主要觀點

　　2020年奇安信威脅情報中心累計截獲Android平臺新增網銀盜號木馬樣本約20萬個，針對全球金融行業的攻擊依然是攻擊者的主要目標之一。

　　從全球范圍來看，移動互聯網的安全治理相對薄弱，特別是網銀盜號木馬依然泛濫，呈現出種類繁多、手段多樣等特點，對用戶財產威脅嚴重。而相比之下，國內的移動互聯網安全治理更有成效，整體安全環境明顯好于全球，特別是網銀盜號木馬等傳統移動安全威脅，在國內已經比較少見。

　　2020年，AdbMiner挖礦木馬家族攻擊活躍，在全球范圍內攻陷數以萬計的物聯網設備，國內被攻陷的物聯網設備數量也接近千級。鑒于物聯網設備越來越多，物聯網安全事件對物聯網的設備的影響量也越來越廣。

　　由于物聯網設備也普遍以Android系統為基礎，且物聯網設備的安全防護水平普遍不及智能手機，因此，隨著用戶身邊的物聯網設備越來越多，物聯網設備被攻陷的風險也在日益增加。針對Android系統的安全研究，必須把物聯網設備考慮在內。

　　2020年國內依然有多條黑色產業鏈持續活躍，對用戶的隱私、財產安全威脅嚴重。其中，山寨網貸、裸聊勒索、誘惑視頻、刷量廣告、黑卡、群控、棋牌私彩最為突出。

　　摘    要

　　2020年奇安信威脅情報中心累計截獲Android平臺新增惡意程序樣本230萬個，平均每天截獲新增惡意程序樣本6301個。其中，惡意扣費類占34.9%、資費消耗類占24.2%、流氓行為類占22.8%、隱私竊取類占12.3%、誘騙欺詐類占4.3%、遠程控制類占1.5%。

　　2020年國外出現眾多針對金融行業的網銀盜號木馬，而國內出現少量的網銀盜號木馬對用戶資產造成威脅。

　　2020年老牌挖礦家族AdbMiner針對物聯網設備的攻擊活動比較活躍，木馬通過特定端口持續感染不安全的物聯網設備實施挖礦來獲取收益。有關監管機構通過微信公眾號發布預警消息，警示充電寶木馬再次來襲。

　　2020年山寨網貸黑產通過偽冒正規網貸APP對民眾資產以及個人信息造成嚴重威脅。

　　2020年裸聊勒索黑產利用社會工程學引誘男性受害者下載安裝裸聊木馬并引誘其進行裸聊，然后通過木馬竊取受害者裸聊視頻并對受害者進行威脅恐嚇來獲取錢財。

　　2020年誘惑視頻木馬通過偽冒色情APP引誘用戶購買VIP來騙取錢財，但并不提供任何完整色情視頻。

　　2020年刷量廣告黑產通過對熱門APP二次改包的方式來注入廣告模塊并將廣告收益人指向自己。

　　2020年新型黑卡產業通過木馬遠程控制受害者設備的方式，將受害者的設備作為自己的基礎設施來向下游黑產人員售賣服務進行收益。

　　2020年群控黑產繼續發展，通過最新云控來登錄大量虛假賬戶，然后通過注冊水軍等多種方式獲取收益。

　　2020年棋牌私彩黑產繼續通過盜版視頻推廣、群推廣等多種渠道推廣木馬程序，引誘受害者進行賭博并通過木馬程序控制賭博結果來騙取受害者錢財。

　　關鍵詞： 移動安全、金融、流量、網銀盜號木馬、黑色產業鏈、挖礦、物聯網設備

　　第一章     Android平臺惡意樣本分析

　　2020年奇安信威脅情報中心累計截獲Android平臺新增惡意程序樣本230萬個，平均每天截獲新增惡意程序樣本6301個。2020年全年共有三個月爆發較大規模的新增惡意程序樣本，分別是位于上半年的4月（34.6萬個），下半年的10月（43.6萬個）和11月（45.2萬個），累計共占全年新增惡意程序樣本的53.7%。其中在爆發最高峰的10月和11月，這兩個月的惡意樣本占比高達70%以上，是最低峰6月的4倍。2020年Android平臺各月新增木馬數量見下圖。

