针对移动银行与金融支付的持续黑产行动披露——DarkMobileBank跟踪分析报告.pdfVIP

针对移动银行和支付交易系统的持续黑产行动 披露 安天 文档信息 作 者 安天移动安全 发 布 日 期 2016/4/28 本报告所披露的针对移动金融和移动支付系统的持续性地下产业攻击和威 胁，是从 2013 年 5 月至今，历经近 3 年时间，通过 AVL Team 持续的跟进 背 景 介 绍 和分析所形成的聚合性情报。 本文版权归安天所有。本着开放共同进步的原则，允许以非商业用途使用自 版 权 说 明 由转载。转载时需注明文章版权、出处及链接，并保证文章完整性。以商业用 途使用本文的，请联系安天另做授权。联系邮箱：resource@。 分享和披露申明 引言 安天AVL移动安全团队 （以下简称AVL Team ）是安天旗下专注于移动安全和移动威胁对抗的安全企 业。从2010年至今 ，我们经历了一个完整的移动安全发展和威胁对抗的时代，也在此过程中经历了持续的 技术对抗博弈。有幸的是在这个过程中，我们承接安天在PC反恶意代码上的浓厚基因和基础，并在总部支 持下不断努力， 目前已经成为世界范围内具有顶级基础能力的移动安全团队之一 ，以及全球最大的移动反 病毒引擎技术和服务供应商。 本报告所披露的针对移动金融和移动支付系统的持续性地下产业攻击和威胁 ，是从2013年5月至今， 历经近3年时间，通过AVL Team持续的跟进和分析所形成的聚合性情报。早在2013年5月 ，我们已开始关 注到这种在技术上非常简单粗暴的攻击形态。同时，我们也看到了这种攻击和威胁形态是如何从2013年开 始持续至今 ，逐步完善地下产业链条的各个环节，催生出不同的分工和地下交易环节，最终发展成为拥有 数万非法从业人员、有明确协作的链条模式 ，以及成熟的地下产业化的持续威胁行动。2013年12月16 日 ，乌云平台的网友 “国土无双”首次对恶意代码样本进行公开披露 （事实上，相关样本的分析报告在 2013年11月19日就被公开披露过，但鉴于乌云上的披露中具有相对明确的攻击动机、侵害资产 目的及相 关产业链条情况的描述，故以此报告的披露时间为首次披露时间）。2014年10月份，经过1年时间的持续 跟进后 ，AVL Team首次公开披露了完整的地下产业链条 ，并对整个威胁行动环节进行了深度分析，同 时 ，在2015年陆续对新型的攻击手法和特点也进行了进一步的跟进和公开披露。 2015年，为了更好的达成威胁对抗使命，实现将我们顶级的检测能力，对抗能力和情报防御能力转化 为用户侧能力 ，团队在原有的移动恶意代码对抗和工程化体系的基础之上进行了整体架构和对抗能力的升 级，初步完成了面向威胁情报和持续性对抗与防御的能力升级。而这种可持续规模化的威胁情报工程化能 力，也给我们带来了更为全面的威胁战略态势感知，以及威胁行动战术剖析和威胁对抗反制支撑能力。在 这样的背景之下，我们希望以威胁情报的视角和手法，通过本报告，与大家分享在过去的3年时间里我们 所看到的这一长期盘踞在地下的产业攻击行动的细节。同时 ，也会在文档中的相关环节中直接引用已出现 的最优秀的分享文章，在此感谢同行和相关安全友商的共同努力。 鸣谢 本材料从2016年1月开始筹备，在材料组织过程中获得了高校、安全行业和金融行业同行的支持。 感谢复旦大学杨珉老师及其安全团队，共同参与准备，协助部分技术和分析材料 ，并对材料整体表达 提供修订建议。 感谢交通银行信息技术管理部、招商银行信息科技部、上海浦东发展银行信息科技部 ，对本材料的初 期版本提供的发布建议 ，并和我们共同探讨有效的安全治理措施。 第一章 背景说明和早期披露信息 在移动互联网极速发展的背景下 ，从 2012 年开始至今，移动支付基本完成了从用户习惯培养到全面渗 透的过程。目前 ，已有大量金融和支付交易的相关环节逐渐在移动终端侧成为用户主要的需求和关键业务 场景。我们在通过移动银行享受便捷的银行业务的同时 ，也催生了大量相关的移动支付交易业务和环节。 【1】 根据 CNNIC