近年来,随着国内手机终端厂商格局的基本确立,以往第三方应用市场鱼龙混杂的现象有所改善,国内应用分发市场呈现局部集中化的发展态势。手机终端厂商为了提升用户使用体验、保障用户信息安全,联合监管部门和安全厂商,不断加大对应用市场的投入和管控力度,在开发者准入、应用审核以及审核体系建设等方面都取得成效,国内安卓生态逐渐向好。
近年来,随着国内手机终端厂商格局的基本确立,以往第三方应用市场鱼龙混杂的现象有所改善,国内应用分发市场呈现局部集中化的发展态势。手机终端厂商为了提升用户使用体验、保障用户信息安全,联合监管部门和安全厂商,不断加大对应用市场的投入和管控力度,在开发者准入、应用审核以及审核体系建设等方面都取得成效,国内安卓生态逐渐向好。
但与此同时,由于生产要素的获取极其便利且廉价,在流量利益的驱动下,黑灰产出现大规模扩张、渗透,严重威胁着广大用户的信息和财产安全,成为继病毒之后的另一重大安全隐患。安天移动安全风险应用监测预警平台在持续检测中发现,无论是苹果应用市场、谷歌应用市场,还是国内应用市场均存在多种类型的黑灰产作恶情况。移动安全的攻防重心开始迁移,针对黑灰产的安全治理能力成为检验移动生态安全的重要标准。
安天移动安全凭借对移动应用生态的海量发现能力和丰富的攻防对抗经验,在对移动生态十余年的持续跟踪和研究中发现,大量黑灰产风险应用绕过应用市场直接被安装在终端,因其技术手段相比以往更加隐蔽,难以被现有常规的移动安全机制识别和发现,严重威胁着广大用户的信息和财产安全,由黑灰产泛滥所引发的用户侧安全威胁亟待重视和治理。
移动安全攻防重心正在发生巨大迁移
2017年是移动互联网安全的分水岭。2010-2017年,移动安全攻防对抗一直围绕病毒对抗展开,来自病毒的恶意攻击规模逐年上升。2013年前后,手机厂商通过与安全厂商合作,在系统中标配静态病毒查杀能力,并在2018年前后逐渐加强反病毒能力建设,引入动态AI病毒检测和防护能力,实现对手机病毒的动静结合的全方位阻击。行业反病毒能力和病毒防御体系逐渐成熟、完善,移动恶意代码生存空间正在逐渐压缩。
安天移动安全大数据显示,从2017年开始,移动病毒的增长势头得到遏制,病毒入侵、传染在终端上的检出率逐年下降。然而在流量暴利的驱动下,移动互联网流量和庞大的手机用户仍是黑灰产团伙不愿放弃的追逐之地,黑灰产利用生态规则漏洞和治理短板大肆扩张,严重威胁着广大用户的信息和财产安全,成为移动安全防护与治理的另一重大隐患,移动安全攻防重心正在发生巨大迁移。
安卓生态黑灰产日益猖獗亟待重视和持续治理
风险应用不同于传统意义上的病毒,具有开发者信誉低下、破坏力大、技术形态变化多样等特点,且技术手段更加隐蔽,难以被现有常规的移动安全机制识别,对用户个人信息特别是财产安全构成严重威胁。
在安卓生态中,安天移动安全结合自身海量样本知识库,重点梳理了马甲包、欺诈应用、非法应用三大黑灰产侵入类型。以马甲包类黑灰产应用为例,常见的操作手法是在远控或者一定条件触发机制下,实现APP功能与内容的切换,呈现应用外观、功能与实际功能完全不符的情况,其中以BC、色情、贷款类APP最为普遍。
(iOS马甲包)
(安卓马甲包)
以一款名为“芒果娱乐”(后更新为天马娱乐)BC类APP为例,其通过一款色情影音类APP的开屏广告将用户引流至BC类网站,进而达到为“芒果娱乐”APP违规引流和获利的目的。在安卓生态中,应用市场中的“爱家家用电企业”和“雁貉派单” 虽然应用属性和功能描述为生活服务类APP,实际上APP会请求BC网站链接并推广“芒果娱乐”等BC内容。 针对国内安卓生态以及iOS生态,安天移动安全目前已建立马甲包检测机制,累计发现和持续跟踪数十万马甲应用,日均检测和发现新增马甲包达到上百个。
截止目前,安天移动安全发现,每月受到威胁的终端用户高达数十万,马甲包泛滥所引发的用户侧安全威胁亟待重视和持续治理。
安卓生态持续向好但现有安全机制仍难有效遏制黑灰产侵入
当前,业界对于应用安全侧重点局限于上架审核以及安装时的系统检测。主流应用市场通过上架审核环节对应用的合规性进行安全审查;在终端侧,应用安装和运行的安全管控已普遍被手机厂商纳入系统基础的防护安全模块。但在黑灰产大规模渗透的背景下,现有安全机制在黑灰产治理方面面临两大挑战。
首先,黑灰产技术形态变化多端,审核难度极高。在静态检测技术领域,绝大部分黑灰产应用并不具有代码执行上的异常,而在动态检测技术领域,其也不具备传统动态检测所关注的本地行为异常。特别是马甲包类黑灰产应用,即使是专人进行安全审查,也无法对此类应用进行很好的识别。
其次,线下渠道乱象横生,终端安全审查面临挑战。除了手机官方应用市场,大量应用通过第三方应用市场、广告平台等渠道侵入终端,该类渠道由于安全管控能力相对较弱,成为黑灰产进行非法引流的重要途径,这也意味着,除了要对应用市场进行安全审核,安卓黑灰产防治的主战场实际更多是在终端,终端的威胁感知和管控能力成为治理黑灰产的关键,也决定了黑灰产治理的最终效果。
黑灰产治理是移动安全健康生态建设的关键
当前,虽然国内各大应用市场审核、检测机制日渐趋严,但是在流量利益驱使下,黑灰产对抗技术也在不断升级。作为传统的应对方式,官方应用市场的应用审核和终端的病毒检测,只能针对应用上架和应用安装时的病毒检测,未能覆盖应用的风险维度和全生命周期,导致大量的风险应用突破当前的防御机制,安装到终端。因此终端厂商需要建立安全运营机制,通过应用评级、安全情报等运营体系建立应用的风险评估模型,覆盖面向应用全生命周期建立风险处置策略。
相比开放的安卓生态,苹果iOS闭源生态通过对分发渠道的严格管控,在黑灰产的治理上具有一定的优势,防治的重心也更加聚焦,避免了终端、应用市场双线作战。但生态封闭不等于天然安全,马甲包引流、ASO刷榜、企业证书地下交易都给黑灰产带来了可乘之机,对苹果生态来说,只有引入强有力的检测技术和安全机制,建立应用生命周期立体防御体系,才能解决更多纵深的安全风险。
现如今,黑灰产治理成为移动安全健康生态建设的关键,伴随着黑灰产的大规模扩张,无论是苹果iOS生态还是安卓生态,移动生态的安全与否越来越取决于针对黑灰产的安全治理,只有将关口前移才能从源头上解决黑灰产问题,更好地保护广大用户的信息和财产安全。