　　2020年移動端惡意樣本類型主要為惡意扣費（占全年移動端惡意樣本的34.9%），其次是資費消耗（占比24.2%）、流氓行為（占比22.8%）?？梢钥吹剑蟀氲囊苿訍阂獬绦蚴侵苯記_著用戶“錢包”來的，切實關系到用戶直接的經濟損失。

　　第二章     金融類Android木馬攻擊分析

　　國內外的Android應用安全環境存在很大的不同，世界各個不同地區的流行Android木馬，其攻擊目的、攻擊方式、偽裝方式也有很大的不同。研究和追蹤全球木馬流行趨勢，對于我們做好國內的安全“免疫”工作，具有很重要的參考價值，也是威脅情報分析的核心工作之一。所以，在分析國內Android木馬流行趨勢之前，我們首先對國外的Android木馬流行趨勢做一個基礎分析。

　　一、全球網銀類木馬流行趨勢

　　2020年奇安信威脅情報中心累計截獲Android平臺新增網銀盜號木馬樣本約20萬個，其中TOP5的網銀盜號木馬家族樣本多達近16萬個。

　　在TOP5全球網銀盜號木馬家族中，最“耀眼”的當屬Anubis和Ceberus，其除了仿冒數百款國外銀行應用進行攻擊外，還在疫情期間借助疫情誘惑、吸引受害者。2020奇安信威脅情報中心疫情期間分別對其展開了披露，提醒廣大移動互聯網用戶謹防中招。

　　網銀盜號木馬常常偽裝成其他應用程序誘騙用戶下載安裝。監測顯示，Chrome（23.7%）、佐川急便（8.2%，日本流行的快遞應用）、Flash Player（4.7%）是被偽冒量最多的應用。下圖給出了被國外網銀盜號木馬仿冒最多的10類應用程序。TOP10排名見下圖。

　　Chrome瀏覽器是國外用戶手機上一款常用的APP，國外用戶對該APP的信任程度較高，故攻擊者們常將其作為仿冒的主要目標。另外，攻擊者們也會出于某些目的將目標瞄準特定地區，如針對日本地區的佐川急便，針對土耳其地區的Sistem Güncelle?tirmesi（系統更新），針對韓國地區的KB????（KB儲蓄銀行），針對俄語地區的ВТБ Онлайн（VTB在線）、Одноклассники（Odnoklassniki）等。

　　分析顯示，在國外，流行的網銀盜號木馬主要通過以下四種技術方式來實現盜取用戶銀行卡憑證信息。

　　1.）利用釣魚頁面

　　例如，Chrome瀏覽器具備綁定銀行卡的功能，所以木馬偽冒Chrome在啟動的時候彈出銀行卡綁定頁面誘騙用戶輸入銀行卡憑證。

　　2.）偽冒銀行APP

　　仿冒合法網銀APP軟件的木馬程序，會在用戶登錄時要求用戶輸入個人信息以及銀行卡憑證進行竊取。

　　3.）彈出釣魚頁面覆蓋銀行APP

　　木馬一經安裝啟動就會在桌面上消失，躲藏在后臺默默運行，等待用戶啟動正常銀行APP時彈出釣魚頁面覆蓋銀行APP的頁面來誘騙用戶輸入銀行卡憑證進行竊取。

　　4.）利用無障礙服務

　　木馬啟動后要求用戶開啟Android系統為殘障人士提供的無障礙服務來監聽用戶使用銀行APP情況，木馬還會記錄鍵盤輸入信息來進行竊取銀行卡憑證。

　　二、針對國內金融機構的仿冒木馬

　　國內網絡監管審查相比國外更加嚴格，移動互聯網治理工作更有成效，擁有較好的大環境。研究發現，在國內，仿冒其他應用的網銀類木馬數量要比國外少得多。2020年，奇安信威脅情報中心共在國內監測偽冒正常應用的網銀盜號木馬近百個。其中主要以偽冒各大銀APP、偽冒安全軟件以及銀行相關APP為主。具體分布見下圖。

