一、序言

安天從2005年開始，每年年初公布年報，對上一年度網絡威脅狀況進行總結，對威脅演進趨勢做出預測。早期安天威脅年報以后臺病毒樣本捕獲分析系統的數據統計為主要支撐。而后我們放棄了羅列數據的風格，走向觀點型年報，并分成“基礎威脅年報”和“移動安全年報”發布。安天移動安全團隊2016年度報告以“威脅的全面遷徙”為主題，以觀點的方式來組織內容，用威脅的概念表達歸納安全事態的現象和趨勢，并新增“反思”和“應對”兩個版塊，探尋觀點和現象背后的原因，提出應對建議。我們希望通過這份年度報告，向移動安全行業從業者、移動互聯網相關企業以及大眾用戶分享和傳達我們的所見、所為及所思。同時這也是安天“移動安全年報”第一次先于“基礎威脅年報”公開，本年度的安天“基礎威脅年報”承載了更多相對系統而沉重的思考，歷經了多個版本的修改，將于稍后發布。

2016年，安天移動安全團隊面對嚴峻的移動安全對抗形勢，堅持以對抗新興惡意威脅為己任，砥礪前行。安天移動安全團隊研發的移動反病毒引擎（AVL SDK for mobile）防護的手機終端，從年初的兩億部已經發展到年底超過六億部，安天移動安全團隊為手機廠商提供了AVL Inside解決方案，包括了惡意代碼檢測防護、Wi-Fi安全、URL安全性檢測、支付安全、漏洞跟蹤修補等體系化的安全模塊。安天移動安全團隊堅持“安全技術必須服務客戶安全價值”的原則，拒絕互聯網變現方式。加強和推動更廣闊的產業鏈協作，以移動終端安全為起點，將防護邊界延展包括到移動應用商店、APP安全鑒定等在內的整個產業鏈全程體系中去。安天移動安全團隊以國內首個移動威脅情報平臺“AVL Insight”為不同行業提供威脅告知、趨勢預測、針對性木馬深度分析等安全服務，AVL Insight移動威脅情報平臺旨在提高銀行、政府等大型機構對威脅事件的感知、預警、分析、取證、響應和處置能力，以達到降低IT安全成本，提高資產和信息安全保障的最終目的。

在這些安全實踐中，我們不斷調整自身的視角，加深對威脅的認知和理解。在2015年年報中我們意識到了移動威脅多元化的跡象，因此使用移動威脅全面泛化作為全年的核心觀點，這一觀點同樣延續到2016年，而且不僅僅是泛化而是全面的遷徙和大密度的出現。這也是我們2016年的主題“威脅的全面遷徙”的由來，在背后我們看到的是整個威脅戰場和重心的持續發酵和轉化的慣性已然成形。與此同時，2016年的移動威脅呈現出了一些新特點：伴隨移動的快速發展，企業和組織逐漸引入移動辦公和移動政務，終端數據的商業價值日益凸顯，移動威脅正在從個人向企業組織遷移；針對移動終端的APT攻擊也將隨之高發；伴隨移動云服務等新興技術模式的興起，業務欺詐類的安全問題也開始成為移動安全的關注點；從技術演進上看，Root型惡意代碼、勒索軟件、色情應用等也在進行快速的技術演進，給技術對抗帶來了新的挑戰；Android系統需扮演攻防的主要戰場，同時iOS、嵌入式Linux以及各種IoT設備也出現新的威脅趨勢和特點，增加了移動威脅全局對抗的深度和戰線的廣度。

二、觀點和現象

1. 移動威脅規模保持穩定增長

2016年移動威脅依然嚴峻，嚴重困擾著每個移動用戶的資產和數據安全。移動惡意代碼作為重要的移動威脅手段，經過近幾年的迅猛發展在技術手段上已趨近成熟，并保持著穩定的增長。2016年，惡意代碼樣本總量在2015年總數的基礎上翻了一番，新增惡意代碼變種大幅增加，同比增長近40%。與2015年相比，移動威脅在新型惡意代碼的演變上保持平穩的線性增長，既有的惡意代碼仍在持續的進化與對抗。

2015年-2016年移動惡意代碼增長趨勢

2016年惡意代碼家族Top10排行中以色情應用、流氓推送為代表的惡意家族所占比重較大，這表明惡意代碼開始轉向與其他傳統的灰色產業鏈結合的形式謀取利益和生存，由于這類應用大多具有擦邊球行為，也給移動威脅的治理帶來了很大的附加成本和判定難度。

