首页 > 技术

威胁猎人2026年Q2智能大屏终端黑产恶意流量观察:智能家电被黑产系统化劫持

2026-07-17 19:02:59      IT之家   


  反欺诈情报安全厂商威胁猎人最新发布的《2026年第二季度智能大屏终端黑产恶意流量观察报告》显示,被黑产劫持的智能电视和电视盒子终端承载的恶意流量中,账号身份与广告相关流量合计占比高达69.7%。这意味着,你家客厅里的智能设备,可能正在被黑产用于批量登录认证或刷量刷广告。

  该报告基于威胁猎人2026年4—6月期间对中国境内智能设备风险抽样数据的系统分析,覆盖四类黑产恶意流量场景:账号身份、广告流量、电商交易和内容互动。报告揭示了智能大屏终端被黑产利用的典型路径和风险分布特征。

  *请注意,这是中国智能终端被劫持后的流量去向分析。不代表整体恶意流量,也不能据此推断全国智能设备受控规模、地区感染率、运营商安全水平或平台实际受攻击总量。

  摘要|核心发现

  样本风险重心集中在账号与广告环节。两类合计占已识别场景的69.7%,说明这类被劫持终端承载的恶意流量,主要指向身份认证以及广告计费、监测与归因等高频业务入口。

  不同风险场景的目标集中度差异明显。账号身份场景中,login.live.com单一域名占85.1%;内容互动和电商交易场景的Top10目标分别占50.6%和59.2%,说明前者高度集中在少数认证入口,后两者则更分散地覆盖多个平台。

  样本公网IP地域分散,但家庭宽带地址段占绝对多数。Top10省份合计占56.1%,没有单一省份主导;IP地址库匹配结果显示,家庭宽带地址段占95.6%,数据中心/云地址段不足0.5%。这反映的是公网地址的典型使用场景,不等同于识别出具体设备,也不能直接证明某个家庭或用户受到感染。

  1. 四类黑产恶意流量场景及主要目标

  本章先观察四类风险场景在样本中的构成,再比较各场景的目标集中度,并列出主要目标域名。它分别回答“恶意流量主要指向哪些业务环节”和“每类风险集中在少数入口,还是分散覆盖多个平台”。

  1.1 风险构成:账号身份与广告相关流量合计占69.7%

  关键结论:账号身份与广告流量合计占已识别场景69.7%,是样本中最主要的两类风险指向。

  1.2 目标集中度:账号身份Top1占85.1%,显著高于其他场景

  关键结论:账号身份场景仅Top1就覆盖85.1%,目标最集中;广告、电商和内容互动需要覆盖更多目标才能达到相近比例。

  1.3 主要目标:四类场景呈现不同的平台覆盖结构

  以下按各场景内部占比排序,展示样本恶意流量主要连接哪些互联网服务。域名对应的样本占比反映目标指向,不等于平台已经遭受同等程度的实际损失。

  1.3.1 账号身份:两个微软认证入口合计占93.7%

  关键结论:两个微软认证入口合计占账号身份场景93.7%,目标高度集中于登录、认证、授权与令牌相关入口;详细风险解释见第2章。

  1.3.2 广告流量:前三个日志与监测端点合计占60.8%

  关键结论:前三个广告日志与监测目标合计占60.8%,样本流量明显集中于广告上报、监测和归因入口。

  1.3.3 内容互动:Top10仅覆盖50.6%,目标分散于多平台

  关键结论:Top10目标合计占50.6%,且Top1仅占7.4%;样本连接分散覆盖搜索、社交、短视频、直播和资讯平台。

  1.3.4 电商交易:Amazon多站点合计占34.1%

  关键结论:Amazon多站点合计约占34.1%,Top10目标合计占59.2%;样本同时覆盖综合电商、旅行交易、数字商店和游戏交易平台。

  2. 四类场景可能对应哪些具体风险

  以下四张图分别解释账号、广告、内容和电商场景。每张图严格区分样本事实、风险解释与可能业务影响:样本可直接确认的是连接目标及其占比;风险行为和业务后果是结合目标功能作出的研判,不代表已经获得完整请求内容,也不代表每条连接都对应一次攻击或攻击已经成功。

