首页安全播报安全快讯 › 腾讯移动安全实验室2012年6月手机病毒报告

腾讯移动安全实验室2012年6月手机病毒报告

2012-07-17

     2012年6月,基于腾讯手机管家安全产品服务的腾讯移动安全实验室一共截获9777个病毒软件包,Android平台截获8239个,占据所有病毒84%的比例;Symbian平台截获1538个。

    6月份以来,Android平台手机病毒种类与数量高速增长的趋势依旧非常明显,与此同时,Symbian平台手机病毒依旧延续了连续三个月以来,环比下降的大趋势。更多的互联网厂商进入到Android手机平台,在合作方手机端内置各种软件,某种程度上加剧了手机病毒泛滥的趋势,也增加了手机病毒投放的渠道。

    这个月以来,Android平台以恶意推广为主的病毒明显增多,感染热门游戏为主的手机病毒也呈连续递增趋势。破坏安全软件获取用户隐私的手机病毒的增长态势也让人忧虑。在Android平台,6月份以来,暗战行者感染斗地主等1800款安卓应用恶意推广软件,导致200万手机用户蒙受损失;同时,病毒制作者利用欧洲杯营销机会,纷纷“投毒”于球迷们关注的足球游戏和手机视频软件,26款手机视频软件和100多款足球游戏被感染;Android病毒“反动联盟”可以通过获取手机Root权限破坏安全软件进程,并进一步获取用户隐私。

    在Symbian平台,病毒总数虽在下降,但隐私窃取与恶意扣费类病毒开始抬头增长态势明显并成为新的趋势。总的而言,Symbian平台衰落趋势虽然明显,但是也应该引起必要的关注和重视。

 

    一、Android系统平台病毒特点

 

    1.1.主要特点

 

    2012年6月,Android平台手机病毒种类与数量高速增长的趋势依旧非常明显,在Android平台,当应用开发者跟随 “欧洲杯”等热点开发制作大量手机应用的时候,手机病毒制作者跟随热点趋势,对这些应用二次打包,内置恶意代码进行传播扣费等特征也十分明显。手机病毒捆绑热门软件或跟随热点趋势内置恶意扣费代码成6月手机病毒重要特征。 另外,通过破坏手机安全软件从而窃取用户隐私的手机病毒也呈现出一种新进的势头。

    2012年6月,Android病毒增长趋势依旧强劲。在捕获的病毒当中,资费消耗类病毒占据40%的比例,位居第一位;隐私获取占19%的比例,相对上月稍有下降,但排名却上升至第二位;系统破坏与诱骗欺诈类病毒分别占据11%的比例,恶意扣费占10%,远程监控占据9%的比例。

    手机病毒捆绑热门应用植入恶意推广广告,无提示私自下载推广软件或快捷方式,消耗用户资费是6月份资费消耗类病毒一个典型特征。与此同时,一些常规的资费消耗类病毒会通过后台自动联网的方式,从服务端获取更多的指令,定制更多的SP收费业务;或者通过远程控制,私自发短信到制定号码到远程服务器造成资费消耗。另外,在系统破坏、隐私获取类、诱骗欺诈类病毒的行为特征之中,往往都伴随着着资费消耗,这也是资费消耗类病毒比例高居不下的原因。

    6月份隐私获取类病毒一个典型特征是,更多的制毒者或制毒机构都开始盯上用户的IMEI、IMSI和手机号码,进而将这些隐私信息打包贩卖。隐私窃取类病毒的特征表现为:通过破坏手机系统或者安全软件,影响用户对手机正常使用,继而在后台联网窃取手机用户的IMEI号或者IMSI等隐私;或者通过病毒子包收集用户的联系人、短信信息发送到指定号码,造成隐私泄漏。

图1:2012年6月Android病毒类型分布图

 

    1.2. 典型病毒

    以下是2012年6月在Android平台发现的一些较为典型的病毒:

    a.fraud.eyu.[反动联盟2]

    该病毒启动后扫描系统中安装的安全软件,并恶意诱导用户卸载安全软件,同时会在通知栏弹出推送广告,点击后自动下载无法取消,消耗用户流量,给用户的手机安全造成一定的威胁。

    a.privacy.ssearch.a.[反动联盟]

