2023 年度中国手机安全状况报告.docx

《2023 年度中国手机安全状况报告.docx》由会员分享，可在线阅读，更多相关《2023 年度中国手机安全状况报告.docx（29页珍藏版）》请在优知文库上搜索。

1、目录第，1骗-1第一章、筒易蛆网GoIPiS加AXB模式，实现号吗防封1第二章、伪“国显”号码成为黑产电销主流线路4第三章,安卓远控木马伪装成色情、韩博等应用，盗取支付密码进行无感盗刷一一5第四章、突破病毒库识别夷略的1人1包类样本7二.1人1包类恶意样本识8）8第五章、眼见不一定为真，诈骗场景使用“换胎”技术8-乳I榔呐容劫持替嵋定礴8第一章、为诈骗引流的礼品电销产业11第二章承接器产供需双方的担保中介12第一章、群里炒股的人都赚钱了，自己按照要求投资却无法提现14第二章、退还买课的费用，却要求在理财平台投资进行返款15第三章、快递损坏进行赔偿，却误打开支付通道，关闭需要向对方转账16第四章

2、、使用“邀请码”注册应用后，手机信息被盗17第五章、免费赠礼品？当心是“陷阱”17第四篇反电信网络诈骗行业动态19第一章,政策法规颁布落实19一、深入实施反电信网络诈骗法信息通信行业反诈工作再上新台阶19二、公安部就电信网络诈购及其关联违:超网联合惩戒办法（征求意见稽）面向社会物征求意见20第二章,政府空拳出击21一.最高检发布检察机关打击治理电信网络诈骗及其关联犯罪工作情况（2023年）依;护惩W卜诈骗集团协同推动网络综合治S21二、公安部:2023年共破获电信网络诈触件43.7万起22三、中缜联合打击跆国电信网络诈触网取得标志性更大战果23第五篇电信网络诈骗趋蛔测与反制建议24第一章,新型

3、网络犯罪趋势预测24第二章、黑产攻防对抗应对手段24一、情报共享，提升黑产捕获能力25二,技术革新，提升黑产识8懈力25多主。手SlEr36oex*图12023年简易组网GOlP设备ToHO省份分布随箭全国执法机关持续开展打击简易组网GOlP专项行动，果产进行产业升级，在远控式控制电话外吁的艇础上，新增AXB（也称中继）方式进行外呼，诈珀人员在喳外使用号码A,呼叫境内的马仔手机号X,马仔根据诈蛇人员提供的受击人号码B,将手机号X设附.呼叫转移至指定的受古人号码B。当诈界人员使用号码A拨打X号码时，实现A和B通话。为了方便马仔快速、批业化设祝呼叫转移，目前黑产己将此套方案开发成APP,ESBff

4、：王，A等刖号X8呼叫防修*图5AXB流程手i11卫士lm&om全大的图7果产展示的伪国显号码此类号码被组产封装成电销线路，对接到呼叫中心系统软件中,通过辑实呼叫中心平台子账号的方式由实电话资源。或向下线提供账号、密码，诈K窝点使用SlP类软件远程调用电销线路中的号码拨打诈展电话.借助此类系统,在痂窝点具备了批量外呼的能力.为增加受害人的信任度，热产提供的电销线路埴加了轮拨呼叫策略，给同一个手机号拨打电话，若当前使用的号码对方未接听，系统会自动切换号码池中的号码再次进行呼叫.同时为了防止号码池被追踪.加入了混拨技术,同一个电的线路使用不同类型的号码拨打.这种手段以终的目的是让受吉者误以为来电方

5、是本地某个机构或者熟人，从而降低受占者的警惕性，更容易相信诈珀电话的内容，对于瓯生来电，尤其是涉及财务、个人胞私等敏迷信息的电话，要保持高度警惕，不轻易相信对方的身份和要求.可以在手机上安装反诈状件，如360手机R士等.这些软件可以识别并拦敲洋展电话和短伯，提高手机的安全性.第三章、安卓远控木马伪装成色情、赌博等应用，盗取支付密码进行无感盗刷2023年3月，360格动安全团队在日常的城胁分析运营中捕获到多个黑产柒道出售安本远控木马，售卖方宣称木马具釜操控手机进行转账、位置监控、账号捕捉等功能“，其建议买家可将远控木马伪装成色情、赌博、诈骗等类型应用，提升传播成功率.此类木马，可实现用户未使用手