　　2020年10月份，我們捕捉到一個國內網銀盜號木馬新家族“BYL”，該家族會偽裝成國內數家知名銀行APP。該家族木馬通過獲取用戶銀行卡憑證、個人信息來盜竊用戶財產。奇安信威脅情報中心大數據統計，該樣本于2020年7月至10月中旬首次爆發，至少在國內31個省級行政區的用戶手機上進行傳播，感染總設備多至2000臺左右，其中山東11.5%、上海6.9%、四川6.7%為全國感染量最多的三個省級地區。

　　2020年12月，該家族木馬再度來襲。奇安信威脅情報中心大數據統計，截至2020年12月31日，全國12個省級行政區用戶對BYL網銀盜號木馬家族搭建的釣魚下載頁面的訪問數量達到萬級，其中內蒙古（11.8%）、北京市（4.5%）、廣東?。?.2%）是國內釣魚下載頁面訪問量最多的三個地區。具體情況見下圖。

　　第三章     物聯網Android木馬攻擊分析

　　以往針對Android木馬的研究大多集中在智能手機領域。但奇安信威脅情報中心監測顯示，隨著物聯網領域的興起，越來越多的物聯網設備開始搭載Android系統，且物聯網設備的整體安全防護及安全管理能力都遠遠不及智能手機。所以，物聯網設備已經成為很多黑產團伙盯上的新目標。

　　一、挖礦木馬

　　“AdbMiner”挖礦木馬誕生于2018年，直至2020年依然存活，是今年Android平臺最流行的一款挖礦木馬。主要通過droidbot攻擊模塊對已經打開的 adb 調試端口的Android設備進行蠕蟲傳播。其一開始針對的目標是電視盒子設備，后續也被發現于充電樁等其它Android物聯網設備中，其感染對象幾乎全都是物聯網設備。

　　根據數據統計，挖礦家族AdbMiner在全世界感染量接近萬級，國內感染量達到千級。

　　2020年9月30日，日本某地區充電樁遭受AdbMiner家族攻擊后正常業務無法展開，奇安信威脅情報中心發現后發布報告披露IoT挖礦家族AdbMiner在野活動。

　　二、充電寶木馬

　　2020年12月，監管機構發布一則重要提醒，讓廣大人民群眾警惕身邊的共享充電寶，其內部很有可能就植入有木馬程序。

　　正規的共享充電寶只提供充電功能，而不會提供包含數據傳輸線路的功能，因此插上充電線后不會有任何彈窗。而惡意改造的充電寶會存在申請權限訪問用戶個人隱私數據或者彈窗顯示是否允許訪問手機上的數據等，具體見下圖。

　　針對此類通過充電寶傳播的木馬程序，奇安信威脅情報中心給出如下安全建議。

　　1.）使用正規商家的共享充電寶。

　　2.）如果插入充電寶后有任何彈窗，就應該提高警惕并選擇否。

　　3.）使用Android手機時，如無必要不要開啟開發者模式。

　　第四章     移動平臺黑產活動監測

　　互聯網用戶的網絡安全意識還較為薄弱，容易被黑產人員設計好的套路所欺騙。2020年，奇安信威脅情報中心披露多條黑色產業鏈相關細節，揭露常見欺詐套路，為普及安全常識做出貢獻。

　　一、山寨網貸

　?。ㄒ唬┥秸W貸詐騙模式

　　山寨網貸APP，是指黑產團伙開發的，仿冒某些知名網貸平臺的APP，或完全虛假的網貸APP。不同于一般的木馬程序，此類APP不僅會竊取用戶網銀等帳號信息，還會通過虛假的網貸平臺，誘騙用戶繳納各種費用，從而實施詐騙。

