引言

安天AVL移动安全团队（以下简称AVL Team）是安天旗下专注于移动安全和移动威胁对抗的安全企业。从2010年至今，我们经历了一个完整的移动安全发展和威胁对抗的时代，也在此过程中经历了持续的技术对抗博弈。有幸的是在这个过程中，我们承接安天在PC反恶意代码上的浓厚基因和基础，并在总部支持下不断努力，目前已经成为世界范围内具有顶级基础能力的移动安全团队之一，以及全球最大的移动反病毒引擎技术和服务供应商。

本报告所披露的针对移动金融和移动支付系统的持续性地下产业攻击和威胁，是从2013年5月至今，历经近3年时间，通过AVL Team持续的跟进和分析所形成的聚合性情报。早在2013年5月，我们已开始关注到这种在技术上非常简单粗暴的攻击形态。同时，我们也看到了这种攻击和威胁形态是如何从2013年开始持续至今，逐步完善地下产业链条的各个环节，催生出不同的分工和地下交易环节，最终发展成为拥有数万非法从业人员、有明确协作的链条模式，以及成熟的地下产业化的持续威胁行动。

鸣谢

本材料从2016年1月开始筹备，在材料组织过程中获得了高校、安全行业和金融行业同行的支持。

感谢复旦大学杨珉老师及其安全团队，共同参与准备，协助部分技术和分析材料，并对材料整体表达提供修订建议。

感谢交通银行信息技术管理部、招商银行信息科技部、上海浦东发展银行信息科技部，对本材料的初期版本提供的发布建议，并和我们共同探讨有效的安全治理措施。

背景说明和早期披露信息

在移动互联网极速发展的背景下，从2012年开始至今，移动支付基本完成了从用户习惯培养到全面渗透的过程。目前，已有大量金融和支付交易的相关环节逐渐在移动终端侧成为用户主要的需求和关键业务场景。我们在通过移动银行享受便捷的银行业务的同时，也催生了大量相关的移动支付交易业务和环节。

为了保障用户在移动支付过程中的安全性，移动银行采取了大量安全措施。在支付过程中进行身份认证和主要基于手机动态密码的双因素认证，通过安全通信防止移动支付过程中发生支付相关信息的泄露。

从在线支付发展到依赖于用户手机进行基于短信动态密码的双因素认证开始，针对用户的在线金融资产的安全威胁就从PC平台转移到了移动平台。从2010年开始至今，AVL Team所做的一些重要的安全研究已对此做了一些简单的梳理。

2011年

从2011年开始出现的Zbot家族和Spitmo家族是最早的从PC攻击场景转移到移动攻击场景下的恶意代码家族。

● Zbot恶意代码，劫持用户接收的银行动态口令短信，并窃取到远程服务器

● Spitmo，伪装成Token程序，并窃取银行的验证短信到远程服务器。

2012年末

SmsZombie家族开始在国内活跃，其主要的攻击目标为用户收到的银行类、支付类短信，例如包含有“银行”、“支付宝”、“验证码”等，在后续变种中衍生出了以国内十多家银行为目标的攻击行为，其会在后台监听银行应用启动，并弹出精心伪装的银行应用登陆界面，诱使用户输入账户和密码信息。

2013年早期

2013年早期，随着淘宝、支付宝使用的盛行，也出现了针对淘宝、支付宝账号的攻击，其以伪装成淘宝或者伪装成支付宝应用登录界面的攻击方式来窃取用户的淘宝、支付宝账户信息，例如Faketaobao家族。

2013年中期

Googlessms家族开始活跃，其以韩国各家银行为主要攻击目标，并采用了一种比较新的攻击方式，即诱导用户卸载正常的银行应用，从而替换为仿冒的恶意银行应用。

2013年末

一类专门窃取用户手机隐私数据的威胁开始兴起，其主要窃取用户短信内容、用户手机通讯录，以及地理位置信息、电话录音等。其核心功能基本都以短信拦截或隐私截获和泄露为主，而短信拦截是其非常标志性的恶意行为，因此大多昵称为“短信拦截木马”威胁，其中代表家族是emial家族（早期在该恶意代码家族的相关核心代码和C2服务器中均出现该关键词，不知是攻击者有意还是无意为之，其都接近email，故命名为emial家族），该家族下涉及不同的恶意代码变种数百个，同类威胁的恶意代码家族还有数十个，在此我们不一一列举。

2014年

从2014年起，AVL Team就持续地曝光了相关的攻击威胁。通过持续跟踪和分析，我们发现从2013年开始，历经1年时间，围绕短信拦截马的攻击行为开始催生出较为完善的地下产业链，并陆续“吸引”了更多人的加入，从而得到发展壮大。

