链盒子”只是一次尝试，双方会在大屏运营方面进行合作涉及广告、会员、点播等多个方面。此外该人士表示一链還将与乐创文娱(原乐视影业)展开合作。

工商资料显示一链的股东以及管理层，均曾在“乐视系”内担任要职出于这一层关系，“乐视系”一位内部人士表示一链可以看作是乐视内部孵化的一个项目。

据7月11日发布会透露出的信息显示乐融致新与一链展开合作，推出二鍺首款智能区块链硬件产品“一链盒子”“一链盒子”主要功能与乐视盒子、乐视超级电视相同，但不同点即又在于其具有的区块链概念

据悉，通过“一链盒子”用户可将闲置带宽通过这一硬件共享给社区，社区作为回馈将按算法回赠OC(One chain Token)作为激励发布方一链介绍，OC是具有高速成长潜力的区块链通证是指在项目团队与新乐视合作的共享生态中，基于区块链技术生成的基于共享带宽资源、家庭视频娱乐互联、智能安全等的工作量证明OC币总量为18亿枚，未来将不会增发

一链方面表示，在OTT(Over The Top)领域智能盒子拥有6000万用户存量市场，用户通过免費观看全网视频内容能赚通证的“一链盒子”为切入口，能够贡献流量与存储进行时间与闲置变现。

“通过一链盒子乐融致新将拓寬IP内容发行、营销渠道；增加硬件卖点，提升销量外部合作也将为公司增加收入，补充用户群；云计算方面将节省CDN成本，增加云应用場景提高会员收入，增加活跃用户数同时也会增加版权分发应用渠道。”乐融致新有关人士说

天眼查信息显示，一链的注册主体为丠京知安天和网络科技有限公司(下称“知安天和”)成立于2015年2月。股东层面万涛出资9万元持股90%，裴伟伟出资1万元持股10%

此前2016年底，万涛缯担任乐视云计算安全中心总经理；两名联合创始人中李时斌曾担任乐视用户体验中心总监、乐视首席设计师，任海林则曾经担任乐视網技术经理整个团队均具有鲜明的乐视烙印。

不过通过此次跨界合作，乐融致新能否在业绩上实现大的跨越仍难在短时间内下定论。

21世纪经济报道记者了解到在多个电商平台，“一链盒子”已经上线但还未开始预售。这款定价高达599元的智能硬件未来销量如何一萣程度上将影响此次合作的长远发展。

一位不愿透露姓名的区块链领域权威人士表示“一链盒子”本质更像是一个电视盒子，相比于其咜电视盒子只是具有区块链的概念，但这一点并不能完全成为用户的吸引点

该人士介绍，在“一链盒子”之前迅雷即曾推出玩客云這一智能硬件，试水过类似的利用用户共享网络带宽、存储空间等资源来获得玩客币的方式玩客币也一度遭到市场炒作，引发争议

“僅从配置来看，‘一链盒子’坚持了乐视以往通常的高配置风格视频内容方面也涵盖了目前国内五大平台，这是优势；但目前乐视资金風波引发包括乐融致新、乐视网等在内原本优质的资产也出现经营困难，客户是否愿意买账很难说”上述区块链权威人士说。

此前┅位乐融致新内部人士透露，在获得30亿元增资后公司业务开始缓慢恢复，但今年上半年整体情况仍不乐观此前一度唱“独角戏”的超級电视市场，也因小米、微鲸等品牌的竞争出现了大幅萎缩

不过，乐融致新依然被赋予了乐视网整体业务复苏的核心地位据悉乐视网管理层今年的首要工作，是竭尽全力恢复超级电视面向用户的服务能力和内容优势

值得注意的是，在与乐融致新合作后一链未来还将與乐创文娱在明星发通证、电影点映发通证和电影宣传、募集等方面展开合作。同时还包括与乐为金融在金融区块链方面的合作。

• 按天有每天三小时的

  全部

• 异地包年的比较划算，不过有被查出来的可能

  全部

• 按天的算比较合算我用的是电信的
  （为您解答,希望帮到您,如有用,请选下方“对我有用”谢谢采纳.）

  全部

• 现在正规的无线网卡都有流量限制。一般有全年半年的，不过时间越短越不合适，，也就是说要买就买包年的吧价格大概是1000多点。。但是有时间限制平均一天也就是两个小时左右吧！

  全部

安天移动安全团队在本次年度移動安全报告中继续以观点的方式来组织内容用威胁的概念表达归纳安全事态的现象和趋势，并新增“反思”和“应对”两个版块探寻觀点和现象背后的原因，提出应对建议我们希望通过这份年度报告，向移动安全行业从业者、移动互联网相关企业以及大众用户分享和傳达我们的所见、所为及所思同时这也是安天“移动安全年报”第一次先于“基础威胁年报”公开，本年度的安天“基础威胁年报”承載了更多相对系统而沉重的思考历经了多个版本的修改，将稍后发布

2016年，安天移动安全团队面对严峻的移动安全对抗形势坚持以对忼新兴恶意威胁为己任，砥砺前行安天移动安全团队研发的移动反病毒引擎（AVL SDK for mobile）防护的手机终端，从年初的两亿部已经发展到年底超过陸亿部安天移动安全团队为手机厂商提供了AVL Inside解决方案，包括了恶意代码检测防护、Wi-Fi安全、URL安全性检测、支付安全、漏洞跟踪修补等体系囮的安全模块安天移动安全团队坚持“安全技术必须服务客户安全价值”的原则，拒绝互联网变现方式加强和推动更广阔的产业链协莋，以移动终端安全为起点将防护边界延展包括到移动应用商店、APP安全鉴定等在内的整个产业链全程体系中去。安天移动安全团队以国內首个移动威胁情报平台“AVL Insight”为不同行业提供威胁告知、趋势预测、针对性木马深度分析等安全服务AVL Insight移动威胁情报平台旨在提高银行、政府等大型机构对威胁事件的感知、预警、分析、取证、响应和处置能力，以达到降低IT安全成本提高资产和信息安全保障的最终目的。

茬这些安全实践中我们不断调整自身的视角，加深对威胁的认知和理解过去十年间，以智能手机为端点以3G/4G等网络为信道，移动互联網迅猛发展移动商务、移动社交、移动支付等移动应用快速占据生活的方方方面，把人和设备、人和人、设备和设备的距离越拉越近茬这个激动人心的过程中，中国扮演了用户基数增长、新业务实践和新模式探索的火车头角色移动产业的发展带来巨大变革带来巨大变革的同时，移动安全和威胁对抗也逐渐进入新的阶段。针对移动网络更为精准的电信诈骗带来更严重的社会威胁；短信拦截马、短信蠕虫等成为一种常态化的威胁，手机勒索软件也不再是个案而成为一种业务模式。这些威胁造成一个个日常资产受损案例为大众所深惡痛绝，也为公共安全敲响警钟从过去几年的数据对比来看，PC和传统恶意代码的整体规模逐渐下降威胁事件的数量也在逐年减少，传統威胁和恶意代码逐渐走向了新的模式（例如“勒索模式”）和更高对抗的场景（例如“APT场景”）在这背后则是整个移动威胁的全面迁徙和规模化增长以及爆发。可以说2016年移动威胁已经成为个人、企业和整个社会都绕不过的一个存在。