    该病毒软件安装后提示更新,安装更新后手机系统无提示终止部分特定进程、破坏特定安全软件并强制重启,每隔数分钟手机自动重启,严重影响用户正常使用手机。同时该病毒还会自动后台联接网络,读取并且上传用户手机IMEI、IMSI和手机号码等信息,造成用户个人隐私的泄露。

    a.expense.apkquq

    该病毒未经用户允许私自下载未知安装包,且不能正常退出,可能给用户带来一定的影响。

    a.rogue.gamex

    该病毒安装后,诱导用户获取ROOT权限,未经用户允许,私自静默安装携带的多款恶意安装包,存在流氓行为。

    a.expense.g3app

    该病毒捆绑在热门应用中,植入恶意推广广告,无提示私自建立推广快捷方式,同时存在无提示私自下载推广软件的行为,给用户造成资费消耗。

    a.expense.forge.c

    该软件被恶意修改,植入恶意推广广告,存在无提示私自下载推广软件的行为,给用户造成资费消耗。

    a.payment.keji.d

    该病毒安装后病毒会安装恶意子包,安装成功后会通过联网的方式,从服务端获取更多的指令,定制更多的SP收费业务,可能给用户造成一定的经济损失。

    a.expense.jnyl.a

    该病毒安装后,桌面无图标,点击Home键启动后,未经用户允许私自发送短信到指定号码,造成手机资费消耗。

    a.fraud.lightdd.b

    该病毒安装后,包含恶意子包,私自发送短信到指定号码,同时该软件会收集用户联系人信息、短信信息、手机固件信息,导致用户隐私泄露。

 

    二、Symbian系统平台病毒特点

    2.1. 主要特点

    Symbian系统平台衰落的趋势正在延续,但手机病毒的特征却开始发生微妙的变化。6月份以来,资费消耗、系统破坏、诱骗欺诈三类病毒三分天下的特征形势被打破。在捕获的病毒当中,资费消耗占据31%;系统破坏占据23%的比例;诱骗欺诈占13%的比例、隐私获取、恶意扣费、远程监控分别占13%、10%、1%的比例。

    6月份Symbian平台手机病毒打破了固化的特征,隐私获取与恶意扣费类手机病毒比例开始抬头并增长。“订购SP业务”、“占用并破坏系统”、“监听”是这个月Symbian病毒特征的三组主要关键词。资费消耗类病毒一度在Symbian平台占据很高的比例,6月份依然占据手机病毒种类之首。通过私自联网静默安装恶意插件、私发短信并屏蔽运营商回执短信,私自订购SP业务等是6月份Symbian平台资费消耗类病毒的主要特征。而私自订购SP业务却几乎成为资费消耗类病毒表现出来的共性,也是手机用户资费消耗的主要来源。系统破坏类手机病毒往往通过私自下载恶意插件的过程,影响手机和其他软件的正常使用,从而破坏手机系统。系统破坏类手机病毒也往往同时附带诱骗欺诈、资费消耗的特征。

    这个月内隐私获取类病毒占据13%的比例成Symbian平台的浮现的新特征。该类病毒最大的特点便是可以常进行通话监听、跟踪定位、短信监控、截获通话记录、电子邮件监控等。如今手机用户的隐私信息也已成为Symbian平台制毒者或制毒机构重要的利润来源。

图2:2012年6月Symbian病毒类型分布图

 

    2.2. 典型病毒

    以下是2012年6月在Symbian平台发现的一些较为典型的病毒:

    s.payment.qweather.b.[伪掌上天气]

    该病毒伪装成天气查询类软件诱导用户安装,激活后无提示私自联网;私发短信并屏蔽运营商的回执信息,可能订购SP收费业务,给用户带来一定经济损失。

    s.payment.lanpackage.a.[伪语言包]