　　山寨網貸平臺的攻擊過程一般如下：

　　1.）推廣山寨網貸APP

　　黑產組織首先仿冒知名機構網貸平臺，通過短信、電話、聊天等方式進行推銷，誘騙借款人下載安裝與正版APP相似的山寨網貸APP。相關釣魚短信見下圖。

　　2.）一旦借款人使用了山寨網貸APP，便會被要求山寨網貸APP中注冊自己個人信息申請借款，但申請的額度往往無法支取。在遭受個人信息被泄露的同時，假客服還會以手續費、保證金、銀行賬號解凍費、提現費用等話術套路，引導借款人進行轉賬或其他行為，進一步造成用戶的個人財產損失。

　?。ǘ?nbsp; 山寨網貸APP態勢

　　2020年奇安信威脅情報中心累計截獲山寨網貸樣本多達5萬多個，涉及2萬多個APP，其中采用有錢花（10.8%）、倢信金融（4.9%）、借唄（4.9%）的應用名稱出現的頻率最多。山寨網貸主要是仿冒成大公司相同或者相似的應用名稱，讓用戶難辨真假。具體見下圖。

　　2020年，奇安信威脅情報中心截獲的所有山寨網貸，分為兩類惡意家族，分別為FakeLoan家族（占比96.6%）和BlackLoan家族（占比3.4%）。具體見下圖。

　　二、刷量廣告

　　刷量廣告APP，主要分為兩種類型。

　　一種為仿冒正規APP類。黑產團伙開發的，仿冒一些常用應用或者熱門應用。該木馬程序主要在受害者點擊啟動之后，在后臺偷偷訪問廣告鏈接并模擬用戶點擊來通過受害者的流量訪問廣告，以此來刷取廣告聯盟提供的廣告播放收益。

　　另外一種為在正規APP中增加插件類。黑產團伙直接篡改應用市場上的熱門應用，并在其中插入黑產團伙編寫的廣告插件，以實現廣告播放功能，然后將受益者的信息填寫為黑產團伙相關資產，最后再將修改后的熱門應用通過其他應用商店進行傳播，以此來實現借助別人的熱門應用為自己賺取廣告收益。

　　（一）刷量廣告黑產分析

　　仿冒正規APP類刷量廣告的黑色產業鏈的具體過程如下圖。

　　仿冒正規APP類刷量廣告的攻擊過程一般如下。

　　1.）從開發人員那里購買惡意廣告木馬（惡意廣告木馬指在用戶不知曉的情況下偷偷訪問廣告鏈接獲取廣告收益的惡意木馬）。

　　2.）通過網頁下載、應用商店等方式傳播木馬。

　　3.）受害者啟動木馬后，木馬后臺訪問并模擬點擊廣告，廣告聯盟平臺會將廣告收益返回給黑產人員。

　　在正規APP中增加插件類刷量廣告的黑色產業鏈。具體過程如下圖。

　　在正規APP中增加插件類刷量廣告的攻擊過程一般如下。

　　1.）黑產人員從各大應用商店上收集一些擁有一定下載量的應用，用來作為山寨的對象。

　　2.）黑產人員再對收集到的APP進行“插包”，在正規APP里插入廣告聯盟平臺提供的廣告插件進行廣告播放，并把廣告收益者的信息填寫為自己。

　　3.）將修改過的山寨APP發布到各大應用商店上讓用戶下載使用。

　　4.）用戶使用山寨APP時產生的廣告收益由廣告聯盟平臺返還到黑產人員那里。

　　（二）刷量廣告樣本態勢

　　2020年奇安信威脅情報中心監測到惡意廣告樣本新增數量多達近13萬個，其中12月份（占比50.1%）、4月份（占比26.3%）、11月份（占比15.9%）新增的樣本數是今年增長最多的幾個月份。具體分布如下圖。