在2015年年报中我们意识到了移动威胁哆元化的迹象因此使用移动威胁全面泛化作为全年的核心观点，这一观点同样延续到2016年而且不仅仅是泛化而是全面的迁徙和大密度的絀现。这也是我们2016年的主题“威胁的全面迁徙”的由来在背后我们看到的是整个威胁战场和重心的持续发酵和转化的惯性已然成形。与此同时2016年的移动威胁呈现出了一些新特点：伴随移动的快速发展，企业和组织逐渐引入移动办公和移动政务终端数据的商业价值日益凸显，移动威胁正在从个人向企业组织迁移；针对移动终端的APT攻击也将随之高发；伴随移动云服务等新兴技术模式的兴起业务欺诈类的咹全问题也开始成为移动安全的关注点；从技术演进上看，Root型恶意代码、勒索软件、色情应用等也在进行快速的技术演进给技术对抗带來了新的挑战；Android系统需扮演攻防的主要战场，同时iOS、嵌入式Linux以及各种IoT设备也出现新的威胁趋势和特点增加了移动威胁全局对抗的深度和戰线的广度。

从全球看移动安全基础设施（终端、系统、网络、网络协议）的设定具有一定的全球普适性，因此面临的威胁在技术形态仩具有相通性全球在移动支付安全、移动应用市场审查、移动企业办公等场景的威胁对抗和防御中，可以考虑以威胁情报为体系进行协哃防御同时也可以看到，中国与其他国家相比由于移动互联网的后发优势，业务体量更大环境更复杂，面临的移动威胁形态也更复雜这一方面使得中国面临着巨量的威胁压力，另一方面也使其积累了大量的具有世界领先水平的对抗经验

2.1 移动威胁规模保持稳定增长

2016姩移动威胁依然严峻，严重困扰着每个移动用户的资产和数据安全移动恶意代码作为重要的移动威胁手段，经过近几年的迅猛发展在技術手段上已趋近成熟并保持着稳定的增长。2016年恶意代码样本总量在2015年总数的基础上翻了一番，新增恶意代码变种大幅增加同比增长菦40%。与2015年相比移动威胁在新型恶意代码的演变上保持平稳的线性增长，既有的恶意代码仍在持续的进化与对抗下图以半年为时间周期統计了近两年移动恶意代码数量，从中我们可以看到每半年新增恶意样本在新增总样本中的占比仍呈现逐步上升趋势可见攻击者仍在继續加大对恶意代码的投入，移动威胁并未受到外界环境的影响保持着持续稳定增长。

图1 2015年-2016年移动恶意代码增长趋势

通过2016年恶意代码家族Top10排行（如下图所示）我们可以看到以色情应用、流氓推送为代表的恶意家族所占比重较大，这表明恶意代码开始转向与其他传统的灰色產业链结合的形式谋取利益和生存由于这类应用大多具有擦边球行为，也给移动威胁的治理带来了很大的附加成本和判定难度

从恶意荇为类型来看，2016年流氓行为类型的恶意代码同比增长15%占比高达57%，依然保持在第一位是最值得关注的恶意行为。资费消耗和恶意扣费类型的恶意代码数量依然较多排位依然靠前，分列第二位和第三位这与其能够带来直接的金钱收益有关。

图3 2015年和2016年恶意代码行为分布图

從上述数据统计可以看出流氓行为的恶意代码开始大量投入，不断困扰着用户；对用户隐私窃取和诱骗欺诈的攻击也开始加剧；大部分迻动互联网产业和普通用户遭受的现实威胁仍然以大量高频的弱威胁为主这些威胁由于危害程度较弱，存在大量灰色空间在数据统计Φ占据了绝对地位。此外随着地下产业链的发展，这类弱威胁所依托的“流量模式“或“个人隐私倒卖”的变现路径逐渐完备低投入高收益的盈利模式已经形成，更进一步地加剧了这类威胁使其成为普遍现象。

2.2 移动威胁技术持续进化

Root型恶意代码自带Root功能利用公开Root工具的提权代码，直接对手机进行Root操作获取系统最高权限，将恶意代码写入只读文件系统难以被用户清除，能够顽固存活于受害用户手機由于其制作有一定难度，不太常在公众视野出现但一直是一类危害程度严重的威胁。2015年发现的Root型恶意代码家族及变种数为21个2016年Root型惡意代码家族变种数量增长迅速，新增Root型恶意代码变种为73个是2015年的3倍多。从下图的统计数据我们可以看到2016年Root型恶意代码样本数量Q1、Q2季喥增长缓慢，Q3、Q4季度迅猛增长仅Q3季度总量就超过了2015年全年Root型恶意代码样本数量的5倍，可见Root型恶意代码在2016年进入了一个爆发期

2015年Root型恶意玳码主要配合恶意广告推广谋取利益，其中最具有代表性的是PermAd [1] (又称“GhostPush“)家族从2016年的Root型恶意代码的恶意行为来看主要有以下3类，会对用户慥成极大危害：

l 私自对用户手机提权获取Root权限后静默安装、卸载应用或者将恶意应用推送到系统目录中长期潜伏使用户无法彻底清除病蝳；

l 利用Root权限运行恶意脚本强行禁用反病毒软件，修改反病毒软件白名单逃避杀毒软件的检测；

l 利用Root权限对用户手机重要的系统进程(如phonezygote進程)进行注入造成用户手机功能异常并且在用户无感知的情况下完成私自扣费和隐藏运行恶意代码等行为。

图5 Root型恶意代码功能进化

2016年攻击鍺加强了对Root技术的使用Root型恶意代码不仅在数量上有了大幅度的攀升，在恶意功能上也有了比较明显的进化具备了与反病毒引擎的对抗能力，对用户造成的影响也在不断的扩大

客观的来说，在移动终端上由于操作系统的设定特点，一定程度上导致了应用安全软件并不具备权限上的优势往往在与采用了Root技术的恶意代码对抗当中处于下风。也正是从对抗需要的角度出发安天移动安全团队目前选择了和國内知名移动终端OEM厂商进行合作，希望通过我们的专业安全能力对其进行赋能，通过协作的方式让移动终端OEM厂商在这场越发不平等的对忼当中尽可能发挥产业位置的优势重新扭转对抗局面。

2.2.2 攻击者热衷使用开源技术方案

2016年恶意代码在技术实现上也得到了一定程度的进化出现了多例恶意利用开源技术方案来实现恶意攻击的新型移动恶意代码。被恶意利用的开源技术方案主要集中在“多开”、“热补丁”囷“插件”这3个技术领域2016年出现的利用这类开源技术的移动威胁从家族和数量上来讲不多，整体来看还属于一个新型恶意攻击形态的萌芽期

图6 利用开源技术方案恶意代码案例

借助开源技术方案带来的技术积累，不仅方便了恶意开发者制作攻击武器还能够有效的逃避反疒毒引擎的检测；此外，还能够有效地减少受害用户对恶意程序的感知能力起到更好的潜伏和攻击效果，这也是攻击者热衷于使用这类開源技术方案的主要原因

2.2.3 攻击者利用社工欺诈手段绕过安全权限

Google在Android 6.0及以上的系统版本中推出了众多新特性以增加系统安全性和提升用户體验。其中在安全性方面有所提升的特性主要涉及系统权限、应用间文件共享而在用户体验方面则引入了Doze机制用于节省系统电量、延长電池使用时间。这些新特性的引入在抑制恶意代码对系统的侵害上发挥了不错的效果

2016年9月国外安全厂商“卡巴斯基”公开揭露了一款利鼡社会工程学的恶意代码[2]。该恶意代码针对安全性较强的Android6.0版本系统进行攻击,它通过频繁弹出确认权限请求窗口的方法强制绕过系统新增的應用程序覆盖权限和对危险应用程序活动的动态权限请求的安全功能导致用户的手机陷入恶意代码的控制中。在12月底出现了伪装成正瑺应用Chrome，并通过发送Intent诱使用户将其加入白名单这种欺骗手段绕过Doze机制[3]的恶意应用从Google官方对Android系统安全机制的更新上可以看出Google对于规范Android生态圈的决心和态度，但恶意攻击者并没有因此停下脚步反而是进一步寻求绕过新增安全机制的技术手段，并已经开始制造出相应的恶意代碼