2016 年惡意代碼家族Top10

從惡意行為類型來看，2016年流氓行為類型的惡意代碼同比增長15%，占比高達57%，依然保持在第一位，是最值得關注的惡意行為。資費消耗和惡意扣費類型的惡意代碼數量依然較多，排位依然靠前，分列第二位和第三位，這與其能夠帶來直接的金錢收益有關。

2015年和2016惡意代碼行為分布圖

從上述數據統計可以看出，流氓行為的惡意代碼開始大量投入，不斷困擾著用戶；對用戶隱私竊取和誘騙欺詐的攻擊也開始加劇；大部分移動互聯網產業和普通用戶遭受的現實威脅仍然以大量高頻的弱威脅為主，這些威脅由于危害程度較弱，存在大量灰色空間，在數據統計中占據了絕對地位。此外，隨著地下產業鏈的發展，這類弱威脅所依托的“流量模式“或“個人隱私倒賣”的變現路徑逐漸完備，低投入高收益的盈利模式已經形成，更進一步地加劇了這類威脅，使其成為普遍現象。

2. 移動威脅技術持續進化

2.1 攻擊者加強Root技術使用

2016年Root型惡意代碼家族變種數量增長迅速，新增Root型惡意代碼變種為73個，是2015年的3倍多。2016年Root型惡意代碼樣本數量Q1、Q2季度增長緩慢，Q3、Q4季度迅猛增長，僅Q3季度總量就超過了2015年全年Root型惡意代碼樣本數量的5倍，可見Root型惡意代碼在2016年進入了一個爆發期。

2015年-2016年Root型惡意代碼樣本增長趨勢

2.2 攻擊者熱衷使用開源技術方案

2016年惡意代碼在技術實現上也得到了一定程度的進化，出現了多例惡意利用開源技術方案來實現惡意攻擊的新型移動惡意代碼。被惡意利用的開源技術方案主要集中在“多開”、“熱補丁”和“插件”這3個技術領域。2016年出現的利用這類開源技術的移動威脅從家族和數量上來講不多，整體來看還屬于一個新型惡意攻擊形態的萌芽期。

利用開源技術方案惡意代碼案例

借助開源技術方案帶來的技術積累，不僅方便了惡意開發者制作攻擊武器，還能夠有效的逃避反病毒引擎的檢測；此外，還能夠有效地減少受害用戶對惡意程序的感知能力，起到更好的潛伏和攻擊效果，這也是攻擊者熱衷于使用這類開源技術方案的主要原因。

2.3 攻擊者利用社工欺詐手段繞過安全權限

2016年9月國外安全廠商“卡巴斯基”公開揭露了一款利用社會工程學的惡意代碼。該惡意代碼針對安全性較強的Android 6.0版本系統進行攻擊,它通過頻繁彈出確認權限請求窗口的方法強制繞過系統新增的應用程序覆蓋權限和對危險應用程序活動的動態權限請求的安全功能，導致用戶的手機陷入惡意代碼的控制中。在12月底，出現了偽裝成正常應用Chrome，并通過發送Intent誘使用戶將其加入白名單這種欺騙手段繞過Doze機制的惡意應用。

2016年移動惡意代碼新變種增長迅速，Root型惡意代碼無論從數量和功能上都呈現出較為迅猛的增長和進化趨勢。使用開源解決方案的惡意代碼開始萌芽，惡意開發者對于繞過Android系統新增安全機制的進一步嘗試等，這些真實存在的威脅案例從側面可以反映出移動威脅技術正在持續的進化。

3. 電信詐騙高度體系化

2016年電信詐騙特別是詐騙電話犯罪持續高發，媒體也公開披露過多起涉案金額巨大甚至致人死亡的電話詐騙案件。詐騙短信是電信詐騙當中重要的威脅形態之一，也是移動惡意代碼進入用戶手機中的重要入口。詐騙短信持續泛濫，偽基站是罪魁禍首，在2015年移動安全年報中提到的短信攔截馬威脅的攻擊模式在2016年依舊活躍，給受害用戶造成了巨大的財產損失。針對電信詐騙的權威數據顯示，2015年全國公安機關共立電信詐騙案件59萬起，同比上升32.5%，共造成經濟損失222億元。下圖展示了四例常見詐騙短信示例。

