2023年度中国手机安全状况报告 0 2023年度 中国手机安全状况报告 2024年03月 前言 当前,电信网络诈骗呈集团化、产业化、链条化、跨境化态势,境外出现以“工业园”“科技园”为幌子的超大犯罪集团,从单独实施诈骗犯罪到衍生出故意伤害、非法拘禁等严重暴力犯罪,严重损害人民群众安全感。同时,为境外电信网络诈骗犯罪集团提供帮助的境内外相关黑产链条更为完整,人员、信息、技术、资金等黑产模块更为稳定,技术门槛进一步降低,资金渠道交织隐蔽,社会危害性极大[1]。 同时,不法分子不断寻求新的技术和手段,试图绕过反诈类产品的识别。2023年出现的、迭代的新型简易组网GOIP、无感盗刷远控、1人1包等技术已凸显出现阶段黑产行业整体的变革,从早期使用引导话术“麻痹”用户,到现在全方位技术“升级”,对安全行业的反诈手段做定向绕过。在推广引流方面,新型简易组网GOIP利用高频电话风控“漏洞”,绕过呼叫频率、离散度风控模型;在技术开发方面,1人1包样本利用其同一个下载链在不同时间下载的样本不同,突破了传统的样本库收录、识别策略;在转账洗钱方面,“无感盗刷远控”利用安卓系统的辅助功能等机制,突破账号异地登录、同网络环境、新设备风控机制进行盗刷;在黑灰产业链方面,黑产担保中介的出现,使得黑产供需双方的交易更加隐蔽,追踪和溯源变得更加困难。 2023年,全国公安机关持续向电信网络诈骗犯罪发起凌厉攻势,共破获电信网络诈骗 案件43.7万起,抓获一大批违法犯罪嫌疑人,自2023年8月以来电信网络诈骗发案数连续下降,打击治理工作取得显著成效。全链条打击电信网络诈骗及关联犯罪,深入开展“斩链”“清源”“利剑”三大战役,抓获了一大批违法犯罪人员,破获了一大批诈骗案件;会同最高人民法院、最高人民检察院等相关部门联合部署开展“拔钉”专项行动,成功将263名电信网络诈骗犯罪集团重大头目和骨干缉捕归案;组织开展“鄂湘鲁豫”区域会战,共捣毁诈骗窝点1800余个,实现规模打击效能最大化;针对涉诈黑灰产链条,组织发起打击涉诈固话语音专线、简易组网GOIP、跑分洗钱等各类集群战役277起,取得了显著战果[2]。 为坚决彻底铲除缅北涉我电信网络诈骗犯罪“毒瘤”,公安部与缅甸警方持续开展执法安全合作,云南公安机关不断深化与缅甸相关地方执法部门的边境警务执法合作,在前期持续不断打击下,截至目前,已有4.4万名缅北涉我电信网络诈骗犯罪嫌疑人移交我方,其中 幕后“金主”、组织头目和骨干171名,网上在逃人员2908名,有力打击了境外诈骗集团的嚣张气焰,打击工作取得历史性重大战果。公安机关将始终保持对此类犯罪的严打高压态势,不断深化国际执法合作,持续缉捕电信网络诈骗犯罪集团重要头目,纵深推进专项打击行动,坚决维护人民群众生命财产安全,切实维护边境安全稳定[3]。 《2023年度中国手机安全状况报告》基于360安全大脑和360移动安全黑灰产研判、分析、溯源能力,持续以电信网络诈骗手法、攻防技术、产业链为切入点,深度剖析电信网络诈骗及关联的重点黑灰产业链。面对层出不穷的新型诈骗手段,公众需提高自己的反诈意识和能力,360也将发挥在网络安全行业积累的攻防打击技术优势,赋能反诈,增加反诈行业综合打击能力。 目录 第一篇电信网络诈骗-黑灰产攻防技术1 第一章、简易组网GOIP增加AXB模式,实现号码防封1 第二章、伪“国显”号码成为黑产电销主流线路4 第三章、安卓远控木马伪装成色情、赌博等应用,盗取支付密码进行无感盗刷5 第四章、突破病毒库识别策略的1人1包类样本7 一、恶意应用的制作与分发流程7 二、1人1包类恶意样本识别8 第五章、眼见不一定为真,诈骗场景使用“换脸”技术8 一、手机相机内容“劫持”替换指定视频8 二、AI合成高仿及实时换脸视频10 第二篇电信网络诈骗-黑灰产业链11 第一章、为诈骗引流的礼品电销产业11 第二章、承接黑产供需双方的担保中介12 第三篇电信网络诈骗案例14 第一章、群里炒股的人都赚钱了,自己按照要求投资却无法提现14 第二章、退还买课的费用,却要求在理财平台投资进行返款15 第三章、快递损坏进行赔偿,却误打开支付通道,关闭需要向对方转账16 第四章、使用“邀请码”注册应用后,手机信息被盗17 第五章、免费赠礼品?