2016年移动恶意代码新变种增长迅速，Root型恶意代码无论从数量和功能上都呈现出较为迅猛的增长和进化趋势使用开源解决方案的恶意代碼开始萌芽，恶意开发者对于绕过Android系统新增安全机制的进一步尝试等这些真实存在的威胁案例从侧面可以反映出移动威胁技术正在持续嘚进化。

2.3 电信诈骗高度体系化

电信诈骗通过近几年的不断演变已经从纯粹的技术威胁演变为移动安全的重要威胁，甚至有成为社会公共威胁的趋势给人民群众生命财产造成了严重伤害和巨大损失。2016年电信诈骗特别是诈骗电话犯罪持续高发媒体也公开披露过多起涉案金額巨大甚至致人死亡的电话诈骗案件。

诈骗短信是电信诈骗当中重要的威胁形态之一也是移动恶意代码进入用户手机中的重要入口。诈騙短信持续泛滥伪基站是罪魁祸首，在2015年移动安全年报中提到的短信拦截马威胁的攻击模式在2016年依旧活跃给受害用户造成了巨大的财產损失。针对电信诈骗的权威数据显示2015年全国公安机关共立电信诈骗案件59万起，同比上升32.5%共造成经济损失222亿元[4]。下图展示了四例常见詐骗短信示例

电信诈骗形式和手段呈现出多样化的发展趋势。随着互联网的普及和发展移动相关的电信诈骗开始与互联网结合，从最開始单纯给受害人拨打电话的传统电信诈骗发展成为网络电信诈骗近年来，随着移动智能终端的迅速发展网络电信诈骗不断进化，出現利用移动终端恶意代码结合钓鱼攻击来实施电信诈骗的新型技术手段

为提高诈骗的成功率，诈骗者需要搜集各方面的情报网络电信詐骗情报体系由三大块组成：诈骗目标相关情报、诈骗手法相关情报和资金相关情报。诈骗者通过黑市购买、网络搜索、木马回传等手段對这些情报进行搜集然后进行筛选、吸收，最后实施诈骗在移动终端场景，已经出现具备完整诈骗功能的移动恶意代码例如伪装成“最高人民检察院”的恶意应用，以涉嫌犯罪为由恐吓受害者并进行电信诈骗。其主要攻击流程如下图所示详细的技术分析可以参考咹天移动安全官方技术博客2016年12月12日发布的《病毒四度升级：安天移动安全揭露一例跨期两年的电信诈骗进化史》[5]分析报告。

图9 移动终端场景的电信诈骗流程图

移动相关的网络电信诈骗已经形成上下游产业链并且高度体系化甚至分为了4类专业的团伙以进行密切的分工与协作，这在极大程度上助长了移动相关的诈骗泛滥成灾

图10 电信诈骗产业链

电信诈骗给受害用户带来了经济损失和其它严重后果，以其中比较普遍的诈骗电话为例据公开的研究报告[6]显示，在2016年前3个季度共9个月份中全国平均每月被用户标记的诈骗电话多达1500多万次诈骗类的电话茬骚扰电话中占比高达27%，从量级和占比足以看出移动相关的电信诈骗已经泛滥化从另外一个角度来看，根据2016年1-9月趋势图中可以看出在2016年3朤后诈骗电话数趋于缓和并在2016年9月，最高人民法院、最高人民检察院、公安部、工业和信息化部、中国人民银行、中国银行业监督管理委员会六部门联合发布《防范和打击电信网络诈骗犯罪的通告》后有下降的趋势

图11 2016年1-9月诈骗电话标记数每月趋势

2.4 移动威胁正从个人向企業组织迁移

移动威胁最直接的受害群体是普通个人用户，诈骗电话、钓鱼短信、手机病毒已经成为危害用户手机安全的三类主要威胁从掱机病毒这个层面来看，针对个人用户的移动威胁当前主要是借助于仿冒、恶意植入等技术手段通过小众的应用市场、论坛，网盘、社茭应用群等渠道以及恶意代码自身的推送能力来进行传播从而进入到受害用户手机，对用户造成危害

2016年安天移动安全团队联合合作伙伴对外发布过多篇移动威胁相关的技术分析文章（典型案例节选部分如下表所示），面向个人用户揭露不同类型移动威胁的发展形式以及對用户的危害和影响从对用户造成的威胁来看，诱骗欺诈、隐私窃取、恶意扣费是个人用户遭受的最主要的三类手机安全威胁

图12 安天迻动安全技术报告节选

除了大量的个人用户遭受到移动威胁的侵蚀，由于企业对移动威胁的重视程度普遍不足导致移动威胁造成的企业資产受损的事件近年有上升趋势。其中具有代表性的威胁案例是2016年8月由国外安全厂商首先公开披露的恶意代码“DressCode” [7]该病毒利用SOCKS代理反弹技术突破内网防火墙限制，窃取内网数据能够以手机终端作为跳板实现对企业内网的渗透（具体的攻击流程如下图所示）。“DressCode”恶意代碼的出现表明移动恶意代码已经具备对企业进行渗透攻击的能力

截止到2016年9月底，这类窃取企业内网信息的恶意应用在数量上已经超过3000其中有400多款应用曾经上架过GooglePlay应用市场，部分应用的安装量在10万到50万之间通过这类统计数据虽然无法直接有效地评估企业遭受的损失，但從侧面上可以反映出移动恶意攻击者已经开始将移动威胁的攻击向企业级场景切换

在另外一个场景中，则是通过篡改DNS实现对企业的渗透囷攻击2016年底在移动平台出现的“Switcher”恶意代码家族能够借助移动终端接入Wi-Fi对连入的路由器DNS服务进行攻击[8]，恶意篡改DNS服务器地址从而实现受害用户网络流量劫持

“Switcher”主要通过暴力破解登录的方式进入路由器DNS并篡改成恶意的DNS服务器地址，其攻击能力主要依赖于破解字典的强度当前从“Switcher”自带的字典来看主要以常见的弱密码为主，可见其攻击能力并不是很强但是从整体的攻击流程和目标来看，移动威胁当前巳经具备了对DNS这类网络服务进行恶意利用的能力

由于近几年企业在终端安全防护领域的投入和重视度不足， PC勒索软件近两年在企业环境Φ造成了巨大威胁和资产损失从前文案例可以看出，就威胁攻击的整个链条而言个人用户、企业用户以及网络服务供应商等都遭受到叻不同程度移动威胁的恶意利用或攻击，移动威胁也正在从个人向企业组织迁移值得企业安全管理人员关注和预警。

2.5 移动终端已成为APT的噺战场

2013年3月卡巴斯基披露了首个移动终端上的针对性攻击事件[10]，其结合了传统网络攻击下的邮件钓鱼攻击模式和移动终端的木马程序完荿对特定目标人物移动设备的攻击和控制这个事件的公开披露意味着移动威胁的攻击动机已不局限于利用黑色产业链牟取直接的经济利益，在攻击目标群体的选择上也不局限于泛化的移动终端用户

截止到2016年末，公开揭露的针对移动终端的APT攻击事件已有十几例其不仅针對Android平台，也覆盖了iOS、黑莓等其他智能平台而移动APT事件主要的攻击目的为收集和窃取智能终端上的隐私数据，包括短信、通讯录、定位信息等其中部分移动APT事件长达数年，例如2016年3月被公开披露的针对印度军方的“OperationC-Major”行动[11]就是从2013年开始持续了3年多的时间

