7月26日，騰訊安全對外發布《2018上半年互聯網黑產研究報告》（以下簡稱《報告》），通過騰訊安全聯合實驗室、騰訊電腦管家、騰訊手機管家、騰訊云提供的海量大數據，全面曝光惡意廣告、手機應用分發、APP刷量等典型黑色產業鏈。結合騰訊安全打擊網絡黑產實踐，《報告》還首度重磅揭秘移動端三大新興網絡攻擊手段，并對2018下半年移動端安全威脅作出預警。

惡意應用每日“掘金”超千萬  用戶與開發者利益雙雙受損

2018年，伴隨移動應用的影響力超過電腦應用，主要互聯網黑產也遷移到手機平臺。《報告》顯示，每天互聯網上約新增2750個左右的新病毒變種，偽裝成各類打色情擦邊球的游戲、聊天交友應用誘導用戶下載安裝。此類手機惡意應用每日影響數百萬用戶，按人均消耗幾十元話費估算，每日掠奪話費金額達到數千萬。

同時，移動端黑產發展的形勢與當前行業生態密切相關。目前國內為軟件付費的習慣尚待養成，軟件開發者通常通過廣告流量變現的形式來獲取收益。一些不法分子瞄準這點，通過惡意推送廣告來加速流量變現。惡意廣告聯盟推送的廣告內容，博眼球、無下限，時常推送色情擦邊球應用、博彩甚至手機病毒。根據騰訊安全反詐騙實驗室監測數據，當前平均每天新增廣告病毒變種257個，影響大約676萬的巨大用戶群，其中珠三角、長三角、京津冀地區受影響最為嚴重。

在競爭激烈的手機應用市場，應用付費推廣也成為了許多不法分子嚴重的“商機”。App刷量黑色產業鏈經歷機器刷量、眾酬人肉刷量再到開始布局木馬自動刷量平臺，技術手段不斷翻新，不僅對手機用戶造成打擾，還極大地浪費了開發者的推廣費用。

相較于刷量，惡意應用分發行為更為流氓。軟件惡意推廣地下暗流整體規模在千萬級上下，主要影響中低端手機用戶。例如部分手機使用的是非官方版本系統，用戶經常會發現手機里莫名其妙冒出來一些應用，就是地下軟件黑產的杰作。

網絡攻擊出現三大新興手段：加固技術、云加載和入侵供應鏈

結合騰訊安全反病毒黑產的實踐，《報告》還首次披露移動端病毒三大新興攻擊手段：加固技術、云加載和入侵供應鏈。據騰訊安全反詐騙實驗室的監測數據顯示，進入2018年以來，利用知名加固解決方案保護自身惡意代碼的病毒應用快速增加，并以社工欺詐類、惡意廣告類、色情類、勒索類等對抗更激烈的病毒家族變現最為明顯。

除了加固技術以外，惡意軟件的開發者還傾向于使用將惡意代碼隱藏在云服務器并采用云端控制的方式下發惡意功能。云加載技術目前已經更新到3.0版本，該版本框架病毒開發者不僅可以通過地域、運營商、機型、設備等維度限制感染用戶群，還能利用VA等虛擬加載技術徹底剝離惡意代碼，普通安全廠商很難再捕獲到病毒的惡意行為。

此外，針對供應鏈的攻擊事件增多，攻擊的深度和廣度的延伸也給移動安全廠商帶來了更大的挑戰。針對供應鏈下游（分發環節）攻擊的安全事件占據了供應鏈攻擊的大頭，受影響用戶數多在百萬級別；第三方SDK安全事件和廠商預留后門也是Android供應鏈中頻發的安全事件，這類攻擊大多采用了白簽名繞過查殺體系的機制，影響用戶數遠超一般的漏洞利用類攻擊。今年4月中旬，騰訊TRP-AI反病毒引擎捕獲惡意SDK“寄生推”，感染300余款知名應用，潛在影響用戶數超過2000萬。騰訊TRP-AI反病毒引擎首次引入基于APP行為特征的動態檢測，結合AI深度學習，能夠及時發現病毒惡意代碼云控加載，有效對抗隱蔽性病毒攻擊。

伴隨移動互聯網的快速發展，黑產攻擊技術日益完善，移動端安全風險持續升高。《報告》同時對下半年移動端安全形勢做出預測，指出攜帶巨量個人和組織數據的智能手機成重大隱患，移動端APT攻擊威脅持續上升；惡意應用檢測與反檢測對抗將愈發激烈，安全攻防進入焦灼局勢。此外，黑產團伙嘗試利用手機平臺生產電子貨幣，多個官方應用市場被爆出存在挖礦惡意代碼，或預示著下半年移動挖礦應用將呈現爆發態勢，值得用戶保持警惕。