看統計數據如何顛覆你的網路安全觀，2017年第一季度IT威脅及演變

卡巴斯基實驗室移動安全解決方案的檢測統計如下：

1333605個惡意安裝包

32038手機銀行家木馬（安裝包）

218625個移動勒索軟體木馬（安裝包）

本報告分別從移動威脅、網路威脅、本地威脅三大方面來做統計分析。

移動威脅

Trojan-Ransom.AndroidOS.Egat的興起

在2017年第一季度， 與Trojan-Ransom.AndroidOS.Egat家族有關的移動勒索軟體攻擊大幅增長，準確的來說，遭受這種惡意軟體攻擊的用戶數量比上一季度增加了13倍以上。儘管自2006年6月以來，這種木馬就已經被發現了，但是攻擊的爆炸式增加在今年才發生。

該惡意軟體具有標準的移動勒索軟體功能，比如它能阻止設備運行，用自己的窗口覆蓋用戶打開的所有窗口，然後要求用戶支付贖金。大多數情況下，贖金在100美元到200美元之間波動。大多數受到攻擊的用戶集中在歐洲，主要是德國，英國和義大利。

ZTorg的變種

卡巴斯基實驗室已在Google Play商店中檢測到約30個新的屬於Ztorg家族的木馬，如果你還記得《神奇寶貝GO》被感染的事件，那你一定不會對Ztorg陌生。2016年夏它在Google Play被發現，被發現時，安裝次數已超過了50萬次。安裝後，Ztorg會檢查它是否是在虛擬機上運行。如果檢查順利通過，則攻擊模塊就會通過遠程伺服器載入。通過利用系統中的漏洞，該木馬嘗試獲得超級用戶許可權。如果成功，它會將攻擊模塊安裝到系統文件夾中，並修改設備設置，使其持久隱藏在其中，即使你重置為出廠設置也不濟於事。

在Google Play商店中的Trojan.AndroidOS.Ztorg.bp

該木馬使用了幾個不同的模塊，秘密地在設備上下載和安裝各種程序，顯示廣告甚至購買應用程序。應該注意的是，這個惡意軟體的功能目前已經發生變異，比如，驗證設備是否真實的檢查次數已經減少了，用於下載，解密和載入主模塊的代碼已經被放置在下載的庫中。

Asacub的興起

在2017年第一季度，卡巴斯基實驗室注意到Trojan-Banker.AndroidOS.Asacub手機銀行攻擊正在興起。光這個季度，這個家族的木馬就襲擊了43000多台移動設備，比上一季度增長了2.5倍。在所有受攻擊的用戶中，超過97％的受害者來自俄羅斯。 Asacub主要通過垃圾郵件進行傳播。點擊惡意鏈接後，用戶被引導到一個頁面，提示他們查看隱藏木馬的信息，當用戶查看時，Asacub就會下載到設備。有趣的是，如果在Windows設備上打開相同的鏈接，則會下載Backdoor.Win32.Htbot.bs。

下載Trojan-Banker.AndroidOS.Asacub的站點

值得注意的是，Trojan-Banker.AndroidOS.Asacub還在不斷擴展其間諜軟體功能。除了標準的移動銀行攻擊功能外，例如竊取用戶的設備信息並發送釣魚簡訊，或者使用網路釣魚窗口覆蓋各種應用程序，搜索用戶的通話記錄，聯繫人和GPS位置。

移動威脅統計

2017年第一季卡巴斯基實驗室檢測到1333605個惡意安裝軟體，幾乎與2016年第四季度相同。

從2016年第2季度到 2017年第1季度檢測到的惡意安裝包數量

不同類型的移動惡意軟體的變化趨勢

2016年第四季度和2017年第一季度不同惡意軟體的變化趨勢

2017年第一季度，攻擊影響最大的是Trojan-Ransom，其佔比由4.64％上升至16.42％，提高了3.5倍。安裝包數量增長最快的是Trojan-Ransom.AndroidOS.Congur系列，這個會在下面描述。

在增長率方面，Trojan-Spyware的增長率達到了10.27％（增長了 1.83％）。這是由於Trojan-Spy.AndroidOS.SmForw和Trojan-Spy.AndroidOS.SmsThief的家族所新增的竊取SMS的惡意程序數量在增加。