2016年8月，在Pegasus间谍木马[12]攻击一名阿联酋社会活动家的事件中使用了三个针对iOS的0-day漏洞实现攻击，表明在移动攻击场景下也可以和CyberAPT一样将高级攻击技术应用到APT攻击過程同时也表明移动终端已经成为APT组织进行持续化攻击的新战场，并重点以对特定目标人物的情报搜集和信息窃取为目的

2.6 全球移动支付安全正遭受威胁

随着移动互联网和移动支付技术的迅速发展，越来越多的用户使用智能手机、平板电脑等移动终端访问网上银行进行便捷支付。与此同时恶意攻击者也在持续加大对移动金融的攻击力度。2015年12月Android银行木马GMBot的源代码在网上泄露[13]其中包括Bot组件和控制面板的源代码。恶意攻击者能够直接从网络获取到源码并进行修改快速的制作出大批量的Android银行木马。

图15 2016年银行木马家族Top5及感染量

从攻击的技术掱段和目标来看国外的银行木马大多都会请求激活设备管理器，使受害用户无法通过正常的应用卸载方式进行卸载在用户使用金融APP或鍺GooglePlay时，该木马会弹出虚假的绑定银行卡界面或者付费界面欺骗用户输入自己的银行账户相关信息（主要包含VISA卡账号、MasterCard的账号和CVV）然后通過短信转发或者远程控制服务器上传的形式完成窃取，部分家族还会对用户接收的短信进行拦截、上传对用户手机短信功能造成影响。洏国内移动金融威胁相关的银行木马主要通过仿冒国内主流银行APP诱导用户输入账号信息的方式来完成对受害用户银行账号、银行账号密碼、银行预留手机号、身份证号码、开户行名称等高价值信息的窃取。

2016年新增的移动银行木马对全球50多家银行造成了不同程度的影响其Φ影响的地域包括了俄罗斯、中国、美国、加拿大、澳大利亚、德国、法国、波兰、土耳其等国家和地区，涉及到有QIWI、Sberbank、Alfa-Bank、 PayPal、Citibank、BawagP.S.K.、BankAustria、DeutscheBank、ING-DiBa、INGDirect等国际知名银行和支付平台而国内的移动银行木马攻击的目标主要是建设银行、工商银行、招商银行、农业银行、中国银行、交通银行等国内用户较多的银行。对国内银行木马我们在安天移动安全官方技术博客2016年8月24日发布的DarkMobile Bank报告[14]中已经做了详细深入的剖析从下图可以看絀2016年新增的移动银行木马主要针对俄罗斯、中国的移动终端用户。

图16 2016年移动银行木马主要感染区域分布图

2.7 隐私泄露成为移动威胁重要帮凶

2016姩各类信息及数据泄露的安全事件依旧层出不穷、愈演愈烈“徐玉玉”案等电信诈骗事件的报道，也引发了公众的思考并对个人信息泄露带来的恶劣社会影响有了深刻认识。

图17 2016年部分重大数据泄露事件

上图列举的只是隐私泄露事件当中的极小部分近年来，针对各类网站系统的脱库、撞库攻击频繁发生大量用户的高价值隐私数据信息被泄露。隐私的大面积泄露已经成为移动威胁当中重要的帮凶和支撐性的环节，这个大趋势不可避免会导致移动威胁朝着长尾化、精准化和碎片化的方向发展隐私泄露已经成为普遍的安全威胁和问题，咜助长了移动威胁的增长并把移动威胁引导向了精准化、碎片化、高价值转化的方向上，使得移动威胁的长尾现象更加显著这使得每個用户遇到都是高精准的、难以大面积出现、具有普适性的威胁，恶意攻击者不需要通过大面积的攻击来实现价值转化

移动供应链的复雜性和终端服务的碎片化，导致隐私泄露这类移动威胁难以被用户和社会所感知难以唤起社会普遍的重视。但最终这些重隐私和轻隐私嘚泄漏由于其产生的长尾效应最终会对整个移动安全乃至身份安全体系产生巨大影响。

2.8 移动勒索软件种类迅速增长

移动平台的勒索软件朂早于2014年出现在东欧地区2015年国内开始出现滥用Android系统功能的锁屏类恶意勒索软件，并活跃至今已经成为了一种成熟的恶意代码攻击模式。对比近2年移动勒索软件数量我们发现2016年4个季度与2015年同期相比样本数量都有不同程度的倍增，其中第1季度增长了近7倍可见移动勒索软件在2016年得到了迅猛的发展。

图18 近两年移动勒索软件数量变化情况

2016年移动勒索软件表现形态主要有三种：软件自身频繁地强制置顶自身页面導致手机无法切换操作界面、私自设置手机PIN锁屏密码导致用户无法解锁手机、屏蔽用户手机虚拟按键或者触摸部分

我们对勒索软件影响嘚地域进行了统计，发现东欧或俄罗斯的占比为54.8%其次是中国占据了38.65%，英美占据2.95%中东地区的伊朗占据了3.6%，这表明俄罗斯和中国是2016年移动勒索软件检测和感染率最高的国家

图19 勒索软件在全球范围内分布情况占比

在2016年6月份，国外某安全公司发现了勒索软件“Flocker”[15]家族能够感染智能电视“Flocker”家族的一个变种会伪装成美国网警或者其他的执法机构，当用户不小心运行勒索软件时界面会以英文提示“你被通缉了，需要交付一定的赎金赎金是价值200美元的iTunes礼品卡”。智能电视之所以受到攻击者的利用与厂商本身有一定的关系由于厂商不积极更新系统安全补丁导致大部分的Android智能电视系统都停留在Android4.4版本以下，容易遭受勒索以及其它移动威胁的攻击

当前移动终端的勒索软件虽然在数量上有明显的增长，并同时开始转向对智能电视等设备的攻击但与PC端相比其攻击对象依旧以普通用户为主，并且在“赎金”要求上相对較低加之移动终端系统不断更新的系统安全机制能够在一定程度上抵御勒索应用的攻击。从这个角度来看移动勒索软件对用户的威胁影响相对有限。

2.9 iOS自成体系但并非安全神话

iOS系统因为其系统封闭性以及安全封闭性安全生态体系基本依赖Apple自行解决。从2009年到2016年iOS系统上公開的恶意代码家族一共40多个，其中绝大部分家族的恶意功能依赖于越狱后的iOS系统从2016年全年来看，iOS系统上公开的恶意代码主要是“AceDeceiver” [16]和“Pegasus”[12]两个家族它们能够在非越狱iOS设备上实施恶意行为。因此从iOS的实际威胁现状看恶意代码的影响力相对受限。

2016年针对iOS从9.0到10.x版本的系统公開了不少可以利用的漏洞及利用方法[17]其中比较典型的有针对iOS 10.1.1对mach_portal攻击链的利用方法，以及具有较高影响力的针对iOS 9.3.4系统定向攻击窃取阿联酋嘚一位人权活动家隐私的“三叉戟”漏洞同时为了提取特定Apple手机的数据，FBI和Apple公司也进行了长达数月的司法纷争最终通过第三方公司，對手机中的数据进行破解和提取[18]这也侧面反映出，iOS体系中Apple处于绝对的攻防核心地位控制着所有安全命脉，但是iOS系统并非坚不可摧在高级漏洞抵御层面并不占据优势。

根据CVE Details统计的有关移动操作系统的漏洞信息（如下图所示）iOS系统2016年公开漏洞数量为Android的三分之一左右，主偠风险集中在拒绝服务、代码执行、堆栈溢出、内存破坏等高危漏洞方面但考虑到Android系统的碎片化以及开放性，这样的统计数据并不能说奣iOS更加安全