詐騙短信示例

為提高詐騙的成功率，詐騙者需要搜集各方面的情報。網絡電信詐騙情報體系由三大塊組成：詐騙目標相關情報、詐騙手法相關情報和資金相關情報。詐騙者通過黑市購買、網絡搜索、木馬回傳等手段對這些情報進行搜集，然后進行篩選、吸收，最后實施詐騙。移動相關的網絡電信詐騙已經形成上下游產業鏈并且高度體系化，甚至分為了4類專業的團伙以進行密切的分工與協作，這在極大程度上助長了移動相關的詐騙泛濫成災。

電信詐騙產業鏈

4. 移動威脅正從個人向企業組織遷移

除了大量的個人用戶遭受到移動威脅的侵蝕，由于企業對移動威脅的重視程度普遍不足，導致移動威脅造成的企業資產受損的事件近年有上升趨勢。其中具有代表性的威脅案例是2016年8月由國外安全廠商首先公開披露的惡意代碼“DressCode”，該病毒利用SOCKS代理反彈技術突破內網防火墻限制，竊取內網數據，能夠以手機終端作為跳板實現對企業內網的滲透（具體的攻擊流程如下圖所示）。“DressCode”惡意代碼的出現表明移動惡意代碼已經具備對企業進行滲透攻擊的能力。

DressCode攻擊流程圖

在另外一個場景中，則是通過篡改DNS實現對企業的滲透和攻擊，2016年底在移動平臺出現的“Switcher”惡意代碼家族能夠借助移動終端接入Wi-Fi對連入的路由器DNS服務進行攻擊，惡意篡改DNS服務器地址從而實現受害用戶網絡流量劫持。從其整體的攻擊流程和目標來看，移動威脅當前已經具備了對DNS這類網絡服務進行惡意利用的能力。

DNS劫持流程圖

從前文案例可以看出，移動威脅也正在從個人向企業組織遷移，值得企業安全管理人員關注和預警。

5. 移動終端已成為APT的新戰場

截止到2016年末，公開揭露的針對移動終端的APT攻擊事件已有十幾例，其不僅針對Android平臺，也覆蓋了iOS、黑莓等其他智能平臺。2016年8月，在Pegasus間諜木馬攻擊一名阿聯酋社會活動家的事件中，使用了三個針對iOS的0-day漏洞實現攻擊，表明在移動攻擊場景下也可以和Cyber APT一樣將高級攻擊技術應用到APT攻擊過程。上述案例表明移動終端已經成為APT組織進行持續化攻擊的新戰場，并重點以對特定目標人物的情報搜集和信息竊取為目的。

6. 全球移動支付安全正遭受威脅

Android平臺2016年在移動金融威脅上新增了Svpeng、GBanker、Gugi、Slocker、FakeBank、Marcher等16個銀行木馬家族，52個銀行木馬變種，其中感染量較大的為Svpeng、GBanker、Gugi、Slocker、FakeBank等木馬家族。

2016年銀行木馬家族Top5及感染量

從攻擊的技術手段和目標來看，國內外的銀行木馬的目的主要是竊取受害用戶銀行賬號、銀行賬號密碼等與銀行支付相關的高價值信息。

2016年新增的移動銀行木馬對全球50多家銀行造成了不同程度的影響，其中影響的地域包括了俄羅斯、中國、美國、加拿大、澳大利亞、德國、法國、波蘭等國家和地區。 從下圖可以看出2016年新增的移動銀行木馬主要針對俄羅斯、中國的移動終端用戶。

2016年移動銀行木馬主要感染區域分布圖

7. 隱私泄露成為移動威脅重要幫兇

近年來，針對各類網站系統的脫庫、撞庫攻擊頻繁發生，大量用戶的高價值隱私數據信息被泄露。隱私的大面積泄露，已經成為移動威脅當中重要的幫兇和支撐性的環節，這個大趨勢不可避免會導致移動威脅朝著長尾化、精準化和碎片化的方向發展。隱私泄露已經成為普遍的安全威脅和問題，它助長了移動威脅的增長，并把移動威脅引導向了精準化、碎片化、高價值轉化的方向上，使得移動威脅的長尾現象更加顯著。這使得每個用戶遇到都是高精準的、難以大面積出現、具有普適性的威脅，惡意攻擊者不需要通過大面積的攻擊來實現價值轉化。

