安全趋势分析！腾讯发布2018上半年互联网黑产研究报告

病毒木马的演变史，就是一部互联网黑产演变史。病毒木马从最初的以炫技为目的，逐步过渡到与利益相关：哪里有流量，哪里能够获利，哪里便会有黑产聚集。

[本文来自：www.ii77.com]

以下为摘录，点击“阅读原文”查看报告全文
[原创文章：www.ii77.com]

2018年，伴随移动应用的影响力超过电脑应用，主要互联网黑产也迁移到手机..。腾讯安全反诈骗实验室观测数据表明，以持续多年的暗扣费黑产、恶意移动广告黑产、手机应用分发黑产、App推广刷量黑产为典型，这些移动端的互联网黑产，给用户和软件开发者带来了巨大的经济损失。

同时，2018年是区块链大年，几乎所有的新兴产业，都绕不开区块链这个关键词。与之相应，2017年下半年至今，互联网病毒木马的主流也都围绕区块链、..、以太坊、门罗币而来。由于..具备交易不便于警方追查的特性，全球范围内的黑市交易，大多选择..充当交易货币。由..等数字货币引发的网络犯罪活动继续流行，挖矿木马成为了2018年影响面最广的恶意程序。对于挖矿而言，除了大规模投入资本购买矿机自建矿场，黑产的作法是控制尽可能多的肉鸡电脑组建僵尸网络进行挖矿。而僵尸网络除了可以挖矿牟利，控制肉鸡电脑执行DDoS攻击也是历史悠久的黑产赢利模式之一。

为此，腾讯安全联合实验室整理了2018年上半年互联网黑产攻击数据和发展现状，分别从移动端和PC端两个方面详细解读黑色产业链的具体特征、攻防技术和发展态势，为大家揭开互联网黑产的面纱。

2018年上半年，手机病毒类型多达几十种，大部分病毒都属于资费消耗、恶意扣费和隐私获取这三种类型，占比分别为32.26%、28.29%和20.40%。此外，手机病毒的功能日益复杂化，一款病毒往往兼具多种特性和恶意行为。4月初腾讯TRP-AI反病毒引擎曾捕获一款名为“银行节日提款机”的恶意木马，伪装成正常的支付插件，在用户不知情的情况下，私自发送订购短信，同时上传用户手机固件信息和隐私，给用户造成资费损耗和隐私泄露。

1.四大主流黑产链条

1.1暗扣话费黑产：日掠夺千万的“抢钱”产业链

暗扣话费是非常古老的互联网黑产。大部分用户会预充值一些话费用于支付套餐的消耗，平时也很少再关注话费，实际上，这些预存的话费余额还可以用来订阅各种增值服务。移动黑产正是利用这一点，串通利益共同体一起窃取用户话费余额并牟取暴利。

腾讯安全反诈骗实验室研究发现，此类黑产以稀缺的SP提供商为上游，SDK根据掌握的不同SP资源开发相应的SDK，并将这些SDK植入到伪装成..、游戏、交友等容易吸引网民的应用中。实现暗扣话费变现后，利润通过分成的方式被整个产业链瓜分。此类黑产核心的扣费SDK开发团队大概有20家左右，主要分布在北京、深圳、杭州等地。

据腾讯安全反诈骗实验室观测，暗扣话费的手机恶意软件的影响近期又呈增长之势。

1.2广告流量变现：九大家族控制数百万广告流量牟取暴利

当前中国网民对手机应用中广告的态度整体较为宽容，国内消费者为应用付费的习惯尚待养成，正规的软件开发者同样需要通过广告流量来获利收益。然而，某些内置于各类应用中的恶意广告联盟，主要通过恶意推送广告进行流量变现的形式来牟利，平均每天新增广告病毒变种257个，影响大约676万的巨大用户群。这些恶意广告联盟推送的广告，内容更加无底线，在某些时候突然推送出..擦边球应用、..甚至手机病毒也不足为奇。

腾讯安全反诈骗实验室的监测数据表明，越是经济发达的地区，恶意广告流量变现的情况也越发严重。珠三角、长三角、京津冀遭受恶意广告流量的影响远大于全国其他区域。

1.3手机应用分发黑产：沉默但不简单的地下软件分发渠道

在应用市场竞争日益激烈的情况下，软件推广的成本也在升高。一些初创公司较难在软件推广上投入大量成本，部分厂商便找到了相对便宜的软件推广渠道：通过手机应用分发黑产，采用类似病毒的手法在用户手机上安装软件。据腾讯安全反诈骗实验室监测数据显示，软件恶意推广地下暗流整体规模在千万级上下，主要影响中低端手机用户。例如部分用户使用的手机系统并非官方版本，经常会发现手机里莫名其妙冒出来一些应用，这就是地下软件黑产的杰作。

通过手机恶意软件后台下载推广应用，是手机黑产的重要变现途径。腾讯安全反诈骗实验室的研究数据表明，手机恶意推广的病毒变种每天新增超过2200个，每天受影响的网民超过1000万。

1.4 App刷量产业链：作弊手段骗取开发者推广费

为了将自己开发的手机应用安装在用户手机上，软件开发者会寻找推广渠道并为此付费。一部分掌握网络流量的人，又动起歪脑筋：利用种种作弊手段去虚报推广业绩，欺骗软件开发者。根据腾讯安全反诈骗实验室对App刷量产业链的研究，该产业链主要有三个阶段：第一阶段：机刷时代(模拟刷、群控)；第二阶段：众筹肉刷；第三阶段：木马技术自动刷量。

2.三大新兴攻击手段

2.1黑产利用加固技术进程在加速

加固技术开发的本来目的是用于保护应用核心源代码不被窃取，随着病毒对抗的不断提升，越来越多的病毒应用开始采用加固来保护自己的恶意代码不被安全软件发现。

目前国内外有很多成熟的加固方案解决厂商，这些厂商存在很多先进的加固技术和较完善的兼容性解决方案，但是这些方案解决商的这些优点正成为黑产很好的保护伞。根据腾讯安全反诈骗实验室的数据显示，进入2018年以后利用这些知名加固解决方案的病毒应用正在快速增加。

从病毒家族的维度看，社工欺诈类、恶意广告类、..类、勒索类等对抗更激烈的病毒家族更喜欢使用加固技术来保护自己。

2.2黑产超级武器云加载进入3.0时代