当心是“陷阱”17 第四篇反电信网络诈骗行业动态19 第一章、政策法规颁布落实19 一、深入实施《反电信网络诈骗法》信息通信行业反诈工作再上新台阶19 二、公安部就《电信网络诈骗及其关联违法犯罪联合惩戒办法(征求意见稿)》面向社会公开征求意见20 第二章、政府重拳出击21 一、最高检发布《检察机关打击治理电信网络诈骗及其关联犯罪工作情况(2023年)》依法严惩境外诈骗集团协同推动网络综合治理21 二、公安部:2023年共破获电信网络诈骗案件43.7万起22 三、中缅联合打击跨国电信网络诈骗犯罪取得标志性重大战果23 第五篇电信网络诈骗趋势预测与反制建议24 第一章、新型网络犯罪趋势预测24 第二章、黑产攻防对抗应对手段24 一、情报共享,提升黑产捕获能力25 二、技术革新,提升黑产识别能力25 参考文献26 附录-2023中国手机安全数据报告27 第一篇电信网络诈骗-黑灰产攻防技术 随着反诈力度的不断加强和公众反诈意识的提高,大量涉及网络诈骗的黑灰产逐渐受到打击,其所使用的诸多技术手段也被纷纷封停。在此背景下,不法分子不断寻求新的技术和手段,网络诈骗的攻防对抗变得愈发激烈。2023年360移动安全团队捕获到黑产使用新型简易组网GOIP、“伪国显”号码、无感盗刷远控、1人1包、AI换脸等新技术。这些手段增强了诈骗的迷惑性,使得公众容易上当受骗,同时增加了“免杀”策略,尝试绕过例如360手机卫士等反诈APP识别。面对这些新型的诈骗手段,公众需提高警惕,不断学习和了解新的诈骗手法,提高自己的反诈意识和能力,360也将发挥在网络安全行业积累的攻防打击技术优势,赋能反诈,增加反诈行业综合打击能力。 第一章、简易组网GOIP增加AXB模式,实现号码防封 360移动安全团队曾揭露过黑产搭建简易组网GOIP环境,实现境外诈骗人员远控境内人员的手机拨打诈骗电话的手法。境外手机A1安装远控APP,控制境内的手机A2拨打诈骗电话,境外手机B1安装具有语音聊天的APP,与境内手机B2进行语音通话,境内手机A2与境内手机B2通过音频连接线连接,实现A2与B2实时共享音频,从而实现境外手机B1代替境内手机A2,与境内手机A2电话呼叫的人员进行实时通话。此类简易组网GOIP,2022年黑产使用第三方公司开发的远控、聊天类应用搭建环境。随着相关的软件线路遭受风控限制,黑产开始自研例如杨*、云*插卡端、火*语音端等具有远控、语音聊天功能的应用。 图1简易组网GOIP流程 图2简易组网GOIP应用界面 2023年黑产为提升简易组网GOIP诈骗的成功率,一方面加大招兵买马的力度,黑产渠道出现了大量GOIP上课群,手把手教授下游马仔安装简易组网GOIP应用,按照电话呼叫的时长支付费用。另一方面增加样本的更新速度,样本更新从2023年5月出现激增,提升追溯难度。2023年360移动安全团队,累计发现国内简易组网GOIP设备数十万,按照IP地域划分,TOP10省份分别为陕西、广东、云南、四川、湖南、广西、河南、贵州、湖北、江苏。 图32023年简易组网GOIP各月样本新增量 图42023年简易组网GOIP设备TOP10省份分布 随着全国执法机关持续开展打击简易组网GOIP专项行动,黑产进行产业升级,在远控式控制电话外呼的基础上,新增AXB(也称中继)方式进行外呼,诈骗人员在境外使用号码A,呼叫境内的马仔手机号X,马仔根据诈骗人员提供的受害人号码B,将手机号X设置呼叫转移至指定的受害人号码B。当诈骗人员使用号码A拨打X号码时,实现A和B通话。为了方便马仔快速、批量化设置呼叫转移,目前黑产已将此套方案开发成APP。 