    该病毒私自联网静默安装恶意插件;私发短信,可能订购SP收费业务;占用系统资源,影响手机和其他软件的正常运行。

    s.expense.filemanger

    该病毒常伪装成文件管理器诱导用户下载安装,自激活后常驻后台私自联网,静默安装其他恶意插件;占用系统资源,可能影响手机和其他软件的正常使用。

    s.payment.xreminder

    该病毒会被强制安装在手机C盘中,自激活后私自联网,有可能泄露用户手机相关配置信息;私自发送短信,可能订购SP收费业务,给用户带来一定经济损失。

    s.privacy.Xwodi.a.[X卧底]

    该病毒是一款具有监听功能的软件,它能够进行通话监听、跟踪定位、短信监控、截获通话记录、电子邮件监控等。请仔细鉴别。

    三、手机病毒区域分布

    根据腾讯移动安全实验室的数据可见,6月份以来,全国手机病毒区域总体分布态势与上月相比,没有太大的变化,手机病毒高发区大致集中于北上广、东部沿海、西南地区中心城市与经济发达省份。手机病毒感染最高传播最广的地区依然广东,在Android系统平台,广东手机中毒占比为15.3%,相比上月稍有增长;在Symbian系统平台,广东手机中毒占比为14.10%,相比上月下降了0.8%,两者均居于第一位。在Android系统平台前十排名中,广东之后,依次是江苏、浙江、北京、辽宁、福建、四川、湖北、上海、山东;如下图所示,排名前十五的13个省份与2个直辖市的中毒比例就占据了全国总数的近80%。

    在Symbian平台,手机中毒分布的地区与Android平台差异不大,与上月也几乎看不出差别,Symbian平台,除广东外,北京、辽宁、江苏等地的用户中毒比例较为突出,这主要跟Symbian用户的分布情况与忠诚度相关。分布区域也差别不大,可以看出,Symbian病毒制作者针对用户和地区进行病毒投放的情况较为稳定。

    据腾讯移动安全实验室分析:这一个月来,在Android系统平台的手机病毒投放情况已基本趋于稳定。而制毒者或制毒机构也形成了稳定的病毒投放渠道与机制。另一方面,这个月一来,Android智能机用户中毒情况一个细微的变化是:北方地区处于增势,而南方则趋于下降,这也与广东地区智能机用户占有率更高有关。而在北方地区,依然有大批Symbian用户不断向Android系统用户转移。这也是广东地区手机中毒比例相对有所下降的原因。

    在Symbian系统平台,用户群体年龄结构相对处于偏大,对Symbian形成了一定的用户忠诚度,用户群体稳定,而多数Symbian用户对中毒情况也缺乏明确的认知,以至于病毒制作者或病毒制作机构可以精准定向投毒,从他们身上榨取稳定的利润来源。

图3:2012年6月前15名手机病毒主要分布区域

 

    四、传播渠道来源分析

    这一个月来,腾讯建立的“移动安全生态系统”产业链合作效应正在进一步释放。随着“移动安全产业链”合作机制的逐步完善,与之相关的电子市场的手机病毒检测效果相对提高,手机病毒植入的空间与病毒的误杀率也进一步降低。但在产业合作链之外的电子市场,缺乏安全检测的电子市场依然潜藏着手机病毒强势入侵的风险。

    随着Android智能机保有量的进一步增加,手机端电子市场也进一步增多,在手机端电子市场下载软件具有快捷性和易操作的特性,这些特性也使得用户在手机端直接下载的习惯进一步形成。相对于PC端而言,手机应用市场安全检测率低,加之不少手机厂商根据自身安全评判标准进行预置应用商店,导致安全性进一步降低,这些也成为手机病毒的一大来源。

    因此手机端电子市场成为了手机病毒入侵的另一个突破口,加之手机病毒正变得更加多元化,电子市场依然是6月份的手机病毒的主要传播来源。

手机论坛由于缺乏监管与审核机制,使得手机病毒可以轻易潜入并以附件的形式供手机用户下载。加之许多手机用户存有去论坛淘宝的心理以及对于情色字眼的应用安装包缺乏抵抗力,使得手机病毒可以轻易的在论坛蔓延传播。加之手机论坛的审核机制尚未建立,论坛版主对用户的安全引导具有滞后性,这也使得以网盘捆绑论坛提供下载链接的传播方式一直处于强劲的增长态势之中。