  2.1 账号身份风险:认证入口可能被用于撞库、密码喷洒和账号枚举

  样本依据:login.live.com与login.microsoftonline.com合计占账号身份场景93.690%,样本重心高度集中在登录、认证、授权与令牌入口。

  微软认证入口为何成为样本头部

  样本中,login.live.com与login.microsoftonline.com合计占全部有效连接的15.6%,占账号身份场景的93.7%。在较小的login.microsoftonline.com公网地址集合中,97.3%也出现在login.live.com集合,说明前者高度嵌套于后者;两个入口可能被相关自动化任务共同覆盖,但现有连接关系不足以确认其属于同一活动。

  为什么微软占比高。微软账号是跨产品的集中身份入口,个人账号可连接Windows、Outlook、OneDrive、Office和Xbox等服务,Microsoft Entra又为Microsoft 365、Azure及第三方应用提供统一认证。一次正常登录还可能包含跳转、授权、令牌兑换、刷新和设备码轮询,因此连接天然集中在少数域名,且一个逻辑登录可能产生多条连接。

  2.2 广告流量风险:异常上报可能污染计费与归因

  样本依据:前三个广告日志或监测端点合计占广告流量场景60.815%,目标名称集中出现日志、监测、追踪、分析和Beacon等功能语义。

  2.3 内容互动风险:跨平台自动化可能制造虚假互动并干扰榜单

  样本依据:Top10目标合计占内容互动场景50.576%,覆盖搜索、短视频、社交、直播和资讯平台,呈现明显的跨平台分布。

  2.4 电商交易风险:自动化行为可能采集价格、滥用补贴并扰乱库存

  样本依据:Amazon多站点合计约占电商交易场景34.1%,Top10目标合计占59.181%,同时覆盖国内电商、旅行交易、游戏资产和数字商店。

  3. 恶意流量公网IP的地域与网络环境

  本章描述样本恶意流量通过哪些公网地址对外访问,以及这些地址通常属于哪类网络环境。所有比例均按唯一公网IP去重;同一公网IP只计一次,不等于一台设备。IP归属和场景标签只反映地址库中的网络位置及典型用途,不能据此推断地区感染率、运营商安全水平、具体家庭受控或终端型号。

  3.1 地域分布:河南占比最高但不足一成,样本覆盖多省

  关键结论:Top10省份合计占56.1%,其余21个省份仍占43.9%,样本公网IP分布较为分散,没有单一省份主导。

  统计口径:同一公网IP仅计一次,省份由GeoIP归属匹配;该分布不等于地区设备感染率。

  3.2 网络环境:95.6%的样本公网IP位于家庭宽带地址段

  关键结论:家庭宽带地址段占95.6%,数据中心/云不足0.5%。

  统计口径:同一公网IP仅计一次;地址段用途不代表设备类型、所有者或受控状态。

  附录:研究范围、方法与边界

  研究对象。本报告分析2026年第二季度多批中国智能设备风险抽样记录,研究对象为被黑产劫持后承载或转发恶意流量的联网终端,以智能电视和电视盒子为主,另含少量其他智能设备。

  数据构成。报告使用目标域名、连接关系等流量记录,以及与恶意流量相关的公网IP样本。不同记录只在相同统计维度上交叉验证,不机械合并为同一次攻击;网络环境构成按公网IP并集去重。

  分析方法。风险场景依据目标域名、业务功能和连接结构归类;省份、运营商、ASN及网络环境由IP库匹配。占比按图中统计单位计算;地域分布以连接记录涉及的唯一公网IP统计,网络环境以全部公网IP样本合并去重统计。

  代表性说明。本报告仅描述该数据来源覆盖的一类中国智能终端黑产恶意流量,不代表中国全部网络恶意流量,也不用于估算全国感染规模、设备受控率、地区/运营商风险率或平台整体受攻击规模。

  更多行业研究数据,关注公众号「威胁猎人」获取。

相关阅读

    无相关信息