黑灰产情报周报是永安在线开通的新栏目,基于永安在线的业务安全情报平台及长期的黑灰产研究,旨在为风控从业者提供最新的行业趋势分析及动态。
本周热点情报
1、拦截卡(真人手机植入木马拦截短信)在黑产市场的占有率为传统黑手机卡的两倍,成为当前最主流的恶意黑手机号;与此同时,真人作恶类手机号接收平台发展迅猛,成为恶意注册新的选择。
2、本周内,有529个IP C段下的所有IP在一周时间跨度中均被打上过高风险恶意标签,这些IP占比全部恶意IP的17.68%,黑产作恶IP更换频繁,但有号段聚集现象。
3、12月起至今茅台酒抢购工具开始泛滥,是本月最火的羊毛工具。
4、四方支付中通过支付宝、微信等进行收款的方式有明显增长趋势。
一、黑产作恶工具风险情报
1、本周数据统计
对本周新增黑产恶意攻击工具进行统计,排名如下:
图1-1 Top 10 产品接口占比情况
• 电商行业依旧新增工具最多,拼多多+京东+淘宝系+微店合计占比新增工具的61%,除京东外新增工具均为“上货类”工具,即爬取他人店铺商品进行倒卖,这类型的店主中存在一定比例的倒卖店铺及售卖用户订单的黑产。京东主要为新客一元下单、九块九下单的羊毛工具,通过修改报文中的cookie等参数进行批量登录下单。
• 针对酷狗的攻击主要有两类,第一类通过找到资源存放地址后对VIP歌曲进行爬取。第二类主要在进行酷狗繁星直播抢歌、抢币后通过站内交换虚拟物品变现。
• 针对58的攻击工具仍然为虚假注册和发帖引流,这类引流工具的开发团伙几乎固定,在起名方式和报文信息上存在特征。
2、本周热点工具——抢茅台酒
图1-2 抢茅台工具增长趋势图
随着春节前茅台放量和各大电商基于茅台的大力营销活动,茅台抢购工具再一轮成为热点,在最近5个月,从最初的2款工具,增加至当前52款。
通过对52款抢茅台工具分析,我们发现这些工具都是基于按键精灵(4%)、autojs(96%)开发的模拟点击类工具,这些工具开发门槛低、平台适用性高,绝大多数工具可以实现在淘宝、京东、苏宁、酒仙洞等多平台抢购茅台酒。
这些模拟点击类工具有以下特征:
• 行为特征:快速重复点击某个按钮且点击间隔时间有规律性;
• 环境特征:开启了无障碍辅助权限,安装有模拟点击类工具APP,同时可能使用了安卓模拟器并安装有代理IP切换类APP(可通过applist获取软件安装信息)。
图1-3 抢茅台工具示例
二、黑产作恶手机号风险情报
拦截卡:指通过设备硬件后门或软件App方式植入木马,拦截正常用户手机设备收到的短信内容,利用其进行恶意注册,其主要特征是“手机号为自然人持有”。因这种黑卡采用拦截短信内容的方法进行恶意行为,我们简称其为“拦截卡”。
传统黑手机卡:指非正常实名的手机SIM卡,渠道多样,有企业匿名、历史物联网卡、通信虚拟等等,主要特征是“在生命周期内被黑产固定持有”,即在这个期限内无论注册哪个平台,进行什么行为均可判断为恶意。
1、本周数据统计
图2-1 本周黑手机号来源Top10省份数量占比
本周,国内Top10省份总占比达67%,排名最高的三个省份是:山东、江西和辽宁,占比分别是:11.55%、11.22%、8.98%。
图2-2 本周黑手机号来源Top10国家数量占比
本周,Top10国外地区总占比达61%,排名最高的三个国家是:美国、柬埔寨、印度,占比分别是:12.59%,11.52%,9.73%。
图2-3 Top5移动服务商占比
黑产作恶手机号关联到的移动服务商中,三大移动服务商占比达55%,小移动服务商占比达45%。其中,黑手机号关联到的Top5移动服务商,总占比达81%,除中国移动占比最高之外,朗玛信息和三五互联,占比接近中国联通,并超过中国电信。
图2-4 小移动服务商Top10占比情况
排除三大运营商之后,黑产作恶手机号关联到的小移动服务商的占比情况,也呈明显的长尾分布。前三名:朗玛信息、三五互联、分享通信,占比总和超42%,是其它小移动服务商占比总和的20倍左右。
2、黑手机号发展趋势
拦截卡在黑产市场的占有率为传统黑手机卡的两倍,成为当前最主流的恶意黑手机号;与此同时,真人作恶类手机号接收平台发展迅猛,成为恶意注册新的选择。
图2-5 拦截卡、传统黑手机卡占比
最近连续47天,拦截卡增量均高于传统黑手机卡:
在 2020年7月20号 到 2021年1月20号 的半年时间,从2020年7月20到2020年12月10号,这五个月中,拦截卡和传统黑手机卡呈现的是此起彼伏的增长态势。
而从2020年12月11号截止到2021年1月20号,连续47天时间,拦截卡的数量超过传统黑手机卡,其中27天,拦截卡的增长是传统黑手机卡的3倍以上。
图2-6 连续47天拦截卡高于传统黑手机卡
一款叫做”XX接码”的真人作恶类接码APP,半年内月活突破五万,用户增长迅猛,租用真人手机号正在成为新的储备恶意账号的方式。
图2-7 XX接码APP
如图为真人作恶APPXX接码,从去年5月至今的8个月时间,关联到的月活人数:
图2-8 XX接码关联到的月活趋势
三、黑产作恶IP风险情报
1、本周数据统计
注:同一个C段下一共有256个不同IP,如192.168.0.0~192.168.0.255,C段聚集率为同C段下黑产IP个数(时间范围一周内,至少一次被标记为黑产持有的IP)占总个数的百分比。
结论:在我们捕获到的黑产IP中,有17.68%的IP集中在某些C段当中。
举例以下五个C段聚集率为100%的C段IP:
183.3.177.*
219.131.182.*
222.90.43.*
125.87.88.*
121.226.184.*
2、黑产作恶IP发展趋势
黑产作恶IP类型中,家庭宽带拨号占比达91%:家庭宽带类型的黑产IP成本低廉、且隐蔽性强,具有绝对的市场占有率。
家庭宽带类恶意IP的判别要结合时间,黑产占有的生命周期较短,使用完毕后会重新抛回至正常用户。
图3-1 黑产作恶IP类型占比
黑产作恶IP中地域分布中,重庆、广州、上海排名前三:
广州市黑产作恶IP占比从第7位上升到第2位,西安市顶替郑州市位于第10位
图3-2 近一周IP各市级分布占比
四、黑产交易风险情报
图4-1 过去一周商品所属领域前四占比
过去一周,黑产交易Top10产品和商品数量排名:
图4-2 Top10产品和商品数量
抖音相关黑产交易商品中,本周销量最高的商品为用江苏地区实体手机卡注册的抖音新帐号:
图4-3 抖音商品例图
过去一周,黑产交易下架商品数量TOP10排名:
图4-4 黑产商品下架数量图
过去一周,以抖音和京东商城的黑产商品下架数量最多,其商品种类均以帐号买卖为主,主要原因是抖音、京东商城黑帐号的可使用时间有限,更换频率高。
五、反洗钱黑产动态
银行卡是四方支付收款的主流方式,近期由于国家打击反洗钱的力度增强,通过支付宝、微信等进行收款的方式有明显的增长趋势。
四方支付也开始尝试利用支付宝等第三方平台中提供的非转账类的服务进行收款,如口令红包等。
图5-1 四方支付转账案例