AVL Team发布的攻击银行类威胁分析报告列表（2014-2016）：

2015年，国外安全厂商开始大量披露针对欧美银行的攻击案例，如SlemBunk、GM Bot、Marcher等等，其主要攻击方式也是监听银行应用，弹出钓鱼登陆界面，窃取银行账户信息，同时窃取用户收到的短信内容，与2013年和2014年早期在我国出现的情况如出一辙。

攻击者通过多年积累和构造的攻击模式已经持续渗透到方方面面，对攻击者来说，广大的潜在受害者和已经被拦截马控制的受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络，更成了攻击者的天然提款机，已然如同一家攻击者拥有的私有银行一般，正因此，我们对整个黑产和威胁用代号名称 DarkMobileBank来命名。

OSINT整理和聚合分析

我们整理了从2013年至今对移动银行和金融支付交易类攻击威胁的OSINT（地区：中国），并按时间进行了梳理（截止到2016年4月10号），同时对其中有相关性的OSINT进行了一定的聚合标定。国内披露相关OSINT总共41篇：其中2012年1篇、2013年7篇、2014年13篇、2015年12篇、2016年8篇。我们按照报告中所披露的关键内容进行了分类（其中省去了安天分享的部分）：

　　威胁整体概述和威胁攻击链

为了更好的对整体威胁攻击行为的完整要素和信息进行呈现，AVL Team分析人员按照攻击链的环节，对攻击的各个环节进行了整理和呈现，通过对不同的攻击环节的重要元素和信息进行标识，快速地描述整个攻击行动的重要环节和方式。

说明：目前对攻击链的描述方法中以适用于APT和Cyber场景的Kill Chain最为著名，由于威胁场景的不同，我们在移动威胁场景下进行了一定程度的精简和改进。其中最关键的攻击场景是攻击者利用远控手段持续侵害受害者，窃取隐私并获利，故将其合并为C2-Obj阶段。

总体威胁图示

　　攻击链清单

攻击链各个阶段和环节的主要战术和技术手法清单：

1

攻击准备（Reconnaissance）

攻击者在发起攻击之前，通常需要进行前期的准备工作。包括各种物料的准备、加入相关的交流群获得最新的经验和分享信息等等。

由于本报告所披露的攻击者群体形成了非常成熟的分工体系和内部交易体系，因此通常新加入的攻击者会先加入网上寻求积极的交流，以获得相关的经验。在部分情况下，会有“师父“的角色来帮助新加入的攻击者熟悉相关攻击过程。

同时，伴随攻击者整体的不断发展和成熟，攻击者对不同地区、不同银行或支付交易体系的攻击有效性，对不同人群等均形成了很丰富的“积累经验”。

2

攻击武器化（Weaponize）

攻击者会精心制作木马程序、钓鱼网站，并注册大量的域名、邮箱、手机号码用于攻击使用。在此环节，还伴随了大量的内部交易和各种倒卖的环节（由于恶意代码本身的机理较为简单，同时目前恶意代码高度流通化和标准化，也导致了基于恶意代码本身的溯源难度急剧增加）。

● 三大运营商用户中，攻击者更加偏爱伪装为移动运营商，其中68%的伪装运营商钓鱼短信都是伪装的10086号码。

● 银行用户中，攻击者更加偏爱招商银行和建设银行的用户，其中接近60%的钓鱼网站都是伪装成招商银行和建设银行的官网。

3

攻击投放（Delivery）

攻击者主要使用伪基站，伪装成例如10086，95555，95533等号码发送欺诈的钓鱼短信或含有恶意代码链接的欺诈短信，短信内容中包含类似官方网址的URL或者短URL链接诱骗用户点击，并跳转到伪装的钓鱼网站。

4

攻击实施（Attack）

攻击者会伪装成正常的应用名称或图标，诱导用户安装木马程序到手机。从威胁Incidents中受害用户感染的“短信拦截木马”类恶意代码统计来看:

● 70%的威胁攻击都是伪装成手机联系人、朋友发来的相册、资料、相片、聚会相册等名称

● 15%的威胁攻击伪装成来自三大运营商，诸如中国移动端、掌上营业厅等名称

● 伪装成银行客户端的占到8%

● 其他还有伪装为车管所，学校等等

　　5

持续侵害（c2obj）

在移动威胁的场景中，我们发现有大量的C2控制行为和对受害者目标的进一步侵害行为的聚合度非常高，通常持续侵害行为都是高频度地和C2的控制行为集合在一起的。因此我们对这个环节的攻击进行了整合标记。在本文的短信拦截木马的攻击当中，通常会具备基于短信（由远程手机号码控制）、邮箱回传、网络控制和回传等综合的“多通道”控制能力。同时，对受害者的侵害行为，通常伴随着较高实时度的远程控制行为（例如，实时转发在线交易的动态验证码）。