图5AXB流程 图6黑产群交流AXB流程 第二章、伪“国显”号码成为黑产电销主流线路 在2023年360移动安全团队监测到部分黑产渠道售卖的电销号码,其号码区别于常见号码,但却能正常显示号码归属地。深入分析后发现是骗子在来电号码上动“心思”加以伪装,冒充其当地归属地的号码向当地民众拨打诈骗电话。此种电话伪装技术,黑产行业称为“国显线路”。截至2023年底,从黑产渠道捕获的国显类号码,主要对固话归属地、手机号 码归属地进行伪装。此类号码归属地伪装技术,在2023年已成为黑产电销(电话)供应商主流线路,360移动安全团队每日发现识别大量此类国显号码。 图7黑产展示的伪国显号码 此类号码被黑产封装成电销线路,对接到呼叫中心系统软件中,通过售卖呼叫中心平台子账号的方式售卖电话资源。或向下线提供账号、密码,诈骗窝点使用SIP类软件远程调用电销线路中的号码拨打诈骗电话。借助此类系统,诈骗窝点具备了批量外呼的能力。 为增加受害人的信任度,黑产提供的电销线路增加了轮拨呼叫策略,给同一个手机号拨打电话,若当前使用的号码对方未接听,系统会自动切换号码池中的号码再次进行呼叫。同时为了防止号码池被追踪,加入了混拨技术,同一个电销线路使用不同类型的号码拨打。 这种手段最终的目的是让受害者误以为来电方是本地某个机构或者熟人,从而降低受害者的警惕性,更容易相信诈骗电话的内容。对于陌生来电,尤其是涉及财务、个人隐私等敏感信息的电话,要保持高度警惕,不轻易相信对方的身份和要求。可以在手机上安装反诈软件,如360手机卫士等,这些软件可以识别并拦截诈骗电话和短信,提高手机的安全性。 第三章、安卓远控木马伪装成色情、赌博等应用,盗取支付密码进行无感盗刷 2023年3月,360移动安全团队在日常的威胁分析运营中捕获到多个黑产渠道出售安卓远控木马,售卖方宣称木马具备“操控手机进行转账、位置监控、账号捕捉等功能”,其建议买家可将远控木马伪装成色情、赌博、诈骗等类型应用,提升传播成功率。此类木马,可实现用户未使用手机的情况下私自解锁手机,远程控制手机进行资金盗刷,危害性巨大。 经分析后发现,此类木马早期在虚拟货币黑产圈中流转,主要为盗刷虚拟货币钱包,黑 5 产内部称为盗U技术。为扩大销售市场,目前将目标用户扩大到电诈、赌博、色情产业。从捕获到的情报看,此类木马主要通过对市面的开源远控软件修改后生成,修改后的主控名称包括天线远控、CraxsRat(也称克拉克斯鼠)等。 图8黑产群发布的远控教程 部分黑产基于安卓虚拟化技术开发了特殊的工具,支持将编写的安卓远控程序,注入到正常的App中,运行App时安卓远控程序也会上线。例如下图是某款支持将远控代码注入到常见应用的远控,其宣传页的功能描述。 图9安卓远控注入工具介绍 此类木马由于需要对手机进行大量的执行操作,会通过话术诱导受害人安装应用,开启手机无障碍、通知栏监听、悬浮窗等权限,进而实现各类监控功能。捕获到的某款伪装成色情应用的远控应用,行为链如下表。通过对比多个此类安卓远控类样本,猜测此类样本目前以色情为幌子,利用辅助功能权限,窃取支付密码并远程控制手机,当监控到用户长时间未使用手机时,远控手机访问第三方平台的支付API接口,并使用已窃取到的密码购买平台对应的虚拟币、虚拟商品等。 过程 内容 步骤1 申请权限 步骤2 连接远控后台 步骤3 监控顶层页面与键盘,窃取某些应用的支付密码、设备密码 步骤4 上传密码、设备型号、用户使用设备情况 步骤5 频繁监控用户是否在使用设备(即设备是否锁屏)并将结果实时更新上传 步骤6 当步骤5监听到用户已超过半小时未使用手机,设置20s设备唤醒锁 步骤7 使用手势密码解锁设备 步骤8 静音,并开启视频聊天以确认用户未使用手机 步骤9 浏览器打开指定URL,猜测为支付URL 步骤10 支付过程中,若需人脸检测,则点击back键跳过 步骤11 输入支付密码,完成转账 步骤12 向左滑动删除列表中的软件(避免用户发现浏览器软件被运行过) 步骤13 退出视频聊天,解除静