第一季度，Adware（7.32％）和Trojan-Dropper（6.99％）的跌幅最大，分別下跌4.99％和4.48％。此外，與RiskTool有關的攻擊也下降了2.55％。

排名前20的移動惡意軟體程序

請注意，這種惡意程序評級不包括潛在的危險或有害程序，例如RiskTool或廣告軟體。

在2017年第一季度，以廣告為主要手段的14種木馬佔了排名前20的移動惡意軟體程序中的大半江山，其目標就是儘可能多地向用戶提供廣告。這些木馬可能會使用超級用戶許可權將其隱藏在系統應用程序文件夾中，要徹底從中刪除它們是非常困難的。

排名第一的是DangerousObject.Multi.Generic（70.09％），該軟體是使用基於雲計算的惡意程序檢測平台檢測的。當殺毒軟體的資料庫既不包含簽名也不包含啟發式檢測惡意程序時，只有通過雲技術來檢測了。

Trojan.AndroidOS.Hiddad.an（9.35％）排名第二，該惡意軟體會偽裝成各種不同流行的遊戲或應用程序。有趣的是，一旦運行，它會下載並安裝它所偽裝的應用程序。此時，木馬會通過管理員許可權來將其隱藏起來避免被刪除。 Trojan.AndroidOS.Hiddad.an的主要目的是頻繁展示廣告，其主要的受害者在俄羅斯（86％的被攻擊的用戶）。

第三是Trojan.AndroidOS.Boogr.gsh（4.51％），此木馬是基於機器學習的系統來檢測出來的，在2017年第一季度，它最受歡迎的能夠獲得用戶超級許可權的廣告木馬。

排名第八位的是Trojan-Dropper.AndroidOS.Hqwar.i（3.83％），它是通過 「混淆器」或「封隔器」來隱藏其惡意軟體的實際來源的。在大多數情況下，隱藏的是FakeToken和Svpeng木馬家族的相關名稱。

排名第十二位的是Trojan-Banker.AndroidOS.Svpeng（2.49％），這個家族已連續三個季度榜上有名了，而且還是2017年第一季度最受歡迎的銀行木馬。

Trojan.AndroidOS.Agent.bw排名第16位（1.79％）。這個木馬主要針對印度的受害者（超過92％的受攻擊用戶），就像Trojan.AndroidOS.Hiddad.an一樣，它也會偽裝成流行的程序和遊戲，一旦運行，就會在用戶的設備上下載並安裝了各種欺詐應用程序。

移動威脅的地理分布

2017年第一季度移動惡意軟體感染的地理位置分布

按受攻擊用戶的百分比排列，2017第一季度被移動惡意軟體攻擊的十大國家

在2017年第一季度，伊朗是的用戶受到移動惡意軟體攻擊的百分比最高—-47.35％。孟加拉國第二名，本季度，百分比到達36.25％。其次是印度尼西亞和中國，兩國的佔比略高於32％。

俄羅斯（11.6％）在這一評級中排名第40位，法國（8.1％）第57位，美國排名第69位（6.9％），義大利排名第71位（7.1％），德國（6.2％）第72位，英國（5.8％）排名第75位。

最安全的國家是芬蘭（2.7％），喬治亞（2.5％）和日本（1.5％）。

在排名前20名的國家中，都檢測到了相同的移動惡意對象——廣告軟體，其中影響最大的就是AdWare.AndroidOS.Ewind家族的廣告木馬。

手機銀行木馬

在第一季度里，卡巴斯基實驗室共檢測到32038個手機銀行木馬安裝套件，是2016年第四季度的1.1倍。

從2016年第二季度到 2017年第一季度卡巴斯基實驗室解決方案檢測到的移動銀行木馬安裝包數量

Trojan-Banker.AndroidOS.Svpeng連續第三季度仍然是最流行的手機銀行木馬，這個手機銀行木馬家族使用網路釣魚窗口從網上銀行帳戶竊取信用卡數據和登錄密碼。攻擊者會通過簡訊服務竊取包括手機銀行里的資金。Trojan-Banker.AndroidOS.Faketoken.z和Trojan-Banker.AndroidOS.Asacub.san與這個木馬也類似。值得注意的是，Trojan-Banker.AndroidOS.Svpeng的大多數受害者在俄羅斯。

