主要观点

• 2020年奇安信威胁情报中心累计截获Android平台新增网银盗号木马样本约20万个，针对全球金融行业的攻击依然是攻击者的主要目标之一。

• 从全球范围来看，移动互联网的安全治理相对薄弱，特别是网银盗号木马依然泛滥，呈现出种类繁多、手段多样等特点，对用户财产威胁严重。而相比之下，国内的移动互联网安全治理更有成效，整体安全环境明显好于全球，特别是网银盗号木马等传统移动安全威胁，在国内已经比较少见。

• 2020年，AdbMiner挖矿木马家族攻击活跃，在全球范围内攻陷数以万计的物联网设备，国内被攻陷的物联网设备数量也接近千级。鉴于物联网设备越来越多，物联网安全事件对物联网的设备的影响量也越来越广。

• 由于物联网设备也普遍以Android系统为基础，且物联网设备的安全防护水平普遍不及智能手机，因此，随着用户身边的物联网设备越来越多，物联网设备被攻陷的风险也在日益增加。针对Android系统的安全研究，必须把物联网设备考虑在内。

• 2020年国内依然有多条黑色产业链持续活跃，对用户的隐私、财产安全威胁严重。其中，山寨网贷、裸聊勒索、诱惑视频、刷量广告、黑卡、群控、棋牌私彩最为突出。

摘要

• 2020年奇安信威胁情报中心累计截获Android平台新增恶意程序样本230万个，平均每天截获新增恶意程序样本6301个。其中，恶意扣费类占34.9%、资费消耗类占24.2%、流氓行为类占22.8%、隐私窃取类占12.3%、诱骗欺诈类占4.3%、远程控制类占1.5%。

• 2020年国外出现众多针对金融行业的网银盗号木马，而国内出现少量的网银盗号木马对用户资产造成威胁。

• 2020年老牌挖矿家族AdbMiner针对物联网设备的攻击活动比较活跃，木马通过特定端口持续感染不安全的物联网设备实施挖矿来获取收益。有关监管机构通过微信公众号发布预警消息，警示充电宝木马再次来袭。

• 2020年山寨网贷黑产通过伪冒正规网贷APP对民众资产以及个人信息造成严重威胁。

• 2020年裸聊勒索黑产利用社会工程学引诱男性受害者下载安装裸聊木马并引诱其进行裸聊，然后通过木马窃取受害者裸聊视频并对受害者进行威胁恐吓来获取钱财。

• 2020年诱惑视频木马通过伪冒色情APP引诱用户购买VIP来骗取钱财，但并不提供任何完整色情视频。

• 2020年刷量广告黑产通过对热门APP二次改包的方式来注入广告模块并将广告收益人指向自己。

• 2020年新型黑卡产业通过木马远程控制受害者设备的方式，将受害者的设备作为自己的基础设施来向下游黑产人员售卖服务进行收益。

• 2020年群控黑产继续发展，通过最新云控来登录大量虚假账户，然后通过注册水军等多种方式获取收益。

• 2020年棋牌私彩黑产继续通过盗版视频推广、群推广等多种渠道推广木马程序，引诱受害者进行赌博并通过木马程序控制赌博结果来骗取受害者钱财。

关键词: 移动安全、金融、流量、网银盗号木马、黑色产业链、挖矿、物联网设备

第一章 Android平台恶意样本分析

2020年奇安信威胁情报中心累计截获Android平台新增恶意程序样本230万个，平均每天截获新增恶意程序样本6301个。2020年全年共有三个月爆发较大规模的新增恶意程序样本，分别是位于上半年的4月（34.6万个），下半年的10月（43.6万个）和11月（45.2万个），累计共占全年新增恶意程序样本的53.7%。其中在爆发最高峰的10月和11月，这两个月的恶意样本占比高达70%以上，是最低峰6月的4倍。2020年Android平台各月新增木马数量见下图。

2020年移动端恶意样本类型主要为恶意扣费(占全年移动端恶意样本的34.9%)，其次是资费消耗(占比24.2%)、流氓行为(占比22.8%)。可以看到，大半的移动恶意程序是直接冲着用户“钱包”来的，切实关系到用户直接的经济损失。

