360陈宏伟：恶意程序开发从“小作坊”走向“正规军”

8月17日，作为亚太地区互联网安全行业的饕餮盛宴，第四届中国互联网安全大会(ISC2016)进入第二天日程。当天下午召开的移动安全发展论坛上，360烽火实验室高级安全研究员陈宏伟分享了其最新研究成果。他表示，如今的恶意程序开发者已经不再小打小闹，开始从“小作坊”走向企业量级“正规军”。

图1:360高级安全研究员陈宏伟分析企业级恶意程序开发者

恶意软件，很多人并不陌生，它们甚至成为我们手机中的“常客”。据360互联网安全中心发布的《2016年第二季度手机安全状况报告》显示，仅今年第二季度，360互联网安全中心就截获安卓平台新增恶意程序样本426万个，累计感染6180万人次。这些动辄就以百万量级繁殖的恶意程序从何而来，又出自何人之手?

在ISC2016移动安全发展论坛上，360烽火实验室高级安全研究员陈宏伟表示，“企业级”恶意程序开发者正在搅局移动安全。

图2：陈宏伟介绍企业级开发者概况

陈宏伟提到，在2013年移动恶意软件个人开发者数量为2442个，企业级为496个;到2014年这一数据则变更为个人开发者有1579个，企业开发者有292个;截至2015年数据则出现翻转，个人开发者数量首次低于企业开发者，分别为1114个和1477个。不难发现，如今恶意程序开发已经从“小作坊”开始走向“正规军”。并且存在使用恶意广告、发布山寨应用、发布低俗色情应用、强制下载第三方应用、无提示扣费、窥探用户隐私、提交虚假身份信息等“七宗罪”，“专业”、更具“资本”的企业级开发者正在搅局移动安全。

陈宏伟介绍，早在2015年7月，360互联网安全中心就监测发现90余款手机应用被植入了相同恶意代码的“流量僵尸”木马，该木马主要为了给某搜索引擎导流;2015年8月酷派事件爆发，通过对该木马家族的分析发现，这些恶意程序的幕后作者被指向为某公司。

调查分析发现，这些具备黑历史的公司，往往在一线城市设有总部，并设有销售代理、技术研发等员工，主要从事暗扣、流氓广告的行为，并因此滋生了一系列黑色产业链。并且，相较于“小作坊”，这些企业级的“正规军”具备技术优势，出自其手的“作品”功能复杂，大多采用反射、混淆、加密等对抗手段，具有采用动态加载方式、自带提权模块等特点。同时，传播方式和渠道也呈多样化趋势，具备影响力较强、传播面积大等特征。

面对这些重量级的恶意程序开发者，陈宏伟建议：开发者需谨慎选择植入的SDK，手机用户尽量从较大的市场下载应用，应用市场要加强开发者的审查，手机厂商需要及时为用户推送安全更新，运营商加强对服务提供商的监管，政府也应当建立健全相关法律法规。通过这些政策法规和手段，加大打击和惩罚的力度，提高作恶成本。