　　在新增的惡意廣告樣本中，我們根據應用名稱對樣本進行統計，繪制出TOP 10的數量分布。其中以AVG AntiVirus 2020 for Android Security FREE （2.2%）、七龍珠 （0.1%）、天天美圖（0.1%）為應用名稱的廣告木馬是今年新增廣告木馬中數量最多的，但由于名稱太多即使是TOP榜里的應用名稱在今年新增廣告木馬總量中占比也較低。具體分布如下圖。

　　我們對2020年廣告木馬家族的樣本數量進行TOP排序，其中Hiddad家族（占比61.9%）、Ewind家族 （占比21.7%）、Airpush家族（占比5.7%）是樣本數量占比最多的TOP3家族。具體分布如下圖。

　　三、棋牌私彩

　　棋牌私彩APP，是指黑產團伙開發的，可以操控結果的棋牌私彩木馬。通過引誘用戶使用該程序，一開始先給受害者一些甜頭，引誘受害者加大投入，隨后再操控棋局或牌局讓受害者傾家蕩產。

　　（一）棋牌黑色產業鏈分析

　　棋牌私彩黑產具體實現如下圖。

　　棋牌私彩黑產實現的過程一般如下。

　　1.）雇傭開發人員開發棋牌私彩APP。

　　2.）通過多種渠道推廣棋牌私彩APP。

　　下面給出當前流行的集中典型推廣方式的具體介紹。

　　狗推： 棋牌推廣員，俗稱“狗推”，是一種黑色推廣渠道，通過在各大社交媒體和招聘網站上進行宣傳，以此來引誘想走捷徑獲取高薪的年輕人。受害者一旦被騙出國外就對其進行人身自由控制，強制其進行先騙人再騙錢的詐騙行為，如果想要離開就需要繳納高額賠償，為了離開或者被洗腦后為了賺錢，逐漸泯滅良心去從事通過網上交友引誘其進行賭博。

　　誘惑視頻推廣：通過擁有一定客戶群體的誘惑視頻網站，進行廣告推廣。幾名女子每天固定時間進行誘惑視頻直播。觀看直播需要先在網絡棋牌平臺上注冊充值，才能獲得觀看權限。如果充值超過一定的額度，就可以觀看一對一誘惑視頻直播。常見網站推廣如下圖。

　　盜版視頻網站、正規APP推廣：一些盜版視頻資源網站會將棋牌產業推廣嵌入到視頻播放中，以及一些正規地擁有一定用戶量的App也會接棋牌產業廣告推廣來盈利。盜版視頻推廣如下圖。

　　電競贊助、直播推廣：棋牌產業公司通過贊助電競戰隊在微博等大型社交平臺公開引流，以及通過直播平臺各大主播進行推廣。電競直播推廣如下圖。

　　微信群推廣、小程序群推廣： 小程序的火熱及其帶來的方便高效性博得了很多用戶的好感，很多人對它們的戒備心并不是很強，隨手一個轉發到群聊，點擊量就會不斷增加。

　　3.）通過以下三種手段實現獲取利益。

　　第一，操控開獎結果保底盈利讓大多數玩家輸錢。

　　第二，以各種理由拒絕中高額彩票的用戶提現從而繼續指導投注至最后輸光為止。

　　第三，推薦各網貸平臺或自己平臺貸款給用戶買彩。

　　（二）棋牌私彩APP分布態勢

　　2020年奇安信威脅情報中心根據捕獲的新增棋牌私彩類樣本數據對應用名稱進行分布統計。從分布情況可以看出棋牌黑色產業使用的應用名稱比較分散，其中大發彩票（0.2%）、好彩手游（0.2%）、黑桃棋牌（0.2%）為應用名稱的樣本是最多的。具體分布如下圖。

　　四、誘惑視頻

　　誘惑視頻APP，指的是黑產團伙專門開發的，偽冒成色情APP的木馬程序。通過誘惑的圖標、簡短的幾秒誘惑視頻引誘用戶下載使用并開通VIP才可以看完整視頻，用戶即便支付費用，成為VIP，最終也不會有任何誘惑視頻播放。具體過程見下圖。