8. 移動勒索軟件種類迅速增長

對比近2年移動勒索軟件數量，我們發現2016年4個季度與2015年同期相比樣本數量都有不同程度的倍增，其中第1季度增長了近7倍，可見移動勒索軟件在2016年得到了迅猛的發展。

近兩年移動勒索軟件數量變化情況

我們對勒索軟件影響的地域進行了統計，發現東歐或俄羅斯的占比為54.8%，其次是中國占據了38.65%，英美占據2.95%，中東地區的伊朗占據了3.6%，這表明俄羅斯和中國是2016年移動勒索軟件檢測和感染率最高的國家。

勒索軟件在全球范圍內分布情況占比

與PC端相比移動終端勒索軟件的攻擊對象依舊以普通用戶為主，并且在“贖金”要求上相對較低，加之移動終端系統不斷更新的系統安全機制能夠在一定程度上抵御勒索應用的攻擊。從這個角度來看，移動勒索軟件對用戶的威脅影響相對有限。

9. iOS自成體系但并非安全神話

2016年針對iOS從9.0到10.x版本的系統公開了不少可以利用的漏洞及利用方法，其中比較典型的有針對iOS 10.1.1對mach_portal攻擊鏈的利用方法，以及具有較高影響力的針對iOS 9.3.4系統定向攻擊竊取阿聯酋的一位人權活動家隱私的“三叉戟”漏洞。同時為了提取特定Apple手機的數據，FBI和Apple公司也進行了長達數月的司法紛爭。最終通過第三方公司，對手機中的數據進行破解和提取。這也側面反映出，iOS體系中Apple處于絕對的攻防核心地位，控制著所有安全命脈，但是iOS系統并非堅不可摧，在高級漏洞抵御層面并不占據優勢。

圍繞iOS系統的封閉性與安全性之爭預計還將持續。但值得深思的是，因為iOS的安全封閉性，安全廠商、政府機構、普通用戶等參與者難以建立有效的安全應對機制，雖然Apple在iOS系統漏洞的遏制和響應上具備一些優勢和經驗，在安全上的投入也取得了一些成績，但用戶在遭遇到新型威脅或高級攻擊時即使是專業的安全團隊也難以有效地配合跟進并幫助用戶解決威脅問題。與Android這類開放的移動操作系統相比，iOS系統由于高封閉的模式在反APT工作以及與高階對手的競爭中可能處于劣勢，并在一定程度上局限了其商務應用的有效發展。

三、反思

1. 移動威脅檢測核心作用有待進一步發揮

面對移動威脅規模的持續增長、威脅技術持續進化和電信詐騙泛濫等現實威脅狀況，惡意代碼檢測無疑是一種核心安全防御手段。

下圖是全球主流的移動反病毒引擎在2016年11月份AV-TEST的測評中的結果對比圖，從中我們可以看到絕大部分廠商的檢出率都在90%以上。值得一提的是，近5年來，安天移動安全團隊自主研發的AVL移動反病毒引擎在AV-TEST，AV-C等國際權威反病毒認證機構的測評中均以極高的檢出率名列前茅。

2016年11月AV-TEST測評成績

面對持續爆發的威脅，手機制造商、系統供應商等關鍵環節需要進一步加強移動威脅檢測能力的引入，從系統深層次提供對移動威脅的檢測，為用戶提供深層次安全防御。

2. Android應用市場問題亟待重視

Android應用市場作為Android應用和用戶手機直接連接的重要橋梁，是移動生態環節當中重要的組成部分。Google的官方應用市場Google Play以及國內外的各類應用市場都擁有大量的用戶群體，一旦出現惡意代碼極有可能會導致大量用戶受到威脅。

由于無法像Google一樣承擔巨大的安全審核成本，國內應用市場的安全問題比Google Play更加嚴重。我們通過對國內的一些應用市場進行定期檢測，發現過多例包含有“百腦蟲”和“JMedia”等高級惡意代碼的應用，相關的應用市場對于這類能夠被反病毒引擎檢出的惡意應用并沒有及時進行下架處理，可見2016年Android應用市場頻頻出現惡意代碼并非偶然，從根本上來看是因為Android應用市場的安全問題依然沒有得到重視，也沒有引入有效的安全檢測和防護方案。