6、机的情况下私11解锁手机，远程控制手机进行资金盗刷，危害性巨大.经分析后发现.此类木马早期在虚拟货币黑产圈中流转.主要为盗蒯虚拟货币钱包.国5此类木马由于需要对手机进行大量的执行操作，会通过话术诱导受害人安装应用，开启手机无障碍、通知栏监听、悬浮窗等权限，迸而实现各类监控功能，捕获到的某款伪装成色情应用的远控应用，行为钺如下表。通过时比多个此类安卓远控类样本，猜测此类样本目前以色情为帽子，利用辅助功能权限，窃取支付密码井远程控制手机，当监拄到用户长时间未使用手机时，远控手机访问第三方平台的支付API接口，并使用已印取到的南码购买平台对应的虚拟币、虚拟商品等。its内容步骤I申请权限步骤2连接远

7、控而台步骤3监控顶层页面与货盘,讲取某些应用的支付率码、谀名密码W1上传畲码、设备里号、用户使用设备情况步骤5城系监栉用户是否在ft用设备（印设备是否康郁）并珞结果实时更新-.t步骤6当步搬5鼠听到用户己超过半小时未使用尸机.设区208设备唤腓族步骤7使用手势变码斛钺R%步骤8静音.井开后视频制天以确认用户未使用手机步骤9海览潺打开指定UR1.折测为支付IH1.步骤10支付过程中，若需人龄施流.则点击back发跳过步骤11输入支付空码,完成转账步臊12向左沿动划除列表中的软件（密免用户发现浏览!S软件被运行过）步13退出视貌聊天，稣除解音步骤It卸货自身攸件第四章、突破病毒库识别策略的1人1包

8、类样本传统对恶意APP样本的检测和识别多依托病毒库，通过源源不断收录样本,结合动态静态分析手段，增加病毋库识别电，360移动安全团队通过长期对恶意应用的传播特点和组灰产业链的分析研究发现，臼充公检法、虚假着职、裸耕被诈等诈偏场景使用的应用，其同一个下载链在不同时间下载的样本不同，即1人】包策略，提升了诈暝样本的收录及识别难一、恶意应用的制作与分发流程诈蛇人员将自研或购买的诈明平台源码部署到服务器上搭建APK自动生成流程，生成的应用上传至ApK分发平台，由分发平台生成APP下载链供访客卜载部分诈收人员使用自建的APK分发平台，部分使用外来APK分发平台，实时秒换分发平台的APK或定期检测样本是否

9、被手机厂商或安全厂商报毒来杼换新的APK,实现应用下我的1人1包.达到免杀效果，7实现手机相机画面内容的酋换.当视笏通话时，觇频软件调用手机相机，手机提供给视笏软件的画面就是替换后的内容，可以理斛为播放指定的视频内容给对方看。出于对手机安全性、稳定性的保障，目前手机厂商均提高了对手机ROOT的玳度，故黑产多采用ROOT睢度低、系统版本低的手机搭建相机劫持设i,如下图展示，虚假相机类支持的系统俄本及熟产售实虚损相机手机演示视频画面，图10裸聊敲诈场及使用的虚假相机软件在无人直播场景中，黑灰产一方面也像保聊敲诈场景那样使用提前收集的视频，昔换直播APP相机的画面内容：一方面针对虚拟相机APP进行版

10、本升级,如下图展示的增加视频推流动能，将主流宜措平台中他人的直播内容，转播至自己的直播间，同时导入提前编写的话术，进行边播边评论，茸地自播间有大量活跃观众的假象9图11无人直播场及使用的虚假相机软件二、AI合成高仿及实时换脸视频为了增加受古人的信任以及绕过某些平台的人脸认证，诈骗人员增加了时所使用的竹换视制的过实性投入，使用经过模型训练的裔仿合成视频或使用胜态人脸转动态人脸工具，包括使用高筏合成换股视领和实时合成换脸视痂，其主要原理是计时原视频、目标视频进行视痂图片抽帧,分别提取图片中的人物脸部进行模型训练，随后使用新的人脸画面前蓬原视频中的人脸画面，合成换脸视频.再结合上述使用的手机虚拟相机