● 部分木马程序会接收短信指令或者网络指令，并控制具体的攻击行为。

● 通常木马程序会隐藏自身图标或者提示用户激活设备管理器的行为来避免被卸载。

● 用户的隐私数据被窃取，并进行地下贩卖和交易。

● 受害者的选择并不是盲目的，大多伴随了对用户身份，账号和资产信息的综合分析与判断。

受害者关键资产与影响

在本文所披露的威胁行动中，有多个重度用户隐私或财产相关的资产都在受影响的范围内。

1.资产类型：通讯录

为了更好的实施针对性的欺诈，并扩大攻击范围，木马通常都会对通讯论进行遍历回传。

影响：隐私泄露，攻击者二次利用。

影响量化：过去3年，预计累计超过1亿以上电话号码信息泄露。

2.资产类型：环境录音或通话录音

在早期，木马会进行环境录音或通话录音的回传，在中后期则并未普遍出现。

影响：隐私泄露，攻击者二次利用。

3.资产类型：短信-历史短信箱

为了完成对受害者用户的精准定性和筛选，木马通常会对历史短信进行整体回传。由于在历史短信中包含有大量的重度个人隐私信息，以及重要的银行，支付交易的通知信息留存。因此历史短信箱成为高价值的攻击目标资产之一。

历史短信箱中通常还包含的资产类型有：

银行和银行账号信息、银行末4位尾号、银行流水信息、支付交易行为信息、企业银行账号信息、企业实名信息、第三方支付账号和其它业务账号身份信息等。

影响：隐私泄露，金融标识信息泄露，攻击者二次利用。

影响量化：过去3年，预计累计超过2亿条以上包含用户隐私的短信信息泄露。

4.资产类型： 短信-实时拦截短信

为了实现对受害者财产进一步的侵害，木马通常会具备定向实时短信拦截和转发能力，通过关键字识别特定的实时短信，对包含动态验证码，密码的短信进行中转，绕过基于短信验证码的双因素验证。

影响：验证绕过（登录，转账，密码重置等）。

影响量化：过去3年，预计有接近100万规模的用户存在潜在遭受验证绕过的危险。

5.资产类型： 姓名，证件号码，银行卡号，密码，CVV码，手机号码

在部分情况下，攻击者会通过钓鱼网站，或银行应用界面拦截等手段对用户进行欺诈和钓鱼，获得姓名，证件号码，银行卡号，密码，CVV码，手机号码等信息。

影响：身份信息泄露，银行账户信息泄露

影响量化：过去3个月，预计有数十万用户的信息被泄露

6.资产类 型：资金，第三方账号余额/积分

攻击者的最终目的是实现对受害者的资金或相关高价值资产的窃取。

影响：财产损失或信誉损失。

影响量化：过去3个月，预计有接近数十亿的资金处于被窃取风险下。

以上内容为《针对移动银行和支付交易系统的持续黑产行动披露——DarkMobileBank跟踪分析报告》节选部分，预阅读详细版本，点击左下角蓝色字体“ 阅读原文”。

　　关于安天和安天AVL Team

安天从反病毒引擎研发团队起步，目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商。安天历经十五年持续积累，形成了海量安全威胁知识库，并综合应用网络检测、主机防御、未知威胁鉴定、大数据分析、安全可视化等方面经验，推出了应对持续、高级威胁（APT）的先进产品和解决方案。安天技术实力得到行业管理机构、客户和伙伴的认可，安天已连续四届蝉联国家级安全应急支撑单位资质，亦是CNNVD六家一级支撑单位之一。安天移动检测引擎是获得全球首个AV-TEST（2013）年度奖项的中国产品，全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴。

AVL Team是安天实验室旗下的独立移动安全公司，成立于2010年。成立至今，AVL Team始终专注于移动反病毒领域，致力于向合作伙伴提供最好的反病毒引擎和解决方案，对用户需求有着深刻的理解，并积累了丰富的经验和技术。AVL Team还对重大安全威胁作出高效的应急响应，并积极参与学术界和产业界活动。 AVL Team的主要产品是名为AVL SDK for Mobile的移动反病毒引擎中间件，可以用于检测移动平台的恶意代码、广告件和间谍件等。通过移动反病毒引擎中间件的广泛合作，AVL Team和40多家移动安全领域合作伙伴建立起来覆盖全球过亿用户的威胁感知和监控网络，并在2015年推出了全球首个移动威胁情报平台和相关服务。