3. 漏洞碎片化未得到有效遏制

由于Android系統的開源以及定制化造成的Android系統不可控的碎片化，同時也導致了Android系統漏洞的碎片化。根據CVE Details公開的數據顯示，在2016年Android系統一共被收錄了523個漏洞，其中包含有99個信息泄露相關的漏洞，2015年這類漏洞只有19個。值得注意的是2016年新增了250個可以提升權限的安全漏洞，2015年這類漏洞只有17個，增長超過13倍。

近兩年Android系統漏洞類型及數量對比

當前移動操作系統漏洞的有效利用點依然集中在提升權限漏洞上，還沒有擴大到比較復雜的應用和攻擊場景。但是，這種局面并沒有得到有效的遏制，給整個攻擊鏈的防御上帶來了極大的風險和控制難度。2016年出現的大量手機Root型惡意代碼充分印證了這一點。

4. 移動威脅的體系化應對尚需時日

從早期出現在國外的能夠攔截歐洲國家相關銀行支付驗證碼的Zitmo木馬家族，到FakeInst“吸費”木馬在俄羅斯及東歐地區的廣泛傳播，再到近幾年國內電信詐騙等威脅的泛濫，我們一方面看到的是國家、行業、企業、個人積極開展安全防護和對抗，在一定程度上遏制了相關威脅的不斷泛濫。另一方面，也可以看到由于缺少全局數據和情報支持，缺少對全局安全威脅的及時感知能力，對威脅的遏制效果并不理想。目前可以看到，大部分移動服務供應商和用戶對移動安全的重視仍然停留在威脅預警早期階段，對移動威脅的廣度和深度關注不足。可見體系化防御不是一朝一夕之事，只有盡早盡快落實相關的體系化建設，才能真正有效地感知和防御相關安全威脅。

5. 全球移動安全協作共識有待達成

在移動通信和移動互聯網領域，與國外相比，國內已經呈現同步乃至超前的發展態勢。從移動應用來看，社交、電商、支付、出行等各種緊貼用戶生活的行業需求在移動端逐漸成型；從應用生態鏈條來看，國內MIUI、阿里云、百度手機助手、騰訊應用寶、360手機助手等應用商店與Google Play、 App Store等應用分發體系相呼應；從全球范圍來看，以華為、OPPO、VIVO、小米等為代表的眾多本土優秀手機終端品牌強勢崛起，并在國際市場中占據愈加重要的位置；從系統供應鏈來看，ARM、高通、三星等廠商仍然占據主流地位，但也可以看到國內廠商通過自主研發、海外并購等方式逐漸進入IC設計和制造的優秀行列。

在這種背景下，傳統的樣本交換體系愈加難以滿足如今移動威脅應對的需求，全球性的安全共識需要加強 。傳統網絡領域，由于產生時間較早，基礎模式設計缺少安全考量，安全體系難以有效協同，增加了不同組織之間摩擦的風險。在移動安全領域，可以通過威脅情報共享體系的設計，讓全球擁有共同的威脅描述語言，加強面對威脅的協同抵抗和防御能力，并增強全球安全共識。這個過程有賴于安全行業自身的努力和移動產業整體的規劃，也需要國家、國際組織的倡導和推動。

五、應對

1. 監管者

從習近平總書記4.19講話提出“樹立正確網絡安全觀” “安全發展同步推進”到《中華人民共和國網絡安全法》正式表決通過，國家增加了多項促進網絡安全的措施，推進了網絡安全的發展。這些指示和立法推動，無疑給包括移動安全在內的網絡安全領域提供了頂層設計指導。

安全領域建設離不開合理的立法和標準的指導。在完善網絡法律法規的同時，監管部門應同時對互聯網相關的法律法規進行大力宣傳，培養網民的法制觀念；在體系建設上，應積極建立和落實移動互聯網整體安全態勢感知和預警體系； 在行業協作和技術手段引進上，以技術和管理結合來治理移動威脅問題；同時，還應加強運營商、金融機構等行業與執法機關的合作與聯動。

2. 安全企業

在惡意威脅檢測等核心技術領域，一大批安全企業持續加強投入，不斷應對新型惡意代碼、新型漏洞和新型攻擊手段的挑戰。在安全管理等泛安全領域，逐漸形成了設備管理、應用管理、用戶管理等多層次的安全管理方案通過近幾年的努力，諸多安全技術已經運用到移動領域，為用戶創造了較大的安全價值。