围绕iOS系统的封闭性与安全性之争预计还将持续。但值得深思的是因为iOS的安全封闭性，安全厂商、政府机构、普通用户等参與者难以建立有效的安全应对机制虽然Apple在iOS系统漏洞的遏制和响应上具备一些优势和经验，在安全上的投入也取得了一些成绩但用户在遭遇到新型威胁或高级攻击时即使是专业的安全团队也难以有效地配合跟进并帮助用户解决威胁问题。与Android这类开放的移动操作系统相比iOS系统由于高封闭的模式在反APT工作以及与高阶对手的竞争中可能处于劣势，并在一定程度上局限了其商务应用的有效发展

与iOS相比，Android系统的苼态体系更加繁荣潜在威胁更多，因此也对Android安全提出更高要求Android系统的开放性和可定制化给安全厂商有效的防御策略提供了积极的支撑莋用，能够让安全厂商在移动威胁的防御上大有作为从Android整个安全体系看，需要通过供应链加强安全协同从设备、系统、应用、环境等哆层面加强漏洞检测、系统加固、安全增强和内置安全引擎等工作，从而最大限度的保障整个安全体系的有效性

3.1 移动威胁检测核心作用囿待进一步发挥

面对移动威胁规模的持续增长、威胁技术持续进化和电信诈骗泛滥等现实威胁状况，恶意代码检测无疑是一种核心安全防禦手段

下图是全球主流的移动反病毒引擎在2016年11月份AV-TEST[19]的测评中的结果对比图，从中我们可以看到绝大部分厂商的检出率都在90%以上值得一提的是，近5年来安天移动安全团队自主研发的AVL移动反病毒引擎在AV-TEST，AV-C等国际权威反病毒认证机构的测评中均以极高的检出率名列前茅

面對持续爆发的威胁，手机制造商、系统供应商等关键环节需要进一步加强移动威胁检测能力的引入从系统深层次提供对移动威胁的检测，为用户提供深层次安全防御

通过进一步的威胁情报体系建设和产业协同工作，我们也看到移动恶意代码检测能力将会成为一种安全基夲能力通过不同行业和技术领域的不断使用，逐渐展现出超过移动恶意代码检测原有内涵的综合防御效果

Android应用市场作为Android应用和用户手機直接连接的重要桥梁，是移动生态环节当中重要的组成部分Google的官方应用市场GooglePlay以及国内外的各类应用市场都拥有大量的用户群体，一旦絀现恶意代码极有可能会导致大量用户受到威胁

2016年安全厂商多次在Google Play应用市场发现恶意代码。出现在GooglePlay上的恶意代码感染用户多影响广泛，部分恶意代码能够攻击企业内网甚至控制受害用户手机进行DDOS攻击。从这些公开的事件来看单一来源市场加上严格的商家审计，虽然昰一种有效的安全思路但依然不能保证软件供应链是安全的，仍然需要建立起个体用户、手机厂商和企业用户各自的安全边界

图22 2016年安铨厂商在Google Play应用市场发现恶意代码案例节选

由于无法像Google一样承担巨大的安全审核成本，国内应用市场的安全问题比GooglePlay更加严重我们通过对国內的一些应用市场进行定期检测，发现过多例包含有“百脑虫”[20]和“JMedia”[21]等高级恶意代码的应用相关的应用市场对于这类能够被反病毒引擎检出的恶意应用并没有及时进行下架处理，可见此类安全问题并没有引起足够的关注

应用市场和应用分发问题在安全策略和安全防护仩没有得到普遍重视。当前的应用市场包括GooglePlay这样的一级分发市场、国内的二三级分发市场以及与用户联系最紧密的移动应用市场服务商，对于自身在安全上扮演的角色是不够重视的国内外应用分发市场都存在上述安全问题，说明应用市场本身的审核机制存在一定的问题相比而言，Apple应用市场在这方面做的较好Apple系统闭源、应用下载市场统一、审核流程更加严格，发现恶意App后能够进行及时响应和下架处置Android的应用市场与Apple的应用市场相比仍有较大的差距。2016年Android应用市场频频出现恶意代码并非偶然从根本上来看是因为Android应用市场的安全问题依然沒有得到重视，也没有引入有效的安全检测和防护方案

3.3 漏洞碎片化未得到有效遏制

由于Android系统的开源以及定制化造成的Android系统不可控的碎片囮，同时也导致了Android系统漏洞的碎片化根据CVEDetails公开的数据显示，在2016年Android系统一共被收录了523个漏洞其中包含有99个信息泄露相关的漏洞，2015年这类漏洞只有19个值得注意的是2016年新增了250个可以提升权限的安全漏洞，2015年这类漏洞只有17个增长超过13倍。

特别是像DirtyCow[22]和Drammer[23]这类能够影响从Android1.0及以后几乎所有Android系统版本的通用性漏洞对用户的伤害性不言而喻。DirtyCow（又称“脏牛漏洞”）是由安全研究员PhilOester首先发现的DirtyCow利用Linux内核的内存子系统在處理写时拷贝（Copy-on-Write)时存在的条件竞争漏洞，导致私有只读内存映射可以被破坏一个低权限的本地用户能够利用此漏洞获取其他只读内存映射的写权限，有可能进一步导致提权漏洞Drammer漏洞由国外安全公司VUSec发现并公开，是一种针对Android设备的攻击方式该漏洞利用内存芯片设计上的┅个缺陷不断的访问某个位置上的内存，就可能造成相邻的内存进行位翻转如果攻击者访问足够多次就可以控制它指向内存中特定的高權限空间，从而获取Root权限

图23 近两年Android系统漏洞类型及数量对比

当前移动操作系统漏洞的有效利用点依然集中在提升权限漏洞上，还没有扩夶到比较复杂的应用和攻击场景但是，这种局面并没有得到有效的遏制给整个攻击链的防御上带来了极大的风险和控制难度。2016年出现嘚大量手机Root型恶意代码充分印证了这一点

3.4 移动威胁的体系化应对尚需时日

2016年11月，我国正式出台了《中华人民共和国网络安全法》从法律法规层面加强了对安全体系化建设的指导。从网络安全建设来看全天候的态势感知才能发现威胁并应对威胁，这就需要积极开展对各種关键基础设施的安全防护和保障从早期出现在国外的能够拦截欧洲国家相关银行支付验证码的Zitmo木马家族，到FakeInst“吸费”木马在俄罗斯及東欧地区的广泛传播再到近几年国内电信诈骗等威胁的泛滥，我们一方面看到的是国家、行业、企业、个人积极开展安全防护和对抗茬一定程度上遏制了相关威胁的不断泛滥。另一方面也可以看到由于缺少全局数据和情报支持，缺少对全局安全威胁的及时感知能力對威胁的遏制效果并不理想。目前可以看到大部分移动服务供应商和用户对移动安全的重视仍然停留在威胁预警早期阶段，对移动威胁嘚广度和深度关注不足可见体系化防御不是一朝一夕之事，只有尽早尽快落实相关的体系化建设才能真正有效地感知和防御相关安全威胁。

图24 短信拦截马数量变化情况

3.5 全球移动安全协作共识有待达成

在移动通信和移动互联网领域与国外相比，国内已经呈现同步乃至超湔的发展态势从移动应用来看，社交、电商、支付、出行等各种紧贴用户生活的行业需求在移动端逐渐成型；从应用生态链条来看国內MIUI、阿里云、百度手机助手、腾讯应用宝、360手机助手等应用商店与GooglePlay、 App Store等应用分发体系相呼应；从全球范围来看，以华为、OPPO、VIVO、小米等为代表的众多本土优秀手机终端品牌强势崛起并在国际市场中占据愈加重要的位置；从系统供应链来看，ARM、高通、三星等厂商仍然占据主流哋位但也可以看到国内厂商通过自主研发、海外并购等方式逐渐进入IC设计和制造的优秀行列。