第二章 金融类Android木马攻击分析

国内外的Android应用安全环境存在很大的不同，世界各个不同地区的流行Android木马，其攻击目的、攻击方式、伪装方式也有很大的不同。研究和追踪全球木马流行趋势，对于我们做好国内的安全“免疫”工作，具有很重要的参考价值，也是威胁情报分析的核心工作之一。所以，在分析国内Android木马流行趋势之前，我们首先对国外的Android木马流行趋势做一个基础分析。

一、全球网银类木马流行趋势

2020年奇安信威胁情报中心累计截获Android平台新增网银盗号木马样本约20万个，其中TOP5的网银盗号木马家族样本多达近16万个。

在TOP5全球网银盗号木马家族中，最“耀眼”的当属Anubis和Ceberus，其除了仿冒数百款国外银行应用进行攻击外，还在疫情期间借助疫情诱惑、吸引受害者。2020奇安信威胁情报中心疫情期间分别对其展开了披露，提醒广大移动互联网用户谨防中招。

网银盗号木马常常伪装成其他应用程序诱骗用户下载安装。监测显示，Chrome(23.7%)、佐川急便(8.2%，日本流行的快递应用)、Flash Player(4.7%)是被伪冒量最多的应用。下图给出了被国外网银盗号木马仿冒最多的10类应用程序。TOP10排名见下图。

Chrome浏览器是国外用户手机上一款常用的APP，国外用户对该APP的信任程度较高，故攻击者们常将其作为仿冒的主要目标。另外，攻击者们也会出于某些目的将目标瞄准特定地区，如针对日本地区的佐川急便，针对土耳其地区的Sistem Güncelleştirmesi(系统更新)，针对韩国地区的KB저축은행(KB储蓄银行)，针对俄语地区的ВТБ Онлайн(VTB在线)、Одноклассники(Odnoklassniki)等。

分析显示，在国外，流行的网银盗号木马主要通过以下四种技术方式来实现盗取用户银行卡凭证信息。

1.）利用钓鱼页面

例如，Chrome浏览器具备绑定银行卡的功能，所以木马伪冒Chrome在启动的时候弹出银行卡绑定页面诱骗用户输入银行卡凭证。

2.）伪冒银行APP

仿冒合法网银APP软件的木马程序，会在用户登录时要求用户输入个人信息以及银行卡凭证进行窃取。

3.）弹出钓鱼页面覆盖银行APP

木马一经安装启动就会在桌面上消失，躲藏在后台默默运行，等待用户启动正常银行APP时弹出钓鱼页面覆盖银行APP的页面来诱骗用户输入银行卡凭证进行窃取。

4.）利用无障碍服务

木马启动后要求用户开启Android系统为残障人士提供的无障碍服务来监听用户使用银行APP情况，木马还会记录键盘输入信息来进行窃取银行卡凭证。

二、针对国内金融机构的仿冒木马

国内网络监管审查相比国外更加严格，移动互联网治理工作更有成效，拥有较好的大环境。研究发现，在国内，仿冒其他应用的网银类木马数量要比国外少得多。2020年，奇安信威胁情报中心共在国内监测伪冒正常应用的网银盗号木马近百个。其中主要以伪冒各大银APP、伪冒安全软件以及银行相关APP为主。具体分布见下图。

2020年10月份，我们捕捉到一个国内网银盗号木马新家族“BYL”，该家族会伪装成国内数家知名银行APP。该家族木马通过获取用户银行卡凭证、个人信息来盗窃用户财产。奇安信威胁情报中心大数据统计，该样本于2020年7月至10月中旬首次爆发，至少在国内31个省级行政区的用户手机上进行传播，感染总设备多至2000台左右，其中山东11.5%、上海6.9%、四川6.7%为全国感染量最多的三个省级地区。