但正如前文反思，移動安全領域的諸多技術還需要進一步和個人的安全需求、企業組織的業務和數據安全需求相結合，才能讓安全能力真正滿足用戶的安全訴求，最大程度的對抗安全威脅。目前在相對熱門的威脅情報服務領域，安天移動安全自主研發了全球首個AVL Insight移動威脅情報服務平臺，借助10年的移動威脅知識庫積累、6億多終端的覆蓋，形成了定制化移動威脅情報的輸出能力。我們堅持認為威脅情報需要與客戶的真實安全訴求相結合，為客戶提供符合其需要的、高價值、定制化的威脅情報。

隨著移動安全重要性的日益提升，安全企業之間應借助威脅情報、產業合作等方式形成行業整體的安全協作和應對姿態，共同打擊移動安全威脅。同時通過更多的產業合作，與職能部門、移動供應鏈、企業和個人用戶等建立更加深入的合作和信任關系，共同維護移動安全環境。

3. 供應鏈

從移動領域的自身特點看，供應鏈安全是一個值得特別關注的問題。供應鏈不同層次的移動威脅呈現不同的特點，整體來看，越底層威脅能力越強、事后處置鏈條越長、最終防御效果越差。

供應鏈和服務提供商，通過考慮對威脅展開前置防御和針對性防御，可以及早的在供應鏈和服務各環節，引入安全解決方案，包括但不限于威脅檢測、行為攔截和阻斷、漏洞檢測和補丁技術、系統加固和數據加密、網絡檢測等。通過安全解決方案的前置、早置，最大限度的輻射整個供應鏈環節，降低整體安全防御成本，提升整個供應鏈的安全性和安全效率。

4. 個人

個人用戶作為移動安全威脅最終危害的主體，對其所面臨的移動安全威脅并不具備足夠的認識，并具有安全意識弱、情報來源窄、防護手段弱的特點。基于個人移動安全威脅應對的難點，安天移動安全團隊建議個人用戶養成日常主動進行安全檢測的習慣，同時建立安全的密碼管理體系，避免因單點移動威脅造成大規模資金損失的情況。此外個人用戶需要提高對移動安全事件的關注度和敏感度，對與個人關聯的威脅事件進行緊急響應，做好事后止損的工作。

5. 企業

隨著移動辦公、移動服務等業務的發展，各類企業、廠商在移動威脅的整體對應上，需要全面加強企業整體安全防控中對于移動安全的重視。針對IT安全，要逐步將移動設備帶來的威脅應對納入企業安全威脅防控體系中，預防移動設備對原有企業IT安全帶來的沖擊；針對應用層風險加強應用管控，加強對正常應用的仿冒審查，加強對應用隱私泄漏的防范；針對系統層風險，加強系統權限管理，引入行為異常監測，防范未知安全風險；針對網絡層風險，加強傳統網絡威脅向移動威脅的遷移，預防潛在的移動安全高級威脅。

需要特別說明的是，目前有不少企業的對外服務和核心業務主要以移動互聯網為場景，目前這類企業遭受的移動威脅的影響也頗為嚴重，建議結合移動終端身份識別、移動終端環境安全檢測以及積極建設面向業務的風控系統持續加強威脅對抗和響應能力。

五、預見

1. 移動威脅進入APT時代

APT攻擊的一個基本規律是：攻擊是否會發生只與目標承載的資產價值和與更重要目標的關聯度有關，而與攻擊難度無關。這就使當移動設備承載更多資產，當智能終端的使用者也覆蓋敏感人群，或他們的親朋好友時，面向智能終端的設備的APT系統性的產生就成為一種必然。

在移動互聯網時代，移動智能終端已經高度映射和展現人的重要資產信息和身份信息，除此之外，移動設備同時還具備極高的便攜性和跨網域的穿透能力。從2016年出現的一些不同動機的攻擊技術，預示著通過移動設備作為攻擊跳板，可以實現對企業內網、物聯網甚至基礎設施的攻擊。移動威脅會綜合移動的高級攻擊技術、移動互聯網絡的戰略意義以及針對重點目標的戰術價值為APT攻擊組織提供更加豐富的攻擊能力、攻擊資源和戰術思路。

2. 隱私泄露導致移動威脅進一步加深

隨著物聯網、智慧城市的推進，攝像頭、手機、可穿戴設備等智能硬件的普及，以及關系到大眾民生的各種信息系統的互聯互通，人們的生活方式都會網絡化，所有主體的信息都會數字化，與此同時移動終端系統、物聯網系統不斷的被挖掘出高危漏洞，信息和數據泄露事件短期內看不到下降的趨勢。

