"企业级"恶意程序开发者搅局移动安全 陈宏伟 360烽火实验室 高级安全研究员 关于我们 360烽火实验室致力于Android病毒分析、移动黑产研 究、移动威胁预警以及Android漏洞挖掘等移动安全领域及 Android安全生态的深度研究。 实验室为360手机卫士、360手机急救箱、360手机助 手等提供核心安全数据和顽固木马清除解决方案。同时也为 上百家国内外厂商、应用商店等合作伙伴提供移动应用安全 检测服务，全方位守护移动安全。 目录 1 移动恶意程序开发者概况 2 “企业”开发者大显身手 3 恶意开发者之间的“较量” 4 应对策略 恶意程序开发者概况 个人开发者数量，单位：个 企业开发者数量，单位：个 3000 2500 2442 2000 1500 1496 1000 500 0 2013年 数据来源：360移动开放平台 恶意程序开发者概况 个人开发者数量，单位：个 企业开发者数量，单位：个 3000 2500 2442 2000 1500 1496 1579 1292 1000 500 0 2013年 2014年 数据来源：360移动开放平台 恶意程序开发者概况 个人开发者数量，单位：个 企业开发者数量，单位：个 3000 2500 2442 2000 1500 1496 1579 1477 1292 1114 1000 500 0 2013年 2014年 2015年 数据来源：360移动开放平台 恶意开发者七宗罪 发布山 寨应用 发布低俗 色情应用 强制下载 第三方应用 无提示 扣费 窥探 用户隐私 使用恶 意广告 提交虚假 身份信息 SE7EN 目录 1 移动恶意程序开发者概况 2 “企业”开发者大显身手 3 恶意开发者之间的“较量” 4 应对策略 流量僵尸 时 间：2015年7月 关键词：游戏、搜索引擎、热搜榜、消耗流量 流量僵尸 下载 恶意模块 获取 搜索关键词 后台模拟 搜索操作 流量僵尸 流量僵尸感染应用签名分布图 15% 26% CN=ngsteam, OU=ngsteam, O=xinyinhe, C=CN dc1e0b472ff25909456acbab345 8efe2 5% CN=google, OU=google, O=android, C=CN 13d2ab6af42bcea33b36185f17b c0bcc 19% CN=Android Debug, O=Android, C=US 738e19cb18cd42c853c30a6897 449ba6 35% 幽灵疑云 时 间：2015年8月 关键词：TimeService、MonkeyTest、Root、反复感染 幽灵疑云 提权模块B 释放、拷贝、安装 本地解密释放调用 请求下载地址 双头蛇木马 私自下载 解密、安装 返回下载地址 部署恶意插件 模块 下载并动态加载运行 静默安装 释放、拷贝、安装 联网更新 提权模块A 自我保护 修改、写入 篡改系统文件 模块 开机自启 幽灵疑云 在对该木马家族进行分析时，发现一个伪装成游戏“Daily Racing”的变 种，在其运行的衍生物中发现了名为ngsteamprf.xml的配置文件。 fastmopay.com 幽灵疑云 恶意程序 MonkeyTest 幽灵疑云 另一个变种联网下载的衍生物中，发现与之前相似结构的网址。 fastmopay.com 幽灵疑云 2015年9月22日，FireEye在其博客也发布了对该恶意程序的分析报告。 幕后的作者指向一家中国公司。 某公司的“黑历史” 幕后黑手 fastmopay 深圳 某公司 xinyinhe ngsteam 某公司的“黑历史” 在哪里 公司总部设在北京 多少人 在广东、上海等地设有销售代理 员工人数在100人左右，其中技术研发人员在10人左右 干什么 鼎盛时期多达50人，其余人员以销售和运营为主 线上渠道：广告推广，应用计费，转卖计费渠道 线下渠道：应用预装，刷机