11、类APP,3换手机相机展示的内容，达到以黄乱真的目的，部分黑产招训练后的人脸模型,配合电脑视频推流虚拟相机软件,用于诈骗、直播等换脸场景中,其原理是利用视频推流软件捕获电脑实时生成的换脸画面将该视频推送给虚拟相机软件，虚拟相机软件竹换原电脑的画面，展示给使用电箱相机的应用，实现展示换脸内容，10第二篇电信网络诈骗黑灰产业链电信网络诈册之所以班以彻底根除，美神在于其背后存在着个泥大的“黑灰产业链”，特别是帮助诈偏人员拉客-的引流产业、承接黑灰产供需的担保平台，使得诈笫行为更加的蔽和玳以打击，为有效遏制电信网络诈联，我们35要深入了解这些产业的运作模式，从海头上进行技术反制和打击，如电销引流是如何

12、让受古人相信对方的，担保平台是如何承接黑灰的，产业是如何分工运作的。本文将深入剖析这些产业链，探讨其运作模式和特点，旨在为打击电信网络诈骗提供有益的参考.第一章、为诈骗引流的礼品电销产业360移动安全团队发现缴产招聘电销人员，冒充电商平台，通过购送礼品的话术，引导用户添加客Br社交账号,为诈罪人员引流，由于引流话术仅涉及礼品赠送,不涉及诈骗场景，用户在与电钠人员沟通时很难发现处于诈弗陷阱中。同时由于后期诈偏人员口的她寄礼品，用户出于好感也会同意对方要求，添加“客服社交账号参与更多礼品任务,埴加了诈蚊引流的成功率。此种方式下，引流人员还可在与受宙人沟通过程中，过渡掠防笫意识高的人群,例如不愿意核

13、对地址的.不愿添加社交账号的，进一步增加后续东煽的成功率.此类引潦方式,由于涉及牝品话术.需要多次电话联系受害人.被黑产称为礼品电销、电馆一道（也称地址核时或地核）、电铜二道（也称推账号.第一批电销人员,主要与用户沟通,确认用户电话、地址信息准确性。以岭送用户免费礼品为由,询问用户XX地址是否可以收到快递。用户确认后,告知用户后续快递收到会有客服再次来电，再次确认礼品事宜,为第二次通话做铺蛰，第二批电销人员，主要与用户沟通.引导用户添加“客IM”社交账号询问用户是否收到免费礼品,若收到是否可以添加客服的做信,完成礼品领取的操作.同时与客服登记,领取新的活动礼品.为诈%完成引流操作.11作用，下

14、面将针对其运昔模式进行分析。目的市面为黑产提供担保限务的平*较多.如汇，、练和火*等,但运营方式基本相同.通过自建平台、使用第三方社交群的方式，分别搭隹担保公群、供需群等用于对接黑产供需双方.（*）福亭电令*0cmreaM日ns启陶.nflHJt-三M震成,金，OWMt尊型Q下发快.物匕WW夕除大芝Rl怎民知W个心4WlB国懵二.二，无加万新ME.付三叱好W三2壮户七五3宓砥司5比王上EtffKisnwtttR三HMIe*式JRff.佬*3依CSl3-STXiXSe-Ji*.MrSWS.；3ueCaKfTW-匚.恰.年E尸.毗5爵云眄口角的上下互不U玷天：“支力於，R三F三att,*t么口图1

15、4担保群黑产发布的供需内容担保公群指的是公布担保流程、供需群族接、客服联系方式的即方面方便熏产人员快速了解该平台，一方面防止其他人日充该担保平台人员实施诈织，供需群指的是发布供需的群.类型包括洗钱（代收、承兑、回U）、电销（固话、手机口）、推广（贴卡片、快递代发）、服务类（设计、搭建）、买卖类（个人信息、手机卡）等.基本覆盅主流黑灰产涉及的场景.其流程为供需人员向担保平台缴纳费用后在供需群发布内容,供需双方选定交易目标后,由担保平台安排交易群进行担保交易.在群内协商并确认交易洋情.买家招贷款转入担保平台上押账户虚拟货币地址并提供凭证,担保平价交易员确认收款后通知卖家发货.卖家按照通知发货并提供凭证.买家确认收货后通知交易员放款.交易员扣除仰金向卖家解押放款并