2020年12月，该家族木马再度来袭。奇安信威胁情报中心大数据统计，截至2020年12月31日，全国12个省级行政区用户对BYL网银盗号木马家族搭建的钓鱼下载页面的访问数量达到万级，其中内蒙古(11.8%)、北京市(4.5%)、广东省(4.2%)是国内钓鱼下载页面访问量最多的三个地区。具体情况见下图。

第三章 物联网Android木马攻击分析

以往针对Android木马的研究大多集中在智能手机领域。但奇安信威胁情报中心监测显示，随着物联网领域的兴起，越来越多的物联网设备开始搭载Android系统，且物联网设备的整体安全防护及安全管理能力都远远不及智能手机。所以，物联网设备已经成为很多黑产团伙盯上的新目标。

一、挖矿木马

“AdbMiner”挖矿木马诞生于2018年，直至2020年依然存活，是今年Android平台最流行的一款挖矿木马。主要通过droidbot攻击模块对已经打开的 adb 调试端口的Android设备进行蠕虫传播。其一开始针对的目标是电视盒子设备，后续也被发现于充电桩等其它Android物联网设备中，其感染对象几乎全都是物联网设备。

根据数据统计，挖矿家族AdbMiner在全世界感染量接近万级，国内感染量达到千级。

2020年9月30日，日本某地区充电桩遭受AdbMiner家族攻击后正常业务无法展开，奇安信威胁情报中心发现后发布报告披露IoT挖矿家族AdbMiner在野活动。

二、充电宝木马

2020年12月，监管机构发布一则重要提醒，让广大人民群众警惕身边的共享充电宝，其内部很有可能就植入有木马程序。

正规的共享充电宝只提供充电功能，而不会提供包含数据传输线路的功能，因此插上充电线后不会有任何弹窗。而恶意改造的充电宝会存在申请权限访问用户个人隐私数据或者弹窗显示是否允许访问手机上的数据等，具体见下图。

针对此类通过充电宝传播的木马程序，奇安信威胁情报中心给出如下安全建议。

1.）使用正规商家的共享充电宝。

2.）如果插入充电宝后有任何弹窗，就应该提高警惕并选择否。

3.）使用Android手机时，如无必要不要开启开发者模式。

第四章 移动平台黑产活动监测

互联网用户的网络安全意识还较为薄弱，容易被黑产人员设计好的套路所欺骗。2020年，奇安信威胁情报中心披露多条黑色产业链相关细节，揭露常见欺诈套路，为普及安全常识做出贡献。

一、山寨网贷

（一）山寨网贷诈骗模式

山寨网贷APP，是指黑产团伙开发的，仿冒某些知名网贷平台的APP，或完全虚假的网贷APP。不同于一般的木马程序，此类APP不仅会窃取用户网银等帐号信息，还会通过虚假的网贷平台，诱骗用户缴纳各种费用，从而实施诈骗。

山寨网贷平台的攻击过程一般如下：

1.）推广山寨网贷APP

黑产组织首先仿冒知名机构网贷平台，通过短信、电话、聊天等方式进行推销，诱骗借款人下载安装与正版APP相似的山寨网贷APP。相关钓鱼短信见下图。

2.）一旦借款人使用了山寨网贷APP，便会被要求山寨网贷APP中注册自己个人信息申请借款，但申请的额度往往无法支取。在遭受个人信息被泄露的同时，假客服还会以手续费、保证金、银行账号解冻费、提现费用等话术套路，引导借款人进行转账或其他行为，进一步造成用户的个人财产损失。

（二） 山寨网贷APP态势

2020年奇安信威胁情报中心累计截获山寨网贷样本多达5万多个，涉及2万多个APP，其中采用有钱花(10.8%)、倢信金融(4.9%)、借呗(4.9%)的应用名称出现的频率最多。山寨网贷主要是仿冒成大公司相同或者相似的应用名称，让用户难辨真假。具体见下图。

2020年，奇安信威胁情报中心截获的所有山寨网贷，分为两类恶意家族，分别为FakeLoan家族(占比96.6%)和BlackLoan家族(占比3.4%)。具体见下图。