　　（一）誘惑視頻產業鏈分析

　　誘惑視頻黑產的具體過程一般如下：

　　1.）黑產人員從開發人員那里購買偽冒的誘惑視頻APP。

　　2.）通過QQ群、微信群、網頁下載等方式誘惑用戶進行下載安裝。

　　3.）用戶使用時，只展示誘惑圖片或者播放幾秒誘惑視頻引誘用戶去購買VIP觀看完整視頻，但用戶支付完畢后APP并不會播放完整視頻。

　?。ǘ┱T惑視頻木馬樣本態勢

　　2020年奇安信威脅情報中心累計截獲20多萬個誘惑視頻木馬樣本，其中以Porn Factory App （93.7%）、MyPleasure App （2%）、蜜桃 （0.2%）的應用名稱出現的頻率最多。

　　我們識別這批誘惑視頻木馬為4個木馬家族，其中sexplayer家族 （占新增木馬家族的92.9%）、PornApp （4.3%）、PornVideo（2.7%）是這批樣本中檢出量最高的TOP3家族。從分布情況上可以看出今年誘惑視頻木馬的主流家族是sexplayer。

　　五、裸聊勒索

　　裸聊勒索APP，是指黑產團伙專門開發的，偽裝成正常的直播APP，其本質就是一個木馬程序，安裝啟動后會竊取用戶聯系人信息。當黑產人員引誘受害者進行裸聊時，該木馬程序會在后臺偷偷錄取受害者視頻上傳到黑產人員服務器里，隨后黑產人員就可以依靠視頻來勒索受害者。具體過程見下圖。

　　裸聊勒索的具體過程一般如下：

　　1.）黑產人員從上游號商黑產人員那里獲取目標男性的QQ、微信賬號。

　　2.）黑產人員從開發人員購買惡意直播APP。

　　3.）黑產人員通過從號商黑產買來的QQ、微信號和受害者建立聯系，用話術偽裝成主播誘騙受害者安裝直播木馬，木馬一經安裝就會自動獲取設備上的聯系人信息，并發送給黑產人員。一旦獲取受害者的信任就會誘惑受害者使用木馬進行裸聊，在受害者裸聊時，木馬會在后臺偷偷錄下裸聊視頻傳送給黑產人員。

　　黑產人員展開勒索受害者獲取收益。勒索信息示例如下圖。

　　六、黑卡

　　黑卡，是指黑產團伙在網絡詐騙犯罪過程中使用的，非實名登記的移動電話卡、雖經實名登記但使用者并非本人的電話卡，或者是通過木馬遠程控制的受害者設備，是犯罪分子所使用的重要“基礎設施”。主要分為兩種類型。

　　第一種就是上面提到的非實名登記的、實名登記但非自己的電話卡，通常交付的也是實體電話卡，這種黑卡屬于一次性用品，被封之后就無法再次使用。

　　第二種是指通過遠控木馬（控制用戶手機的木馬病毒）感染并控制受害者移動設備作為“黑卡”基礎設施。上游黑產將受感染的設備統一管理，然后提供相關黑產服務售賣給下游黑產，并不需要交付實體電話卡，而且由于受感染的設備是實名制的正常用戶，所以可以多次使用。

　　本文具體說明的為上文中的第二種通過遠控木馬感染并控制受害者移動設備的“黑卡”。具體黑卡黑產實施過程如下圖。

　　黑卡產業實現的過程一般如下。

　　1.）上游黑產人員從開發人員那里購買遠控木馬。

　　2.）上游黑產人員通過網頁、QQ群、微信群等渠道傳播遠控木馬等待用戶下載安裝。

　　3.）上游黑產人員將受控制的所有受害者設備作為自己的基礎設施，然后通過QQ群、微信群等渠道向下游黑產人員出售黑卡服務。

　　4.）下游黑產人員購買上游黑產人員提供的黑卡服務，并通過電商返利、注冊平臺水軍賬號、詐騙等方式進行獲益。

　　七、群控

　　群控軟件，本質是通過使用多部真實手機或模擬多部手機，在手機中安裝腳本軟件來控制手機上的APP，修改手機軟硬件信息，達到模擬人工使用APP的效果。其目的是通過自動化手段，最大化模擬真實用戶的操作請求，以達到吸粉、引流、廣告、“薅羊毛”等作弊目標。