隱私泄露和移動攻擊的泛濫和融合還會進一步加深，帶來普遍的欺詐泛濫、威脅碎片的長尾化，對整個移動威脅的商業價值帶來的長遠影響。對于這一問題，安天將在后續發布的“基礎威脅年報”給予更多解讀。

3. 企業級場景的移動威脅會大量出現

2016年出現了以移動應用作為中間跳板嘗試對內網進行滲透，竊取內網的重要信息的惡意代碼，同時，在年底出現了篡改用戶手機連接的Wi-Fi路由器DNS進行流量劫持的移動惡意代碼。移動終端、Wi-Fi路由都是當前針對企業場景攻擊的重要的支撐點，當前大多企業對于移動威脅的檢測和防御并沒有引入有效的解決方案。從移動威脅的發展趨勢來看，基于移動終端設備或應用的跳板攻擊傾向性非常明顯，伴隨著各種BYOD設備在企業辦公中開始普及并廣泛使用，2017年移動威脅在企業級場景中可能會出現一定規模的增長。

4. 移動勒索應用或將持續進化和遷移

2017年移動勒索軟件可能會向3個方向進化：與其它惡意攻擊方式結合、通過蠕蟲形式讓勒索軟件進行大面積傳播、結合遠程控制指令對更加精確性的攻擊。Android端的勒索軟件會包含PC端勒索程序或者攜帶物聯網惡意軟件，進行跨平臺發展，嘗試感染PC或者智能設備。攻擊者信息更加匿名。此外，類似PC端的勒索軟件惡意勒索時使用比特幣作為貨幣，通過匿名網絡支付比特幣這種形態會向Android平臺遷移。

5. 業務欺詐威脅損害凸顯

2016年的“3.15晚會”上，“刷單”等網絡黑灰產進入公眾視野。 惡意“刷單”主要使用機器大規模的自動完成垃圾注冊和登錄，通過大量的惡意賬號、手機號碼、IP地址進行虛假交易，通過刷信用，買家套現等技術手段來套取利潤。“刷單”產業鏈已經逐步職業化、專業化，在虛假交易產業鏈上，上下游分工明確，分工涉及手機服務商的驗證、快遞公司甚至欺詐團伙。互聯網企業遭受的業務欺詐威脅問題已經開始凸顯出來。

六、總結

過去幾年，是中國移動網絡產業高速領跑發展的時代。以移動支付、移動社交、移動商務等為代表的移動互聯網應用水平已經走到世界前列，移動基礎設施建設也正經歷高速發展和更新換代的階段，中國自主品牌的手機產量也已經躍居全球第一，中國手機品牌正在獲得全球用戶認可。伴隨著中國移動產業和應用的高速發展，移動威脅快速滋長。巨大的用戶基數、較高的應用水平、全新的業務探索都必然導致中國用戶面臨的移動安全威脅風險規模前所未有，手段持續泛化演化，模式關聯復雜深遠，受損范圍廣闊深遠。我國移動產業的發展速度和覆蓋廣度已經決定了在移動安全體系的整體推進上我們已經沒有可以全面師法的對象，也已經沒有必要跟著硅谷的所謂創新實踐亦步亦趨。我們一方面需要加強全球移動安全共識和協作，一方面更需要走出自己的科學化、體系化移動安全發展道路。

通過威脅情報的分析、加工和分享，從而對威脅進行準確定性、定位、定量，來滿足和解決特定用戶群體所面對的特定安全威脅，提供對用戶比較有效，甚至一勞永逸式的解決方案，這樣的體系或許是未來的發展方向。過去的一年，我們繼續致力于移動安全領域，加強對移動領域威脅的觀察、感知、分析、追溯、處置和反思，持續以體系化的方式加強與移動威脅的對抗。這份年報也是我們持續觀察和感知過程中的一些所見、所為和所思。

