腾讯日前发布《2018上半年互联网黑产研究报告》，从移动端和PC端解读黑色产业链的具体特征、攻防技术和发展态势，揭开互联网黑产的面纱。

数据显示，伴随移动应用的影响力超过电脑应用，主要互联网黑产也迁移到手机平台。腾讯安全反诈骗实验室观测数据表明，以持续多年的暗扣费黑产、恶意移动广告黑产、手机应用分发黑产、App推广刷量黑产为典型，这些移动端的互联网黑产，给用户和软件开发者带来了巨大的经济损失。

手机恶意推广日影响用户超千万

报告显示，2018年上半年，手机病毒类型多达几十种，大部分病毒都属于资费消耗、恶意扣费和隐私获取这三种类型，占比分别为32.26%、28.29%和20.40%。此外，手机病毒的功能日益复杂化，一款病毒往往兼具多种特性和恶意行为。

4月初腾讯TRP-AI反病毒引擎曾捕获一款名为“银行节日提款机”的恶意木马，伪装成正常的支付插件，在用户不知情的情况下，私自发送订购短信，同时上传用户手机固件信息和隐私，给用户造成资费损耗和隐私泄露。

目前国内为软件付费的习惯尚待养成，软件开发者通常通过广告流量变现的形式来获取收益。一些不法分子瞄准这点，通过恶意推送广告来加速流量变现。根据腾讯安全反诈骗实验室监测数据，当前平均每天新增广告病毒变种257个，影响大约676万的巨大用户群，其中珠三角、长三角、京津冀地区受影响最为严重。

暗扣话费黑产每天影响数百万用户

报告显示，暗扣话费的手机恶意软件的影响近期又呈增长之势。每天互联网上约新增2750个左右的新病毒变种，伪装成聊天交友等应用诱导用户下载安装。此类手机恶意应用每天影响数百万用户，按人均消耗几十元话费估算，日掠夺话费金额数千万，可谓掘金机器。受暗扣话费影响的最多的省份有广东、河南、江苏等地。

腾讯安全反诈骗实验室研究发现，此类黑产以稀缺的服务提供商为上游，软件开发工具包根据掌握的不同服务提供商资源开发相应的软件开发工具包，并将这些软件开发工具包植入到伪装成色情、游戏、交友等容易吸引网民的应用中。此类黑产核心的扣费软件开发工具包开发团队大概有20家左右，主要分布在北京、深圳、杭州等地。

刷量刷单类灰色产业依然严重

互联网创新企业容易遭遇羊毛党的攻击，国家实行实名制对网络服务账号严格管理，但随着物联网的兴起，大量未实行实名制的物联网卡流入市场。报告显示，羊毛党大量买入物联网卡，注册大量账号待价而沽。这些虚假账号在刷单刷量的薅羊毛产业中使用，打造虚假繁荣，给相关企业造成严重损失。

据业内人士介绍，物联网卡是智能硬件专用的流量卡，“与我们的手机类似，每台智能硬件都需要一张网卡，硬件才可以连接到互联网上。许多硬件是内置物联网卡的，比如共享单车、行车记录仪、POS机等。”这些卡的运营商也是中国移动、联通、电信等，但不面向普通用户，主要是企业批量办理。

恶意程序植入“吃鸡”外挂

在PC端方面，勒索病毒、控制肉鸡挖矿以及DDoS攻击已发展成成熟且完整的黑产链条。受2018年区块链产业大热影响，由加密数字货币引发的网络犯罪活动空前高涨，挖矿木马更成为了2018年影响面最广的恶意程序。

黑产为控制尽可能多的肉鸡电脑组建僵尸网络进行挖矿，将目标转向了配置高的“吃鸡”玩家、网吧电脑，搭建挖矿集群。报告显示，今年4月11日，在腾讯电脑管家团队和守护者计划的支持下，警方在辽宁大连破获一大型挖矿木马黑产公司。该企业将恶意程序植入吃鸡“外挂”中进行传播，搭建木马平台，招募发展下级代理商近3500个，非法控制用户电脑终端389万台，合计挖掘各类数字货币超过2000万枚，非法获利1500余万元。

下半年勒索病毒攻击更趋向于精准化打击

2018年随着互联网+进程的不断推进，智能手机承载着全面而巨量的个人和组织的隐私数据，一旦个人智能手机被操控，黑客团伙通过这个设备获取到各种敏感数据，从而导致不可估量的损失。

报告显示，勒索病毒正在抛弃过去无差别的广撒网式盲目攻击，而是转向高价值的攻击目标进行精确打击。攻击者利用系统漏洞或精心构造的钓鱼邮件入侵企业网络，渗透到企业内网之后，选择最有可能敲诈成功的高价值数据来加密勒索。

2018年上半年较多的教育机构、医疗机构、进出口贸易企业、制造业等高价值目标的计算机系统被勒索病毒攻击，这一趋势正变得日益明显。同时，这意味着高价值目标需要加强安全防护，特别重要的是做好系统漏洞修补和关键业务数据的备份。