二、刷量广告

刷量广告APP，主要分为两种类型。

一种为仿冒正规APP类。黑产团伙开发的，仿冒一些常用应用或者热门应用。该木马程序主要在受害者点击启动之后，在后台偷偷访问广告链接并模拟用户点击来通过受害者的流量访问广告，以此来刷取广告联盟提供的广告播放收益。

另外一种为在正规APP中增加插件类。黑产团伙直接篡改应用市场上的热门应用，并在其中插入黑产团伙编写的广告插件，以实现广告播放功能，然后将受益者的信息填写为黑产团伙相关资产，最后再将修改后的热门应用通过其他应用商店进行传播，以此来实现借助别人的热门应用为自己赚取广告收益。

（一）刷量广告黑产分析

仿冒正规APP类刷量广告的黑色产业链的具体过程如下图。

仿冒正规APP类刷量广告的攻击过程一般如下。

1.）从开发人员那里购买恶意广告木马(恶意广告木马指在用户不知晓的情况下偷偷访问广告链接获取广告收益的恶意木马)。

2.）通过网页下载、应用商店等方式传播木马。

3.）受害者启动木马后，木马后台访问并模拟点击广告，广告联盟平台会将广告收益返回给黑产人员。

在正规APP中增加插件类刷量广告的黑色产业链。具体过程如下图。

在正规APP中增加插件类刷量广告的攻击过程一般如下。

1.）黑产人员从各大应用商店上收集一些拥有一定下载量的应用，用来作为山寨的对象。

2.）黑产人员再对收集到的APP进行“插包”，在正规APP里插入广告联盟平台提供的广告插件进行广告播放，并把广告收益者的信息填写为自己。

3.）将修改过的山寨APP发布到各大应用商店上让用户下载使用。

4.）用户使用山寨APP时产生的广告收益由广告联盟平台返还到黑产人员那里。

（二）刷量广告样本态势

2020年奇安信威胁情报中心监测到恶意广告样本新增数量多达近13万个，其中12月份(占比50.1%)、4月份(占比26.3%)、11月份(占比15.9%)新增的样本数是今年增长最多的几个月份。具体分布如下图。

在新增的恶意广告样本中，我们根据应用名称对样本进行统计，绘制出TOP 10的数量分布。其中以AVG AntiVirus 2020 for Android Security FREE (2.2%)、七龙珠 (0.1%)、天天美图(0.1%)为应用名称的广告木马是今年新增广告木马中数量最多的，但由于名称太多即使是TOP榜里的应用名称在今年新增广告木马总量中占比也较低。具体分布如下图。

我们对2020年广告木马家族的样本数量进行TOP排序，其中Hiddad家族(占比61.9%)、Ewind家族 (占比21.7%)、Airpush家族(占比5.7%)是样本数量占比最多的TOP3家族。具体分布如下图。

三、棋牌私彩

棋牌私彩APP，是指黑产团伙开发的，可以操控结果的棋牌私彩木马。通过引诱用户使用该程序，一开始先给受害者一些甜头，引诱受害者加大投入，随后再操控棋局或牌局让受害者倾家荡产。

（一）棋牌黑色产业链分析

棋牌私彩黑产具体实现如下图。

棋牌私彩黑产实现的过程一般如下。

1.）雇佣开发人员开发棋牌私彩APP。

2.）通过多种渠道推广棋牌私彩APP。

下面给出当前流行的集中典型推广方式的具体介绍。

狗推: 棋牌推广员，俗称“狗推”，是一种黑色推广渠道，通过在各大社交媒体和招聘网站上进行宣传，以此来引诱想走捷径获取高薪的年轻人。受害者一旦被骗出国外就对其进行人身自由控制，强制其进行先骗人再骗钱的诈骗行为，如果想要离开就需要缴纳高额赔偿，为了离开或者被洗脑后为了赚钱，逐渐泯灭良心去从事通过网上交友引诱其进行赌博。

诱惑视频推广：通过拥有一定客户群体的诱惑视频网站，进行广告推广。几名女子每天固定时间进行诱惑视频直播。观看直播需要先在网络棋牌平台上注册充值，才能获得观看权限。如果充值超过一定的额度，就可以观看一对一诱惑视频直播。常见网站推广如下图。