　　早在2018年，央視揭露娛樂明星流量數據造假的行業內幕，例如某些藝人發了一條普通的內容，短時間獲得上千萬甚至是上億的瀏覽量；某某微博粉絲數量幾十上百萬，但是你卻從來沒有聽說過他，以及他的粉絲從來沒有評論過其發表的微博等。這些奇怪現象的背后就是一條群控黑色產業鏈。相關新聞披露如下圖。

　　群控軟件的具體分類如下。

　　第一代群控：多開模擬器，讓一臺手機上實現多開應用功能

　　第二代群控：群控，將上百臺手機界面映射到一臺計算機上，在計算機上使用群控軟件批量操作所有手機。

　　第三代群控：傳統云控，利用云端遠程下達命令，本地收到命令群發到手機群然后執行任務。

　　第四代群控：新型云控，通過數據包形式和服務器進行交互來實現登錄、綁定郵箱、更改密碼等操作。

　　表1 四代群控軟件對比表格

　　系統名稱

　　原理

　　一臺設備對應微信號數量

　　特點

　　多開模擬器

　　越獄手機模擬多個蘋果系統

　　50

　　成本低，易封號

　　群控

　　計算機通過集線器操作手機墻

　　100

　　成本高，易封號

　　傳統云控

　　計算機遠程操控手機墻

　　1000

　　成本高，易封號

　　新型云控

　　不需要手機，協議外掛

　　10000+

　　成本低，較難封號

　　群控黑產具體實現過程如下圖。

　　群控黑產實現過程一般如下。

　　1.）從開發人員那里購買云控平臺（即4代群控軟件）。

　　2.）從上游惡意注冊商那里購買大量社交賬號，然后通過群控發送數據包進行賬號登錄，然后向下游黑產人員售賣云控服務。

　　3.）下游黑產人員購買上游的云控服務，通過“薅羊毛”、刷評論、刷贊、微博關注等各種途徑將流量變現。

　　第五章     安全建議

　　現今智能手機已經成為現代人生活的必需品，它不僅存儲著我們每個人的個人隱私信息，還與我們的工作、生活息息相關。種類多樣的APP，在帶給我們豐富多彩生活、工作便利的同時，也包含著我們難以察覺到的威脅。

　　無論是個人、企業、國家，在移動網絡技術飛速發展的過程中，面臨的威脅也隨之而來。對于個人我們要保障隱私不外泄，對于企業我們要保障企業利益不會蒙受損害，對于國家我們保障國家安全不受威脅。我們希望用戶從個人出發重視移動安全，加強個人網絡安全防范意識，為保護個人因素、維護企業利益、保障國家安全貢獻自己的一份力量。

　　針對普通用戶如何避免遭受Android平臺惡意應用的侵害，奇安信威脅情報中心給出了以下防護建議：

　　1.）使用正版和正規官方應用市場提供的APP應用，不要安裝非可信渠道的應用、不要隨意點擊不明URL鏈接和掃描安全性未知的二維碼信息；

　　2.）移動設備及時在可信網絡環境下進行安全更新，不要輕易使用外來的網絡環境；

　　3.）使用正規商家的共享充電寶，不輕易開啟開發者模式；

　　4.）確保安裝有手機安全軟件，并進行實時保護；

　　5.）若發現手機感染木馬病毒，請及時使用安全軟件進行清理，避免重復交叉感染；

　　6.）積極學習網絡安全知識，及時了解當下流行的網絡騙局，避免陷入“社交約會類”“兼職類”“金融理財類”“冒充身份類”等騙局中。