2017年第一季度移動銀行遭受威脅的地理分布

受到手機銀行家族木馬襲擊的十大國家，按受攻擊用戶的佔比排名

儘管Svpeng家族在2017年第一季就成了最流行的手機銀行木馬，但其活動與2016年第三季度的巔峰時期相比還是有所下降，比如在俄羅斯遭受攻擊的用戶佔比就下降了近兩倍，從3.12％至1.64％。但是，俄羅斯仍然排在第一。

其次是澳大利亞（1.14％），Banker.AndroidOS.Acecard和Trojan-Banker.AndroidOS.Marcher家族是最流行的威脅木馬，土耳其（0.81％）排在第三。

移動勒索軟體

在2017年第一季度，卡巴斯基實驗室檢測到218625個移動勒索軟體木馬安裝包，比上一季度增長了3.5倍。

從2016年第二季度到 2017年第一季度，卡巴斯基實驗室檢測到的移動勒索軟體安裝包數量

在2016年上半年，由於Trojan-Ransom.AndroidOS.Fusob系列的大規模擴散導致了移動勒索軟體安裝包數量的增加。2016年下半年，隨著該家庭的活動下降，檢測到的安裝包數量也下降了。 2016年第四季度的移動勒索軟體有開始恢復了，2017年第一季度又出現了大幅加速，原因是Trojan-Ransom.AndroidOS.Congur家族的泛濫，經檢測， 有超過86％的增長都與該家族有關。通常，Congur家族的木馬具有非常簡單的功能，它們能更改系統密碼，讓設備無法正常運行，然後要求用戶支付贖金。值得注意的是，該木馬的修改可以利用現有的超級用戶許可權將其攻擊模塊安裝到系統文件夾中。

儘管如此，Trojan-Ransom.AndroidOS.Fusob.h仍然是第一季度最受歡迎的移動勒索軟體木馬，約佔45％攻擊比例。一旦運行，木馬會請求管理員許可權，收集有關設備的信息，包括GPS坐標和通話記錄，並將數據下載到惡意伺服器。最後，設備就可能會收到阻止設備的命令。

2017年第一季度移動勒索軟體木馬的地理位置分布

被移動勒索軟體木馬攻擊的前十個國家

美國在這裡排名第一，其中最受歡迎的木馬家族有Trojan-Ransom.AndroidOS.Svpeng。其實，這些木馬早在2014年就出現了，作為Trojan-Banker.AndroidOS.Svpeng手機銀行木馬家族的變異版本。該家族一般會要求受害者支付100-500美元的贖金來解鎖其設備。

在烏茲別克（0.65％），大多數移動勒索軟體攻擊都與Trojan-Ransom.AndroidOS.Loluz.a有關，這是一個簡單的木馬，能夠用自己的窗口覆蓋受害者設備，並要求用戶通過電話與欺詐者聯繫，從而獲取贖金。

哈薩克是第四名（0.54％），對用戶的主要威脅來自於小型移動的Trojan-Ransom家族，這是一個相當簡單的勒索軟體程序，通過覆蓋設備上的所有操作窗口，並且通常要求支付 10美元的贖金。

除了在這十大國家流行勒索軟體外，最受歡迎的木馬家族就是Fusob了。

網路犯罪分子所利用的易受攻擊的應用程序

由於2016年第三季度Neutrino利用套件已將大規模的攻擊活動改變成了具有針對性的攻擊，所以留下來的市場就被Nebula, Terror等這些新興起的木馬代替了，但時間也不是很長。目前，RIG家族仍然是最受歡迎和最先進的公開攻擊套件。

2017年第一季度的統計數字顯示，受攻擊的用戶數量幾乎下降了10％。這主要是由於漏洞利用套件的幾個大工具轉型或消失了，以及漏洞利用效率的降低。 截至目前，Adobe Flash仍然是唯一展示出現增長的攻擊工具，雖然在本季度還沒有發現新的Adobe Flash漏洞，但受攻擊的用戶數量卻增長了20％。針對不同的瀏覽器的Adobe Flash攻擊佔了44％（上個季度為54％）。

CVE-2016-189，CVE-2014-6332和CVE-2013-2551仍然是第一季度最受歡迎的漏洞。值得注意的是，微軟Edge瀏覽器Chakra引擎中的漏洞佔了大多數，在這些漏洞發布後， Sundown攻擊套件， Neutrino，Kaixin和其他木馬也都活躍了一陣子。然而，它們對這些漏洞的利用也就是一陣子而已，其實修補程序早在11月份就被發布了因此這些攻擊沒有得到廣泛傳播。