盗版视频网站、正规APP推广：一些盗版视频资源网站会将棋牌产业推广嵌入到视频播放中，以及一些正规地拥有一定用户量的App也会接棋牌产业广告推广来盈利。盗版视频推广如下图。

电竞赞助、直播推广：棋牌产业公司通过赞助电竞战队在微博等大型社交平台公开引流，以及通过直播平台各大主播进行推广。电竞直播推广如下图。

微信群推广、小程序群推广: 小程序的火热及其带来的方便高效性博得了很多用户的好感，很多人对它们的戒备心并不是很强，随手一个转发到群聊，点击量就会不断增加。

3.）通过以下三种手段实现获取利益。

第一，操控开奖结果保底盈利让大多数玩家输钱。

第二，以各种理由拒绝中高额彩票的用户提现从而继续指导投注至最后输光为止。

第三，推荐各网贷平台或自己平台贷款给用户买彩。

（二）棋牌私彩APP分布态势

2020年奇安信威胁情报中心根据捕获的新增棋牌私彩类样本数据对应用名称进行分布统计。从分布情况可以看出棋牌黑色产业使用的应用名称比较分散，其中大发彩票(0.2%)、好彩手游(0.2%)、黑桃棋牌(0.2%)为应用名称的样本是最多的。具体分布如下图。

四、诱惑视频

诱惑视频APP，指的是黑产团伙专门开发的，伪冒成色情APP的木马程序。通过诱惑的图标、简短的几秒诱惑视频引诱用户下载使用并开通VIP才可以看完整视频，用户即便支付费用，成为VIP，最终也不会有任何诱惑视频播放。具体过程见下图。

（一）诱惑视频产业链分析

诱惑视频黑产的具体过程一般如下：

1.）黑产人员从开发人员那里购买伪冒的诱惑视频APP。

2.）通过QQ群、微信群、网页下载等方式诱惑用户进行下载安装。

3.）用户使用时，只展示诱惑图片或者播放几秒诱惑视频引诱用户去购买VIP观看完整视频，但用户支付完毕后APP并不会播放完整视频。

（二）诱惑视频木马样本态势

2020年奇安信威胁情报中心累计截获20多万个诱惑视频木马样本，其中以Porn Factory App (93.7%)、MyPleasure App (2%)、蜜桃 (0.2%)的应用名称出现的频率最多。

我们识别这批诱惑视频木马为4个木马家族，其中sexplayer家族 (占新增木马家族的92.9%)、PornApp (4.3%)、PornVideo(2.7%)是这批样本中检出量最高的TOP3家族。从分布情况上可以看出今年诱惑视频木马的主流家族是sexplayer。

五、裸聊勒索

裸聊勒索APP，是指黑产团伙专门开发的，伪装成正常的直播APP，其本质就是一个木马程序，安装启动后会窃取用户联系人信息。当黑产人员引诱受害者进行裸聊时，该木马程序会在后台偷偷录取受害者视频上传到黑产人员服务器里，随后黑产人员就可以依靠视频来勒索受害者。具体过程见下图。

裸聊勒索的具体过程一般如下：

1.）黑产人员从上游号商黑产人员那里获取目标男性的QQ、微信账号。

2.）黑产人员从开发人员购买恶意直播APP。

3.）黑产人员通过从号商黑产买来的QQ、微信号和受害者建立联系，用话术伪装成主播诱骗受害者安装直播木马，木马一经安装就会自动获取设备上的联系人信息，并发送给黑产人员。一旦获取受害者的信任就会诱惑受害者使用木马进行裸聊，在受害者裸聊时，木马会在后台偷偷录下裸聊视频传送给黑产人员。

黑产人员展开勒索受害者获取收益。勒索信息示例如下图。

六、黑卡

黑卡，是指黑产团伙在网络诈骗犯罪过程中使用的，非实名登记的移动电话卡、虽经实名登记但使用者并非本人的电话卡，或者是通过木马远程控制的受害者设备，是犯罪分子所使用的重要“基础设施”。主要分为两种类型。

