315和解平台
阿里巴巴集团近日发布了《2016中国互联网仿冒态势分析报告》,报告通过分析2016年1-8月收录的样本数据,从16个行业分类中,分别选取15个热门应用,将共计240个应用作为仿冒分析的对象。通过仿冒应用整体趋势、行业分布、恶意行为、类型占比等多维度分析,披露了作为电信诈骗重要一环的仿冒应用所衍生的严重安全风险。而报告指出,一家银行应用APP仿冒竟然有24个,而且这些金融类APP多数具有短信劫持行为,往往很多用户过了很长时间才发现资金有损失。
超8成应用被仿冒
报告显示,有83%的应用存在仿冒,仿冒量达到8000多个,平均每个都有三四个仿冒应用。目前发现第一大区域是广东,接下来是北京和江苏,包括山东、河南、浙江、河北、四川、武汉、福建都是处于前十位。阿里巴巴集团高级安全专家方超介绍说,仿冒应用感染量和各地区发达程度和人口密度有强相关性,说明仿冒应用具有比较强的普遍性。
从行业来说,社交应用、电信应用仿冒应用针对比较多的行业。仿冒应用除了仿冒热门应用去传播以外,同样带有很多的恶意行为,这些恶意行为包括流氓行为、恶意扣费等。
同时报告针对行业做了一些相应的区分,有几个比较明显的特点,社交性仿冒应用特别多,占到总访问量的将近一半。电信量排名第二,占到15%,电商、游戏工具也是仿冒的重灾区。仿冒应用是针对热门应用仿冒比例比较高,因为仿冒应用最大的获利点就是尽可能多地感染用户,越热门应用仿冒价值越大。
报告指出,仿冒应用的平均感染量,出行和影音类的仿冒应用平均感染量最大。
仿冒危险巨大
除了传统的钓鱼链接、仿冒网站以外,仿冒应用已经成为电信欺诈的新手段。目前发现对于仿冒应用来说,特别对于热门应用来说,威胁非常巨大。
方超介绍说,仿冒具有几个特征,一个是真假难辨,使用重新打包的手段,使用户难以发现,结合伪基站发短信的手段,辨识难度非常高。二是存活时间性,以传统的仿冒网站或者钓鱼链接来说,只在访问那个阶段内对用户有威胁,对仿冒应用来说,威胁高于以前。一旦仿冒应用安装在你的手机设备上以后会长时间存活,如果说仿冒应用有一定的技术手段,利用系统漏洞,可以长期活跃在设备后端,配合远程操作,达到长久存活的目的。三是危害程度比较大。传统的仿冒网站更多利用社工的原理伪造真实网站骗取用户信息通过其他手段进行危害,但仿冒应用危害远远大于此,他不仅仅骗取用户相关信息,还可以截获一些短信,像我们登录银行时会有一些短信确认登录,有一些仿冒应用大多具有短信截获功能,二次验证手段就完全被绕过了。刚才说存活时间长,会在后台长期滞留,就会在后台默认安装一些垃圾应用,获取一些推广费用,甚至配合远程控制软件,可以达到远程控制手机等各种目的。
金融类多数具有短信劫持行为
报告对金融行业的应用仿冒行为进行了分析,其中选取了三个子分类:银行类、支付类、理财类,各选取十个热门应用,发现300个左右的仿冒应用。其中银行类的仿冒是大头,占到58%,支付类占到36%,理财类相应仿冒会少一点。
方超表示,金融类如果配合短信劫持危害性更大,绕过现有的短信验证机制。在日常案例里就有用户使用仿冒应用,黑灰产业利用仿冒应用绕过整个银行安全体系,直接登录用户账号,甚至达到转账的目的。报告指出,某银行一共有24个仿冒,全部具有短信劫持的行为,感染设备有五千多台,分布在河南、江苏等省份。
方超指出,该银行案例主要分发渠道是三个,应用市场、网盘以及伪基站。有些银行会为了自己的应用通用性,名称上并不叫某某银行的服务,会给用户带来一些困扰,反而是仿冒应用名称更加直接,比如某银行的信用卡。再就是钓鱼网站的链接,因为成本比较低,导致有很大的传播量。
除了金融行业,报告还对电信仿冒应用进行了分析,其中中国移动占到84%。短信劫持比例比较高,占有72%,因为通过短信劫持可以向其他应用做延伸。
还原伪基站诈骗手法
报告还原了常见伪基站诈骗的手法,利用伪基站钓鱼网站等各种各样的工具,第一步是通过现有伪基站群发钓鱼短信,利用相应的弱点,比如说红包活动、积分活动,诱骗用户打开相应的短信链接。短信链接网站上会仿冒掌上营业厅输入积分兑换,诱导用户下载仿冒应用,第三步就是一个病毒,安装以后会达到相应的设备权限,或者获取系统权限,进行隐藏图表、隐藏自己的应用,用户很难通过普通的删除方式进行删除,他就可以在后台拦截相应的短信并进行转发。第四步是真正的操作过程,前期已经盗取了银行信息,在第三方平台或者交易平台直接输入银行信息进行购买,这其中会发现短信等行为,仿冒应用就会拦截短信,然后做转发,完成整个交易的链路。甚至他会把一些确认短信拦截掉,很多用户过了很长时间才发现自己资金有一定的损失。 (孟刚)