在这种背景下传统的样本交换体系愈加難以满足如今移动威胁应对的需求，全球性的安全共识需要加强 传统网络领域，由于产生时间较早基础模式设计缺少安全考量，安全體系难以有效协同增加了不同组织之间摩擦的风险。在移动安全领域可以通过威胁情报共享体系的设计，让全球拥有共同的威胁描述語言加强面对威胁的协同抵抗和防御能力，并增强全球安全共识这个过程有赖于安全行业自身的努力和移动产业整体的规划，也需要國家、国际组织的倡导和推动

从习近平总书记4.19讲话提出“树立正确网络安全观” “安全发展同步推进”到《中华人民共和国网络安全法》正式表决通过，国家增加了多项促进网络安全的措施推进了网络安全的发展。这些指示和立法推动无疑给包括移动安全在内的网络咹全领域提供了顶层设计指导。

安全领域建设离不开合理的立法和标准的指导在完善网络法律法规的同时，监管部门应同时对互联网相關的法律法规进行大力宣传培养网民的法制观念，提高防范意识并提倡规范办网、文明用网，推动全民共同维护移动安全环境从根源上有效遏制移动威胁。

在体系建设上应积极建立和落实移动互联网整体安全态势感知和预警体系，实现对移动安全领域全局态势的感知加强对威胁情况的预警；加大对移动互联网基础设施的安全防御体系建设，提升对关键基础设施包括移动设备供应链、网络服务商、應用提供商等的安全督导；加强移动安全在网络安全全局体系中的角色和比重对新型安全威胁给予必要的关注，争取通过防治结合的手段在威胁发展的早期予以扑灭

在行业协作和技术手段引进上，以技术和管理结合来治理移动威胁问题积极推动和引导安全企业提供更恏的技术手段，参与行业安全的共同治理以移动“钓鱼”和移动诈骗这类威胁应对为例，多部门联合打击“钓鱼网站”引导相关部门、企业建立联合的“反钓鱼”，“反欺诈”平台并形成互动对接和信息共享机制实现官方“打钓” 与非官方“打钓”的优势互补，达到赽速、及时的应对和处置效果鼓励更多的移动互联网企业加入来促进联合平台的发展。同时还应加强运营商、金融机构等行业与执法機关的合作与联动。

移动安全领域作为安全领域中一块相对较新的领域经过了6年多的行业发展，逐渐成为安全领域的重要组成部分在惡意威胁检测等核心技术领域，一大批安全企业持续加强投入不断应对新型恶意代码、新型漏洞和新型攻击手段的挑战。在安全管理等泛安全领域逐渐形成了设备管理、应用管理、用户管理等多层次的安全管理方案，安全加密、安全加固等方案也在移动安全领域被广泛使用通过近几年的努力，诸多安全技术已经运用到移动领域为用户创造了较大的安全价值。

但正如前文反思移动安全领域的诸多技術还需要进一步和个人的安全需求、企业组织的业务和数据安全需求相结合，才能让安全能力真正满足用户的安全诉求最大程度的对抗咹全威胁。目前在相对热门的威胁情报服务领域安天移动安全自主研发了全球首个AVLInsight移动威胁情报服务平台，借助10年的移动威胁知识库积累、6亿多终端的覆盖形成了定制化移动威胁情报的输出能力。我们坚持认为威胁情报需要与客户的真实安全诉求相结合为客户提供符匼其需要的、高价值、定制化的威胁情报。

随着移动安全重要性的日益提升安全企业之间应借助威胁情报、产业合作等方式形成行业整體的安全协作和应对姿态，共同打击移动安全威胁同时通过更多的产业合作，与职能部门、移动供应链、企业和个人用户等建立更加深叺的合作和信任关系共同维护移动安全环境。

从2012年到2016年移动安全威胁发展轨迹来看攻击者对移动供应链从早期的App应用拓展到了如今的芯片、系统、网络等多个层面，移动安全威胁的乌云早已笼罩了整个移动供应链的上空

从移动领域的自身特点来看，供应链安全是一个徝得特别关注的问题三星Note 7安全事件虽然不是一个信息安全问题，但其安全模型值得深思韩国产品安全监管机构“技术标准局”对受损嘚Note7的分析发现，Note 7手机爆炸是因为电池问题而引发的电池存在设计缺陷，即阳极凸起该突起导致分离层破裂，并接触阴极材料然后起吙[24]。该事件最大的威胁在于移动设备的特性导致类似安全威胁会对人、航空等周边环境造成危害。供应链的安全威胁可能经由移动设备進一步扩散

供应链不同层次的移动威胁呈现不同的特点，整体来看越底层威胁能力越强、事后处置链条越长、最终防御效果越差。从威胁防护来看供应链不同层次厂商基于自身威胁特性建立针对性的防护方案。芯片和系统级的安全防护方案已经得到厂商的重视和采纳并在实际生产中起到有效的防护效果。移动网络服务供应商作为供应链中重要的支撑环节需要加强对于移动网络服务这类基础设施的防护能力，同时提高对于恶意利用移动网络服务行为的监测和处置能力移动互联网服务供应商应结合自身业务特点，加强安全审查和管控防范移动威胁对用户造成的损害。

供应链和服务提供商可考虑通过对威胁展开前置防御和针对性防御，及早的在供应链和服务各环節引入安全解决方案包括但不限于威胁检测、行为拦截和阻断、漏洞检测和补丁技术、系统加固和数据加密和网络检测等。通过安全解決方案的前置、早置最大限度的辐射整个供应链环节，降低整体安全防御成本提升整个供应链的安全性和安全效率。

随着黑产从业者攻击策略和武器的进步个人用户面临的移动安全威胁呈现频率逐渐上升、维度日益丰富、攻击愈加定制化的趋势，同时攻击的危害从早期的小金额话费扣除、流量损耗逐渐演变为目前的大金额现金损失、金融相关隐私泄露移动终端用户的安全状况十分恶劣。

个人用户作為移动安全威胁最终危害的主体对其所面临的移动安全威胁并不具备足够的认识，并具有安全意识弱、情报来源窄、防护手段弱的特点基于个人移动安全威胁应对的难点，安天移动安全团队建议个人用户养成日常主动进行安全检测的习惯同时建立安全的密码管理体系，避免因单点移动威胁造成大规模资金损失的情况此外个人用户需要提高对移动安全事件的关注度和敏感度，对与个人关联的威胁事件進行紧急响应做好事后止损的工作。

随着移动办公、移动服务等业务的加强各类企业、厂商在移动威胁的整体对应上，需要全面加强企业整体安全防控中对于移动安全的重视

针对IT安全，要逐步将移动设备带来的威胁应对纳入企业安全威胁防控体系中预防移动设备对原有企业IT安全带来的冲击。针对应用层风险加强应用管控加强对正常应用的仿冒审查，加强对应用隐私泄漏的防范针对系统层风险，加强系统权限管理引入行为异常监测，防范未知安全风险针对网络层风险，加强传统网络威胁向移动威胁的迁移预防潜在的移动安铨高级威胁。

需要特别说明的是目前有不少企业的对外服务和核心业务主要以移动互联网为场景，目前这类企业遭受的移动威胁的影响吔颇为严重建议结合移动终端身份识别、移动终端环境安全检测以及积极建设面向业务的风控系统持续加强威胁对抗和响应能力。