第一种就是上面提到的非实名登记的、实名登记但非自己的电话卡，通常交付的也是实体电话卡，这种黑卡属于一次性用品，被封之后就无法再次使用。

第二种是指通过远控木马(控制用户手机的木马病毒)感染并控制受害者移动设备作为“黑卡“基础设施。上游黑产将受感染的设备统一管理，然后提供相关黑产服务售卖给下游黑产，并不需要交付实体电话卡，而且由于受感染的设备是实名制的正常用户，所以可以多次使用。

本文具体说明的为上文中的第二种通过远控木马感染并控制受害者移动设备的“黑卡”。具体黑卡黑产实施过程如下图。

黑卡产业实现的过程一般如下。

1.）上游黑产人员从开发人员那里购买远控木马。

2.）上游黑产人员通过网页、QQ群、微信群等渠道传播远控木马等待用户下载安装。

3.）上游黑产人员将受控制的所有受害者设备作为自己的基础设施，然后通过QQ群、微信群等渠道向下游黑产人员出售黑卡服务。

4.）下游黑产人员购买上游黑产人员提供的黑卡服务，并通过电商返利、注册平台水军账号、诈骗等方式进行获益。

七、群控

群控软件，本质是通过使用多部真实手机或模拟多部手机，在手机中安装脚本软件来控制手机上的APP，修改手机软硬件信息，达到模拟人工使用APP的效果。其目的是通过自动化手段，最大化模拟真实用户的操作请求，以达到吸粉、引流、广告、“薅羊毛”等作弊目标。

早在2018年，央视揭露娱乐明星流量数据造假的行业内幕，例如某些艺人发了一条普通的内容，短时间获得上千万甚至是上亿的浏览量；某某微博粉丝数量几十上百万，但是你却从来没有听说过他，以及他的粉丝从来没有评论过其发表的微博等。这些奇怪现象的背后就是一条群控黑色产业链。相关新闻披露如下图。

群控软件的具体分类如下。

第一代群控：多开模拟器，让一台手机上实现多开应用功能

第二代群控：群控，将上百台手机界面映射到一台计算机上，在计算机上使用群控软件批量操作所有手机。

第三代群控：传统云控，利用云端远程下达命令，本地收到命令群发到手机群然后执行任务。

第四代群控：新型云控，通过数据包形式和服务器进行交互来实现登录、绑定邮箱、更改密码等操作。

表1 四代群控软件对比表格

群控黑产具体实现过程如下图。

群控黑产实现过程一般如下。

1.）从开发人员那里购买云控平台(即4代群控软件)。

2.）从上游恶意注册商那里购买大量社交账号，然后通过群控发送数据包进行账号登录，然后向下游黑产人员售卖云控服务。

3.）下游黑产人员购买上游的云控服务，通过“薅羊毛”、刷评论、刷赞、微博关注等各种途径将流量变现。

第五章 安全建议

现今智能手机已经成为现代人生活的必需品，它不仅存储着我们每个人的个人隐私信息，还与我们的工作、生活息息相关。种类多样的APP，在带给我们丰富多彩生活、工作便利的同时，也包含着我们难以察觉到的威胁。

无论是个人、企业、国家，在移动网络技术飞速发展的过程中，面临的威胁也随之而来。对于个人我们要保障隐私不外泄，对于企业我们要保障企业利益不会蒙受损害，对于国家我们保障国家安全不受威胁。我们希望用户从个人出发重视移动安全，加强个人网络安全防范意识，为保护个人因素、维护企业利益、保障国家安全贡献自己的一份力量。

