腾讯安全反诈骗实验室发布《2017年Android“间谍软件”年度总结报告》
2018-02-08 13:44:54   来源：中国网科学   评论：0 点击：

近日，腾讯安全反诈骗实验室正式发布《2017年Android“间谍软件”年度总结报告》（下简称《报告》），详细盘点了2017年间谍软件发展态势及典型事件，并就间谍软件的应对及防范措施提出了专业建议。

2017年六大恶性间谍软件事件冲击全球信息安全防线

据腾讯安全反诈骗实验室大数据显示，Android间谍软件样本数量近两年呈上升趋势，其中2017年较2016年上涨约20%；用户感染量上升幅度也极为明显，2017年已突破10万。

恶意间谍软件数量在过去一年中急剧攀升，为全球数据信息安全敲响了警钟。2017年4月，Google和Lookout的安全实验室报道了一款非常复杂的Android间谍软件——Chrysao，被攻击者用来攻击以色列、格鲁吉亚、土耳其和墨西哥等国的活跃分子以及新闻记者；8月，Google披露了一款名为Lipizzan的间谍软件家族。该间谍软件家族可伪装成具备清理功能、备份功能的应用程序来吸引用户下载安装，谷歌应用商店中目前发现有20多款应用属于Lipizzan家族；9月，移动安全公司 Lookout发布了复杂间谍软件xRAT的报告。xRAT报告指出，该恶意程序可实现探测躲避、删除指定应用和文件、搜索特定应用数据等先进功能，且攻击者可实现大部分功能的远程控制。

随后，Android Media Projection服务爆出高危漏洞，马上被间谍软件组织利用，能针对安卓5.0-6.0系统的手机进行屏幕截图，窃取用户隐私；国际威胁组织“双尾蝎”爆出VAMP移动恶意软件变种“GnatSpy”，能从被感染的设备获取更多信息，包括SIM卡状态、电池、内存和存储使用情况；Skygofree间谍软件最新变种可通过漏洞侵入用户设备，黑客可以完全远程控制受感染的安卓手机。

商业间谍软件迅猛增长，RAT泛滥加剧手机安全风险

在恶意间谍软件层出不穷的同时，Android平台的商业间谍软件应用增长也非常迅猛，用户甚至可以直接通过搜索引擎或应用市场获取相关应用程序下载。

《报告》指出，几乎所有的商业间谍软件应用程序都是需要用户手动安装到目标设备上，这也是商业间谍软件与传统恶意间谍软件间的根本差别。其中一些商业间谍软件还会利用设备的管理权限在目标手机上获得持久性和自我保护功能。而在功能方面，二者没有太大差异。

（商业间谍软件与恶意间谍软件功能对比差异）

虽然商业间谍软件都表明自身为用户提供合法的帮助，但很多商业间谍软件都存在很高的安全风险。一方面，间谍软件的滥用会侵犯被监控人的隐私，恶化组织成员间的关系；另一方面，由于一些商业间谍软件的开发者安全意识不足，隐私数据被简单存储到服务器后，存在二次泄漏的可能。另外，间谍软件会增大感染恶意软件的风险，对手机安全造成影响。

《报告》还指出，随着恶意间谍软件和商业间谍软件的快速增长，很多Android RAT工具也扩散开来。RAT意即远程访问木马，通过这类工具，只需简单几步就能制作一个间谍软件。《报告》认为，RAT的泛滥势必会导致Android间谍软件的增长，将对用户数据隐私安全造成更大威胁。

腾讯自研AI引擎TRP，为用户提供高智能实时终端安全防护

为进一步保障用户隐私和财产安全，腾讯安全依托自研AI引擎TRP、神羊情报系统、腾讯手机管家，为用户打造了高智能的实时终端防护体系。其中，腾讯安全反诈骗实验室自研AI反病毒引擎——TRP，通过对系统层的敏感行为进行监控，配合能力成熟的AI技术对应用行为的深度学习，能有效识别间谍软件的风险行为，并实时阻断恶意行为。

同时，针对恶意软件开发者，腾讯安全反诈骗实验室基于海量的样本APK数据、URL数据和手机号码黑库建立了神羊情报系统，可以根据恶意间谍软件的恶意行为、传播URL和样本信息进行聚类分析，溯源追踪恶意软件背后的开发者，予以精确打击，保护广大用户免受恶意软件侵害。

对于用户自身来说，养成良好的手机使用习惯，防范于未然才是保护手机信息安全的更有效措施。《报告》建议，用户下载软件时需选取正规渠道，不要安装非可信渠道的应用和点击可疑的URL；养成设置手机安全锁的习惯，如PIN码、手势或密码等，防止其他人非法接触你的设备；日常及时进行安全更新，并安装腾讯手机管家等安全软件，可有效抵御“间谍”侵入。