移動互聯網在過去一年仍然面臨著惡意應用的持續威脅，新增威脅繼續涌現，威脅手段持續進化，攻擊者加強仿冒、社工欺詐、勒索手段、權限冒用、開源組件惡意利用等攻擊手段的使用。同時存量威脅依然泛濫，電信詐騙攔截馬、扣費、流氓、色情等威脅仍在持續演化和進化。這些惡意應用威脅在當前整個傳播鏈條監管尚不十分完善的安全防護背景下，依然會造成巨大的安全風險和資產損失，大多時候只能依靠普通用戶的自我安全意識提升來抵御威脅。面對這些威脅，在威脅檢測，工程化對抗和基于海量數據的威脅情報作業上，我們已經有了比較充分的準備，能夠在威脅早期甚至威脅出現之前形成可防御的能力，但這些能力手段，與我國龐大的網絡資產規模和用戶體量相比，還有賴于通過和產業/用戶的進一步聯動更好的發揮作用，同時仍需要持續地與市場需求、商業規律結合以找到自身獨特的價值和生存空間。

移動互聯網系統也正經歷著快速發展，網絡制式、操作系統在短短幾年間，發生多次代際升級和版本更新。沙盒、權限等安全機制的持續引入一定程度上對原有安全體系起到了增強作用，但由于威脅方式和手段的復雜多樣，種類繁多，很多原有威脅手段依然有效，并進一步利用系統和網絡的新特性新功能進行自我演進，比如傳統惡作劇手段逐漸升級為勒索威脅、0-day甚至N-day漏洞攻擊依然有效。從系統層面看，更多的還是依賴于更完善、全面、有效的整體安全規劃和體系建設。在這個過程中需要系統規劃和建設者與安全廠商密切協作，在系統的設計、實踐中引入多種檢測、防護、加固和阻斷等安全手段和機制，在系統的使用中持續不斷進行檢測、阻斷和升級完善。同時由于不同版本、地域、模式帶來的碎片化問題，我們也在積極地通過歸一化和定制化相結合、數據驅動和手段創新相適應的理念完善系統安全手段。

移動設備與傳統設備的一個關鍵的不同是信息承載的類型和價值——移動設備上有著與人更直接關聯的數據信息。在互聯網、通信網、物聯網甚至工控網不斷連接和融合的時代，不論是移動設備、移動系統、移動應用中對個人信息的泄漏，還是來自個人PC、企業組織內部信息系統、互聯網服務信息等渠道的個人信息泄漏，這些數據和信息流最終都有可能經由黑色產業鏈對移動安全中的個人和組織造成威脅。因此對移動安全而言，進一步加強信息流中的安全監管和防范非常必要。通過對短信釣魚、應用隱私泄漏、網絡隱私泄漏、電信詐騙等威脅檢測手段和管控制度的加強，可以在移動終端這個信息流的最終環節起到有效的威脅防范作用，這對個人隱私安全乃至移動APT防御都將大有裨益。

移動安全體系的構建離不開移動產業供應鏈體系的協同。在供應鏈的設計、制造、銷售、使用、回收等各個過程中，都有可能被引入安全威脅。每個環節被引入的安全威脅既有可能造成自身的安全損失，也有可能進一步造成其他環節的安全損失。因此通過芯片、設備、系統、應用、服務、網絡等供應鏈中的各個環節加強安全手段，一方面可以有效對抗自身環節面對的安全威脅，另一方面也可以對其他環節的安全威脅起到防范作用。從威脅防護來看，安全廠商應該積極參與供應鏈的防護，為供應鏈中不同層次不同角色廠商提供基于威脅特性的針對性防護方案。針對芯片、系統等應該引入具有基礎防御作用的安全方案，加強全局安全體系輻射作用；針對服務、網絡等關鍵信息基礎設施，應該加強對自身安全和信息流的防護，提供穩定安全的基礎服務體系；針對應用、個人等，應該面向更具象的威脅提供檢測和防護能力；通過不同環節的安全協作，增強整個供應鏈體系及其全生命周期的安全性，提升移動生態體系安全。

由于安全威脅的復雜性，安全體系建設的艱巨性，這份報告中的部分觀點可能并不成熟，但我們會持續在移動安全領域耕耘，為更加安全的移動安全環境貢獻自己的力量。在這個過程中，我們不僅會堅持對關鍵、基礎、共性、領先技術手段的持續創新，也會更加積極的開展產業協作，同信息流和供應鏈中的所有角色一起建設更加完善的移動安全體系。

通過這些協作，我們堅信領先的安全技術能夠轉化為堅實的用戶安全價值。我們將為用戶提供更加有效的安全威脅情報，幫助用戶掌握和感知威脅態勢，同時為用戶提供更加精準的安全解決方案，用領先的移動威脅檢測和安全防護產品和服務，保護更多的用戶。

七、典型的移動威脅事件時間軸