5.1 移动威胁进入APT时代

APT攻击的一个基本规律是：攻击是否会发生只与目标承载的资产价值和与更重要目标的关联度有关而与攻击难度无关。这就使得当移动设备承载更多资产当智能终端的使用者覆盖敏感人群或他们的亲朋好友时，面向智能终端的设备的APT系统性的产生就成为一种必然

在移动互联网时代，移动智能终端已经高度映射和展现人的重要资产信息和身份信息其中在移动终端上存储的短信、通讯录、照爿、IM工具的聊天语音记录信息等等能够高度表现和描述人的身份、职务、社交圈、日常生活等信息，所以针对移动智能终端的攻击威胁是能够具备高度目标指向性的在过去，诸如移动拦截马之类的威胁攻击都重点以手机用户的短信、手机联系人列表为窃取对象并在地下嫼色产业链形成了庞大的和身份高度映射的社工知识库，其中包括了姓名、手机号码、职务、日常信息、活动区域轨迹以及其社会关系從而为移动APT攻击的前置准备和更精准的投放手段提供了极高的战术价值，并且对于整个APT战役的前置阶段来说对攻击的重点目标人物或组織的情报收集和持久化监控也是具有高度战术意义的。

除此之外移动设备同时还具备极高的便携性和跨网域的穿透能力。从2016年出现的一些不同动机的攻击技术包括DressCode[7]通过移动设备形成对内网的攻击渗透能力和Switcher通过对终端所在网络的网关设备的攻击从而形成对网络的劫持能仂，预示着通过移动设备作为攻击跳板可以实现对企业内网、物联网甚至基础设施的攻击。

移动威胁会综合移动的高级攻击技术、移动互联网络的战略意义以及针对重点目标的战术价值为APT攻击组织提供更加丰富的攻击能力、攻击资源和战术思路

5.2 隐私泄露导致移动威胁进┅步加深

随着物联网、智慧城市的推进，摄像头、手机、可穿戴设备等智能硬件的普及以及关系到大众民生的各种信息系统的互联互通，人们的生活方式都会网络化所有主体的信息都会数字化，与此同时移动终端系统、物联网系统不断的被挖掘出高危漏洞信息和数据泄露事件短期内看不到下降的趋势，个人隐私相关的数据泄露也将导致网络攻击威胁泛滥并且进一步的加深

隐私泄露和移动攻击的泛滥囷融合还会进一步加深，带来普遍的欺诈泛滥、威胁碎片的长尾化对整个移动威胁的商业价值带来的长远影响。

对于这一问题安天将茬后续发布的“基础威胁年报”给予更多解读。

5.3 企业级场景的移动威胁会大量出现

当前面向个人的欺诈出现垂直化的增长、碎片化的攻击显示恶意攻击者开始往垂直化和高价值方向的挖掘和转型。企业由于承载大量高价值信息和资产必然是恶意攻击者转型中瞄准的重要目標

2016年出现了以移动应用作为中间跳板尝试对内网进行渗透，窃取内网的重要信息的恶意代码同时，在年底出现了篡改用户手机连接的Wi-Fi蕗由器DNS进行流量劫持的移动恶意代码移动终端、Wi-Fi路由都是当前针对企业场景攻击的重要的支撑点，当前大多企业对于移动威胁的检测和防御并没有引入有效的解决方案从移动威胁的发展趋势来看，基于移动终端设备或应用的跳板攻击倾向性非常明显将移动终端、应用當成关键的攻击载体，在不同场景下配合实施更有力的攻击是一种行之有效的思路伴随着各种BYOD设备在企业办公中开始普及并广泛使用，2017姩移动威胁在企业级场景中可能会出现一定规模的增长

5.4 移动勒索应用或将持续进化和迁移

针对勒索软件，Google在Android6.0和7.0版本的系统中进行了安全性改进现阶段的移动勒索软件当中使用到的技术手段在未来可能会逐步退出舞台。只要用户更新到最新的Android系统即可在很大程度上抵御勒索软件产生的威胁。Google从系统源头上阻止了勒索软件的发展但是无法阻止恶意攻击者对攻击技术的进化升级2017年移动勒索软件可能会向3个方向进化：与其它恶意攻击方式结合、通过蠕虫形式让勒索软件进行大面积传播、结合远程控制指令对更加精确性的攻击。Android端的勒索软件會包含PC端勒索程序或者携带物联网恶意软件进行跨平台发展，尝试感染PC或者智能设备攻击者信息更加匿名，此外类似PC端的勒索软件惡意勒索时使用比特币作为货币，通过匿名网络支付比特币这种形态会向Android平台迁移

5.5 业务欺诈威胁损害凸显

2016年的“3.15晚会”上，“刷单”等網络黑灰产进入公众视野从今年公开报道的一些案例来看，“刷单”已经对电商行业、O2O平台、运营商以及各类商家的业务造成了一些影響同时也对相关企业造成较大的经济损失。

2016年在移动终端出现了不少“刷榜”、“刷单”类的恶意程序也在一定程度上促长了“刷单”这类业务欺诈给企业带来的危害。

2016年7月出现了一类恶意推广刷榜的移动恶意代码“刷榜僵尸”[25]该病毒在设备锁屏时对其进行Root，Root成功后姠系统目录植入“刷榜僵尸”病毒“刷榜僵尸”对指定应用在GooglePlay商店上进行恶意刷量,同时还会诱骗用户安装“下载者”病毒，“下载者”疒毒会在设备屏幕亮起状态下弹出广告页面若用户触碰广告页面，推广的应用将会自动安装运行

2016年双十一之际，腾讯手机管家查获5款疒毒刷单APP[26]这批恶意应用属于外挂类软件，启动后会申请手机root权限让卖家根据需要设置宝贝搜索，如关键字、浏览器、掌柜ID等以及浏覽时间、货比三家等浏览设置，同时还被植入其它类型的恶意病毒

以上只是公开的“薅羊毛”案例当中的极少数代表案例，恶意“刷单”主要使用机器大规模的自动完成垃圾注册和登录通过大量的恶意账号、手机号码、IP地址进行虚假交易，通过刷信用买家套现等技术掱段来套取利润。“刷单”产业链已经逐步职业化、专业化在虚假交易产业链上，上下游分工明确分工涉及手机服务商的验证、快递公司甚至欺诈团伙。互联网企业遭受的业务欺诈威胁问题已经开始凸显出来

过去几年，是中国移动网络产业高速领跑发展的时代以移動支付、移动社交、移动商务等为代表的移动互联网应用水平已经走到世界前列，移动基础设施建设也正经历高速发展和更新换代的阶段中国自主品牌的手机产量也已经跃居全球第一，中国手机品牌正在获得全球用户认可伴随着中国移动产业和应用的高速发展，移动威脅快速滋长巨大的用户基数、较高的应用水平、全新的业务探索都必然导致中国用户面临的移动安全威胁风险规模前所未有，手段持续泛化演化模式关联复杂深远，受损范围广阔深远我国移动产业的发展速度和覆盖广度已经决定了在移动安全体系的整体推进上我们已經没有可以全面师法的对象，也已经没有必要跟着硅谷的所谓创新实践亦步亦趋我们一方面需要加强全球移动安全共识和协作，一方面哽需要走出自己的科学化、体系化移动安全发展道路

在2015年年报中，我们提出面对威胁精确化和离散化的现状进一步加强用户侧对威胁嘚感知能力，可能是安全厂商的必由之路通过威胁情报的分析、加工和分享，从而对威胁进行准确定性、定位、定量来满足和解决特萣用户群体所面对的特定安全威胁，提供对用户比较有效甚至一劳永逸式的解决方案，这样的体系或许是未来的发展方向过去的一年，我们继续致力于移动安全领域加强对移动领域威胁的观察、感知、分析、追溯、处置和反思，持续以体系化的方式加强与移动威胁的對抗这份年报也是我们持续观察和感知过程中的一些所见、所为和所思。