2017年第一季度易受攻擊的應用程序分布

在2017年第一季度，特別易受攻擊的應用程序都與Microsoft Office漏洞利用。雖然受攻擊的Office用戶的佔比沒有多大變化，但同一用戶遭受的攻擊次數，卻增加了不少多，平均下來，一名受攻擊的用戶在2016年四季度會收到3個惡意文件。

總體趨勢是，在向潛在受害者的計算機傳送惡意軟體時增加社會工程的佔比。其中，通過受感染郵件來誘導用戶執行某些操作佔了很大的比例，比如從受密碼保護的文章中解壓縮文件，從文檔中發出執行宏的許可權等。目前利用社會工程的方法也開始應用於瀏覽器的漏洞中，例如，Magnitude攻擊工具就可向Internet Explorer 11和Windows 10用戶發出偽造的Microsoft Defender更新通知，然後讓用戶下載惡意文件。另外，一些垃圾郵件廣告系列是基於偽造的Google Chrome更新頁面。卡巴斯基實驗室認為，今後這種趨勢將會越來越流行。

在線威脅（基於Web的攻擊）

銀行機構的在線威脅

從2017年第一季度開始，卡巴斯基實驗室就開始統計包括ATM和POS終端的惡意程序，但不包括移動威脅。

在2017年第一季度，卡巴斯基實驗室解決方案阻止了288000台電腦上的一個或多個能夠通過網上銀行竊取資金的惡意程序。

2017年第一季度，受到受銀行惡意軟體攻擊的用戶數量

威脅地理分布

為了評估和比較全球的銀行木馬和ATM和POS惡意軟體感染之間的關係，卡巴斯基實驗室對全球安裝卡巴斯基實驗室產品的所有用戶都進行了調查。

2017年第一季度銀行惡意軟體攻擊地理分布

排名前十的國家

2017年第一季度，德國（1.70％）遭受銀行木馬襲擊的用戶比例最高，其次是中國（1.37％）。利比亞（1.12％）第三。

至於其他歐洲國家，例如西班牙（0.24％）位居第89位，英國（0.15％）位居第126位。

十大銀行惡意軟體家族

下表顯示了2016年第三季度排名前十的惡意銀行軟體家庭，按受攻擊用戶所佔的百分比排名。

與去年同期相比，2017年第一季度，Trojan-Spy.Win32.Zbot（45.93％）是最受歡迎的惡意軟體家族。由於它的源代碼已經公開發布，現在基於它的很多變異版本都會竊取用戶的付款數據。毫不奇怪，攻擊者通常會根據泄露的源代碼來對舊有的版本進行升級。

其次是Trojan.Win32.Nymaim（29.70％）。剛開始，這個木馬系列的惡意軟體只是在用戶的設備下載程序，然後阻止設備的正常運行。之後，發現了Trojan.Win32.Nymaim家族惡意軟體的新變種，它們具有了Gozi的部分功能（Gozi稱為金融界歷史上破壞性最強的病毒之一），比如竊取網路銀行系統中的用戶支付數據。在2017年第一季度，Gozi（3.15％）排名第四。

Trojan.Win32.Neurevt（3.31％）排名第三，它是一個用C ++編寫的多功能木馬程序。它使用rootkit技術隱藏其在系統中，然後將自己的代碼注入到所有正在運行的進程中，並阻止某些殺毒程序的工作，監控和阻止其他常見木馬的安裝。

勒索軟體的數量變化

2017年第一季度，卡巴斯基實驗室共檢測到11個新的處於潛在威脅的勒索軟體家族和55667個原有惡意程序的新變種。

大多數檢測到的變種都屬於Cerber家族（Trojan-Ransom.Win32.Zerber），其實早在一年前，卡巴斯基就首次發現了Cerber，並定期檢測出其新變異的版本。

