7月26日，腾讯安全对外发布《2018上半年互联网黑产研究报告》（以下简称《报告》），通过腾讯安全联合实验室、腾讯电脑管家、腾讯手机管家、腾讯云提供的海量大数据，全面曝光恶意广告、手机应用分发、APP刷量等典型黑色产业链。结合腾讯安全打击网络黑产实践，《报告》还首度重磅揭秘移动端三大新兴网络攻击手段，并对2018下半年移动端安全威胁作出预警。

  恶意应用每日“掘金”超千万  用户与开发者利益双双受损

  2018年，伴随移动应用的影响力超过电脑应用，主要互联网黑产也迁移到手机平台。《报告》显示，每天互联网上约新增2750个左右的新病毒变种，伪装成各类打色情擦边球的游戏、聊天交友应用诱导用户下载安装。此类手机恶意应用每日影响数百万用户，按人均消耗几十元话费估算，每日掠夺话费金额达到数千万。

  同时，移动端黑产发展的形势与当前行业生态密切相关。目前国内为软件付费的习惯尚待养成，软件开发者通常通过广告流量变现的形式来获取收益。一些不法分子瞄准这点，通过恶意推送广告来加速流量变现。恶意广告联盟推送的广告内容，博眼球、无下限，时常推送色情擦边球应用、博彩甚至手机病毒。根据腾讯安全反诈骗实验室监测数据，当前平均每天新增广告病毒变种257个，影响大约676万的巨大用户群，其中珠三角、长三角、京津冀地区受影响最为严重。

  在竞争激烈的手机应用市场，应用付费推广也成为了许多不法分子严重的“商机”。App刷量黑色产业链经历机器刷量、众酬人肉刷量再到开始布局木马自动刷量平台，技术手段不断翻新，不仅对手机用户造成打扰，还极大地浪费了开发者的推广费用。

  相较于刷量，恶意应用分发行为更为流氓。软件恶意推广地下暗流整体规模在千万级上下，主要影响中低端手机用户。例如部分手机使用的是非官方版本系统，用户经常会发现手机里莫名其妙冒出来一些应用，就是地下软件黑产的杰作。

  网络攻击出现三大新兴手段：加固技术、云加载和入侵供应链

  结合腾讯安全反病毒黑产的实践，《报告》还首次披露移动端病毒三大新兴攻击手段：加固技术、云加载和入侵供应链。据腾讯安全反诈骗实验室的监测数据显示，进入2018年以来，利用知名加固解决方案保护自身恶意代码的病毒应用快速增加，并以社工欺诈类、恶意广告类、色情类、勒索类等对抗更激烈的病毒家族变现最为明显。

  除了加固技术以外，恶意软件的开发者还倾向于使用将恶意代码隐藏在云服务器并采用云端控制的方式下发恶意功能。云加载技术目前已经更新到3.0版本，该版本框架病毒开发者不仅可以通过地域、运营商、机型、设备等维度限制感染用户群，还能利用VA等虚拟加载技术彻底剥离恶意代码，普通安全厂商很难再捕获到病毒的恶意行为。

  此外，针对供应链的攻击事件增多，攻击的深度和广度的延伸也给移动安全厂商带来了更大的挑战。针对供应链下游（分发环节）攻击的安全事件占据了供应链攻击的大头，受影响用户数多在百万级别；第三方SDK安全事件和厂商预留后门也是Android供应链中频发的安全事件，这类攻击大多采用了白签名绕过查杀体系的机制，影响用户数远超一般的漏洞利用类攻击。今年4月中旬，腾讯TRP-AI反病毒引擎捕获恶意SDK“寄生推”，感染300余款知名应用，潜在影响用户数超过2000万。腾讯TRP-AI反病毒引擎首次引入基于APP行为特征的动态检测，结合AI深度学习，能够及时发现病毒恶意代码云控加载，有效对抗隐蔽性病毒攻击。

  伴随移动互联网的快速发展，黑产攻击技术日益完善，移动端安全风险持续升高。《报告》同时对下半年移动端安全形势做出预测，指出携带巨量个人和组织数据的智能手机成重大隐患，移动端APT攻击威胁持续上升；恶意应用检测与反检测对抗将愈发激烈，安全攻防进入焦灼局势。此外，黑产团伙尝试利用手机平台生产电子货币，多个官方应用市场被爆出存在挖矿恶意代码，或预示着下半年移动挖矿应用将呈现爆发态势，值得用户保持警惕。