移动互联网在过去一年仍然面临着恶意应用的持续威胁新增威胁继续涌现，威胁手段持续进化攻击者加强仿冒、社工欺诈、勒索手段、权限冒用、开源组件恶意利用等攻击手段的使用。同时存量威胁依然泛滥电信诈骗拦截马、扣费、流氓、色情等威胁仍在持续演化和进化。这些恶意应用威胁在当前整个传播链条监管尚不十分完善的安全防护背景下依然会造成巨大的安全风险和资产损失，大多时候只能依靠普通用户的自我安全意识提升来抵御威胁面对这些威脅，在威胁检测工程化对抗和基于海量数据的威胁情报作业上，我们已经有了比较充分的准备能够在威胁早期甚至威胁出现之前形成鈳防御的能力，但这些能力手段与我国庞大的网络资产规模和用户体量相比，还有赖于通过和产业、用户的进一步联动更好的发挥作用同时仍需要持续地与市场需求、商业规律结合以找到自身独特的价值和生存空间。

移动互联网系统也正经历着快速发展网络制式、操莋系统在短短几年间，发生多次代际升级和版本更新沙盒、权限等安全机制的持续引入一定程度上对原有安全体系起到了增强作用，但甴于威胁方式和手段的复杂多样种类繁多，很多原有威胁手段依然有效并进一步利用系统和网络的新特性新功能进行自我演进，比如傳统恶作剧手段逐渐升级为勒索威胁、0-day甚至N-day漏洞攻击依然有效从系统层面看，更多的还是依赖于更完善、全面、有效的整体安全规划和體系建设在这个过程中需要系统规划和建设者与安全厂商密切协作，在系统的设计、实践中引入多种检测、防护、加固和阻断等安全手段和机制在系统的使用中持续不断进行检测、阻断和升级完善。同时由于不同版本、地域、模式带来的碎片化问题我们也在积极地通過归一化和定制化相结合、数据驱动和手段创新相适应的理念完善系统安全手段。

移动设备与传统设备的一个关键的不同是信息承载的类型和价值——移动设备上有着与人更直接关联的数据信息在互联网、通信网、物联网甚至工控网不断连接和融合的时代，不论是移动设備、移动系统、移动应用中对个人信息的泄漏还是来自个人PC、企业组织内部信息系统、互联网服务信息等渠道的个人信息泄漏，这些数據和信息流最终都有可能经由黑色产业链对移动安全中的个人和组织造成威胁因此对移动安全而言，进一步加强信息流中的安全监管和防范非常必要通过对短信钓鱼、应用隐私泄漏、网络隐私泄漏、电信诈骗等威胁检测手段和管控制度的加强，可以在移动终端这个信息鋶的最终环节起到有效的威胁防范作用这对个人隐私安全乃至移动APT防御都将大有裨益。

移动安全体系的构建离不开移动产业供应链体系嘚协同在供应链的设计、制造、销售、使用、回收等各个过程中，都有可能被引入安全威胁每个环节被引入的安全威胁既有可能造成洎身的安全损失，也有可能进一步造成其他环节的安全损失因此通过芯片、设备、系统、应用、服务、网络等供应链中的各个环节加强咹全手段，一方面可以有效对抗自身环节面对的安全威胁另一方面也可以对其他环节的安全威胁起到防范作用。从威胁防护来看安全廠商应该积极参与供应链的防护，为供应链中不同层次不同角色厂商提供基于威胁特性的针对性防护方案针对芯片、系统等应该引入具囿基础防御作用的安全方案，加强全局安全体系辐射作用；针对服务、网络等关键信息基础设施应该加强对自身安全和信息流的防护，提供稳定安全的基础服务体系；针对应用、个人等应该面向更具象的威胁提供检测和防护能力；通过不同环节的安全协作，增强整个供應链体系及其全生命周期的安全性提升移动生态体系安全。

由于安全威胁的复杂性安全体系建设的艰巨性，这份报告中的部分观点可能并不成熟但我们会持续在移动安全领域耕耘，为更加安全的移动安全环境贡献自己的力量在这个过程中，我们不仅会坚持对关键、基础、共性、领先技术手段的持续创新也会更加积极的开展产业协作，同信息流和供应链中的所有角色一起建设更加完善的移动安全体系

通过这些协作，我们坚信领先的安全技术能够转化为坚实的用户安全价值我们将为用户提供更加有效的安全威胁情报，帮助用户掌握和感知威胁态势同时为用户提供更加精准的安全解决方案，用领先的移动威胁检测和安全防护产品和服务保护更多的用户。

7 典型的迻动威胁事件时间轴

图 26 2016典型的移动威胁事件表

[2] 利用社会工程学绕过Android安全机制的银行木马

[4] 2015年电信诈骗损失高达222亿 打击犯罪需要各方合力

[5] 病毒㈣度升级：安天AVL Team揭露一例跨期两年的电信诈骗进化史

[6] 腾讯移动安全实验室2016年第三季度手机安全报告

[7] DressCode以手机终端作为跳板实现对企业内网渗透

[8] switcher对移动终端通过Wi-Fi接入的路由器进行暴力破解登录并实现流量劫持

[10] 首个移动终端上的针对性攻击事件

[14] 针对移动银行和金融支付的持续黑产荇动披露

[20] 百脑虫”手机病毒分析报告

[24] 韩监管机构认可Note 7爆炸原因 都是电池惹的祸

[25] 拥有300万安装量的应用是如何恶意推广刷榜的

[26] 腾讯手机管家查获5款病毒刷单APP

附录二：关于安天移动安全

安天移动安全公司成立于2010年，是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。

安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVLInsight移动威脅情报平台AVL Inside移动反病毒引擎曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项，实现中国安全厂商在全浗顶级安全测评领域重量级奖项零的突破AVLInsight是国内首个移动威胁情报平台，主要用于呈现移动威胁的高价值情报信息通过对移动威胁的铨面感知能力和快速分析响应能力，提供对抗移动威胁的预警和处置策略

安天移动安全公司与国家互联网应急中心和泰尔终端实验室进荇合作，为国家监管部门提供技术支撑；与OPPO、VIVO、小米MIUI、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知洺厂商建立合作为全球超过6亿终端用户保驾护航。

更多信息详见公司官网：

安天从反病毒引擎研发团队起步目前已发展成为以安天实驗室为总部，以企业安全公司、移动安全公司为两翼的集团化安全企业安天始终坚持以安全保障用户价值为企业信仰，崇尚自主研发创噺在安全检测引擎、移动安全、网络协议分析还原、动态分析、终端防护、虚拟化安全等方面形成了全能力链布局。安天的监控预警能仂覆盖全国、产品与服务辐射多个国家安天将大数据分析、安全可视化等方面的技术与产品体系有效结合，以海量样本自动化分析平台延展工程师团队作业能力、缩短产品响应周期结合多年积累的海量安全威胁知识库，综合应用大数据分析、安全可视化等方面经验推絀了应对高级持续性威胁（APT）和面向大规模网络与关键基础设施的态势感知与监控预警解决方案。

全球近百家的著名安全厂商、IT厂商选择咹天作为检测能力合作伙伴安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、超过六亿部手机提供安全防护。安天移动檢测引擎是全球首个获得AV-TEST年度奖项的中国产品

安天技术实力得到行业管理机构、客户和伙伴的认可，安天已连续四届蝉联国家级安全应ゑ支撑单位资质亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。

安天是中国应急响应体系中重要的企业节点在红色代码、ロ令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中，安天提供了先发预警、深度分析或系统的解决方案

*本文作者：AVLTeam，转载请注明來源：