被勒索軟體攻擊的用戶數

在2017年第一季度，總共有240799個卡巴斯基安全用戶遭到隱私信息的攻擊。

2017年第一季度，Trojan-Ransom cryptor惡意軟體攻擊的用戶數

這個數字幾乎只有是2016年第四季度的一半，但這並代表威脅正在下降。這個下降很可能與實際的統計事件有關，本季度的統計數據只反映了基於簽名和啟發式檢測的結果。

攻擊的地理分布

2017年第一季度Trojan-Ransom攻擊的地理分布

遭受cryptor攻擊的前十個國家

2016年第三季度，義大利還未出現在前10，但現在居然排名第一（1.87％）。其次是巴西（1.07％），也是首次進入前十。這表明針對巴西受害者的勒索軟體數量有所增加。其中一個例子是Xpan的興起。

排名第三的日本（0.99％）在2016年第二季度和第三季度都是排名第一。

十大善於偽裝攻擊的勒索軟體家庭

Cerber（18.04％）在2017年第一季度攻擊的用戶數最多。

Spora（7.59％）位居第二。這個新出現的木馬是在2017年1月首次發現的，而其剛開始只是針對俄語地區的用戶。然而，Spora在全球範圍內的傳播速度非常快，在第一季度末就進入了前三名。第三名是Locky（7.35％），它大約一年前就被發現，最近的攻擊活動有所減少。

另一種新的木馬是Sage（3.44％），像Spora一樣，它在2017年第一季度才出現，在本季度評級中排名第四。

特別值得注意的是， PetrWrap的出現，207年3月，卡巴斯基實驗室就發現PetrWrap，利用臭名昭著的Petya勒索軟體加密用戶數據，也就是說PetrWrap勒索軟體半道綁架了Petya勒索軟體 這樣就省得自己寫代碼加密硬碟了，統計顯示，這種攻擊已變得普及了。

受網路資源攻擊的前十名國家

以下統計數據基於攻擊中使用的在線資源的物理位置，並被卡巴斯基實驗室的防病毒組件（包含重定向到漏洞的網頁，包含漏洞利用和其他惡意軟體的站點，殭屍網路命令中心等）所阻止，其中一個主機可能有一個或多個Web攻擊的來源。

為了確定基於Web攻擊的地理來源，卡巴斯基實驗室會將域名與其實際域IP地址進行匹配，然後建立特定IP地址（GEOIP）的地理位置。

2017年第一季度受網路資源攻擊的國家

荷蘭（38％）第一，雖然這個國家的佔比與2016年的幾乎沒有什麼變化，但曾經連續幾個季度都上漲的美國（30％）卻下降到第二位。德國（9％）第三。

俄羅斯（4％）和法國（3％）分別是第四和第五。

用戶面臨巨大網路威脅風險的國家

此統計僅包括屬於惡意軟體類的惡意程序攻擊，不包括網路防病毒模塊所檢測出的潛在危險或無用程序，如RiskTool或廣告軟體。

平均而言，有20.05％的計算機至少受到過一個惡意軟體家族的網路攻擊。

2017年第一季度惡意網路攻擊地理分布

最安全的網路環境是盧森堡（14.4％），德國（13.9％），挪威（13.83％），南非（12.5％），美國（10.56％），烏干達（10.29％）和日本9.18 ％）。

本地威脅

用戶計算機的本地威脅統計信息是一個非常重要的指標，該指標反映了通過感染文件或可移動媒體或最初以加密格式上傳到計算機上的計算機系統的威脅，例如，集成在複雜安裝程序中的程序，加密文件等。

本次的統計數據是基於硬碟驅動器以及可移動存儲介質上的文件掃描信息。

用戶面臨本地威脅風險最高的國家

這個統計是基於觸發了文件防病毒軟體的數據，這些統計數據反映了不同國家個人電腦感染的水平。

惡意程序的排名統計僅包括惡意軟體級別的攻擊，不包括網路防病毒模塊檢測的潛在的危險或不需要的程序，如RiskTool或廣告軟體。

數據包括檢測位於用戶計算機上的惡意程序或連接到計算機的可移動介質，如快閃記憶體驅動器，攝像機和手機存儲卡或外部硬碟驅動器。

2016年第三季度，全球計算機平均的本地威脅為23.63％。其中俄羅斯是30.51％。

本地威脅風險最小的國家有：波蘭（14.85％），新加坡（12.21％），義大利（13.30％），法國（11.15％），澳大利亞（10.51％），英國（9.08％），加拿大8.66％），捷克共和國（7.83％），美國（7.57％），丹麥（6.35％），日本（6.18％）。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！