移动恶意代码威胁的针对性泛化思考   马志远   安天实验室/AVL移动安全团队   2014恶意移动恶意代码疫情回顾   2005年-2014年移动互联⺴⽹网恶意程序⾛走势 2014年移动互联⺴⽹网恶意程序数量按⾏行为属性统计 诱骗欺诈,1.0% 恶意传播,0.3% 远程控制,4.4% 1000000 流氓行为,9.7% 800000 600000 951059 702861 400000 200000 162981 110 208 416 1664 6249 67 0 52 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 年 年 年 年 年 年 年 年 年 年 2014年移动互联⺴⽹网恶意程序传播事件次数⽉月度统计 14000000 隐私窃取,12.9% 系统破坏,1.3% 恶意扣费, 55.0% 资费消耗,15.3% 2014年移动互联⺴⽹网恶意程序数量按危害等级统计 11897002 12000000 10000000 8000000 6000000 4000000 9452522 8918379 8542586 7997058 8008440 5846648 5467044 4796210 4021180 3922343 2877995 2000000 0 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 中危,25.3% 高危,1.6% 低危,73.0% 移动恶意代码威胁之寡头   Top3>30%   Top20>80%   流氓   色情   （伪装/仿冒 /恶意广告）   扣费   移动恶意代码威胁之寡头   2015年上半年  25.0%   20.0%   15.0%   10.0%   5.0%   0.0%   4大家族恶意代码的占比情况  70.0%  Fakesysui  Guidead  Jxt  sexplayer  60.0%  50.0%  25.6%  10.7%  10.2%  16.2%  2.7%  19.8%  12.7%  7.3%  11.4%  8.3%  15.4%  13.1%  20.2%  2.6%  7.8%  8.0%  19.9%  17.2%  4.9%  15.8%  10.5%  9.8%  2.2% 2.2%  0.4%  40.0%  30.0%  20.0%  10.0%  0.0%  60%   15年4月  15年3月  15年2月  15年1月  14年12月  14年11月  14年10月  14年9月  14年8月  14年7月  14年6月  14年5月  14年4月  14年3月  14年2月  14年1月  13年12月  13年11月  13年10月  13年9月  13年8月  13年7月  13年6月  13年5月  13年4月  13年3月  移动恶意代码威胁之寡头   恶意色情应用互相推广期间数量变化情况   刚需   巨大经济 “利益”   简单粗暴   5月   6月   7月   8月   newpaysdk76   9月   10月   yypush   11月   12月   移动恶意代码威胁之长尾   2015年上半年  0.9%   0.8%   0.7%   0.6%   0.5%   0.4%   0.3%   0.2%   0.1%   0.0%   100%   4%   间谍   12.9%   欺诈   伪装   拦截马   移动恶意代码威胁之长尾   恶意行为及表现 上传远控 服务器 拦截短信   窃取帐号密码 短信箱内容 短信转发 攻击目标 金融类app 伪造界面 针对性   伪造图标 诱骗应用 电商类app 地理信息 联系人列表 长期   邮箱转发 支付平台 无图标 通话录音 环境录音 隐蔽   隐私信息 积分马 长尾中的“针对性”杠杆   “被动需求” 恶意分发   色情   其它 流氓 广告     “主动需求” 定向 投放   重度   隐私   长尾中的“针对性”杠杆——传统视角   恶意代码 受害者 攻击者 FuckSMS Faketaobao emial smsmailThief abortlist SMS Contact Account E-­‐Mail Malware   E-­‐Mail 长尾中的“针对性”杠杆——长尾视角   “被动需求” 恶意分发   流氓   Faketaobao abortlist smsmailThief 其它 色情   FuckSMS 定向 投放   emial   “主动需求” 重度   隐私   长尾中的“针对性”杠杆——长尾视角   第三方资源和交易 移动终端间歇性的 持续参与全过程 如何突破底线来盈利 互联网黑商 劳力密集/外包型 恶意代码作者 价值 重度   隐私   杠杆 攻击 入口 高增 值点 隐私 大众   用户 分众   A类   用户 用户 B类   用户 C类   用户 D类   用户 企业 用户   小众   个人 用户 特定 群体 长尾中的“针对性”杠杆——长尾视角   攻击 成本 高 碎片化ing 设备 ROM 系统 APP 低风 险受 众广 威胁点 威胁点 分众攻击 分众   A类   用户 用户 B类   用户 C类   用户 高风 险受 众小 威胁点 针对性攻击 攻击人群和 模式相对固 定的 服务于利基市场 大众   用户 网络   在线   管道 内容 攻击 成本 低 D类   用户 威胁形态和代码 机理相对固定的 企业 用户   小众   个人 用户 特定 群体 长尾的出现和现状   精准和高效投放 长尾的出现和现状   精准和高效投放 长尾的出现和现状   精准和高效投放 市长：56， *总：45 经理： 915 主任： 1212 号码总数： 17843 总数：49596人次 部长： 185人 处长： 275 书记： 497， 长尾中的“针对性”杠杆——长尾视角   电话号 设备号 社工 安装应用 使用习惯 钓鱼 诈骗   水坑 流氓   筛选 目标   定向 投放   重度   隐私   色情   大众   用户 分众   A类   用户 用户 B类   用户 C类   用户 D类   用户 企业 用户   小众   个人 用户 特定 群体 长尾中的“针对性”杠杆——长尾视角   电话号 设备号 社工 安装应用 使用习惯 钓鱼 诈骗   水坑 流氓   筛选 目标   定向 投放   重度   隐私   色情   大众   用户 分众   A类   用户 用户 B类   用户 C类   用户 D类   用户 企业 用户   小众   个人 用户 特定 群体 长尾中的“针对性”杠杆——长尾视角   电话号 设备号 社工 安装应用 使用习惯 钓鱼 诈骗   水坑 流氓   筛选 目标   定向 投放   色情   大众   用户 重度   隐私   agent 分众   A类   用户 用户 B类   用户 C类   用户 D类   用户 企业 用户   小众   个人 用户 特定 群体 移动恶意代码检测和工程化对抗 的经验的分享   Security  Every  Day 19 移动恶意代码检测技术   •  纯本地反病毒检测引擎，本地静态对抗，深度检测，启发 式能力   •  后端自动化分析和深度分析支撑   Sandbox为主 dynamic AVL  SDK  for  Mobile staSc Security  Every  Day 基于特征和模式的检 测引擎   20