针对普通用户如何避免遭受Android平台恶意应用的侵害，奇安信威胁情报中心给出了以下防护建议：

1.）使用正版和正规官方应用市场提供的APP应用，不要安装非可信渠道的应用、不要随意点击不明URL链接和扫描安全性未知的二维码信息；

2.）移动设备及时在可信网络环境下进行安全更新，不要轻易使用外来的网络环境；

3.）使用正规商家的共享充电宝，不轻易开启开发者模式；

4.）确保安装有手机安全软件，并进行实时保护；

5.）若发现手机感染木马病毒，请及时使用安全软件进行清理，避免重复交叉感染；

6.）积极学习网络安全知识，及时了解当下流行的网络骗局，避免陷入“社交约会类”“兼职类”“金融理财类”“冒充身份类”等骗局中。

参考资料

[1] “新冠肺炎”勒索病毒出现，Anubis 利用“新冠肺炎”起死回生

https://ti.qianxin.com/blog/articles/coronavirus-ransomware-appears-anubis-uses-coronavirus-to%20resurrect/

[2] Cerberus（地狱犬）- Anubis的邪恶传承者

https://ti.qianxin.com/blog/articles/cerberus-anubis-evil-Inheritor/

[3] 伪冒国内银行的新窃取木马“BYL”

https://mp.weixin.qq.com/s/1aprBf-7ljVxEh0kxJvcKw

[4] 伪冒网银盗号木马“BYL”持续入侵

https://mp.weixin.qq.com/s/8enzy3eeB5_w4qpFEJv4Nw

[5] 手机借贷中的偷拍者

https://blogs.360.cn/post/shou-ji-jie-dai-zhong-de-tou-pai-zhe.html

[6] IoT攻击中的一角：不熄的“AdbMiner”黑产活动

https://mp.weixin.qq.com/s/7RByifNA9cVG9586_76Dlw

[7] 窥探裸聊诈骗背后黑色产业链的一角

https://www.secrss.com/articles/19052

[8] 裸聊诈骗一——随机型诈骗

https://zhuanlan.zhihu.com/p/134031974

[9] 广告行业数据分析：预计2020年中国移动广告市场规模为4144.9亿元

https://www.iimedia.cn/c1061/73223.html

[10] 黑产新“基建”：沉淀在上游的“虚拟身份”制造机

https://www.secrss.com/articles/24425

[11] “群控”终极篇：五代流量黑产全解构

https://zhuanlan.zhihu.com/p/259907585

[12] 《10亿流量背后的秘密》这不是偶像剧，真相竟然是…警匪片

https://mp.weixin.qq.com/s/Q5RpwjEdEfuGWbm_xUfOsw

[13] 揭秘：山寨网贷APP

https://www.thepaper.cn/newsDetail_forward_7047793

附录A 奇安信威胁情报中心移动安全团队

奇安信威胁情报中心移动安全团队一直致力移动安全领域及Android安全生态的研究。目前，奇安信的移动安全产品除了可以查杀常见的移动端病毒木马，也可以精准查杀时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件。通过其内部分析系统可以有效支持对溯源分析等追踪。通过其高价值攻击发现流程已捕获到多起攻击事件，并在去年发布了多篇移动黑产报告，对外披露了三个APT组织活动，其中两个是首发的新APT组织（诺崇狮组织和利刃鹰组织）。未来我们还会持续走在全球移动安全研究的前沿，第一时间追踪分析最新的移动安全事件，对国内移动相关的黑灰产攻击进行深入挖掘和跟踪，为维护移动端上的网络安全砥砺前行。

附录B 奇安信移动产品介绍

奇安信移动终端安全管理系统（天机）是面向公安、司法、政府、金融、运营商、能源、制造等行业客户，具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇安信在海量移动终端上的安全技术积淀与运营经验，从硬件、OS、应用、数据到链路等多层次的安全防护方案，确保企业数据和应用在移动终端的安全性。

奇安信移动态势感知系统是由奇安信态势感知事业部及其合作伙伴奇安信威胁情报中心合力推出的一个移动态势感知管理产品。不同于传统移动安全厂商着重于APP生产、发布环节，为客户提供APP加固、检测、分析等，奇安信移动态势感知系统面向具有监管责任的客户，更加着重于APP的下载、使用环节，摸清辖区范围内APP的使用情况，并为客户提供APP违法检测、合规性分析、溯源等功能。

声明：本文来自奇安信病毒响应中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。