    随着利益的驱使,制毒者或制毒机构在与手机安全软件对抗的过程中,进一步加大了病毒入侵与攻击技术的研发,向手机漏洞、隐患向手机资源站、论坛等渠道发起攻击的技术手段也越来越先进。另外,捆绑热门软件传播的病毒依然处于增势,并且在传播过程向手机安全软件发起攻击,同时破坏手机系统。

    随着黑客云计算和远程攻击技术更加先进,病毒通过将热门软件捆绑打包,伪装成正常软件躲避电子市场、手机资源站、手机论坛的审核的手段也越来越高明。

    而随着网络黑客大批向移动互联网转型,互联网企业齐做手机的趋势使得预装软件的进一步增长,在水货市场,ROM制作者因为利益驱动在ROM里预装病毒软件也有增长趋势。

    手机病毒主要传播来源比例:

    1. 电子市场:病毒企图绕开电子市场的安全检测系统在审核上线之前被截获、又或者是通过一些没有接入安全检测的电子市场进行传播,占26%;

    2. 手机论坛:通过上传论坛附件或提供下载网络硬盘下载地址方式,占25%;

    3. 手机资源站:通过录入或开设手机下载WEB/WAP资源站点,提供直接的软件下载地址,占16%;

    4. 软件捆绑:热门软件尤其是游戏软件经常包含病毒或者远程下载,占15%;

    5. 网盘传播:通过网盘捆绑手机论坛提供下载链接;占10%;

    6. ROM系统内置:rom制作者因为利益的驱动在rom里预装病毒软件,占6%;

    7. 微博、博客与其他:通过发博客、微博附带下载地址链接,以及其他互联网形式的自助发布渠道或合作平台,占2%;

图4:2012年6月手机病毒主要传播渠道来源比例

 

    五、专家建议

    在目前手机病毒的猖獗的背景下,若要免受手机病毒侵袭,用户养成安全的手机使用习惯非常重要,对于手机论坛的破解版、汉化版等热门游戏的下载链接,应持有谨慎态度;应该选择经过手机安全软件认证或者病毒检测服务的电子市场下载软件;手机端应用市场与PC端相比,目前尚缺乏覆盖面广的有效病毒检测与防御机制,应该谨慎选择。

    目前恶意推广类病毒以及捆绑热门软件二次打包的手机病毒开始呈现大规模爆发的态势,用户应下载如腾讯手机管家一类的手机安全软件升级最新病毒库并开启全盘扫描,定期给手机进行体检和病毒查杀、及时更新病毒库,抵御手机病毒侵害自身利益。

    当手机出现话费无故减少、耗电突然增大、流量突然暴增、不停弹出广告等异常现象的时候,应留心是否手机中毒或遭遇恶意程序吸费。

    对于当前流行的热门游戏,应该下载后应立刻用手机安全软件进行全盘扫描查杀病毒,因为目前手机病毒的伪装性与多元化趋势越来越明显,用户最好选择知名度高的应用市场或者相关应用的官网去下载。另外,手机用户还可以去腾讯应用中心或者腾讯手机管家自带“软件游戏”功能中下载,用户还可选择使用手机管理软件——腾讯手机管家PC版,直接在PC端免费下载上万款手机软件,这些经过腾讯手机管家的安全认证的应用下载平台,可以有效保证安全。

目前而言,用户应及时关注@腾讯移动安全实验室微博的“恶意软件曝光”行动,对手机安全资讯做到全面把握和掌控。

    腾讯手机管家腾讯微博:http://t.qq.com/qqsecure

    腾讯手机管家新浪微博:http://weibo.com/qqmanager

    腾讯移动安全实验室官方微博:http://t.qq.com/QQSecurityLab

                                             

 

 

                

安全快讯 更多

BadMedia木马家族

BadMedia木马家族

2017-11-14
双11网购诈骗安全报告

双11网购诈骗安全报告

2017-11-10
2017Q3手机安全报告

2017Q3手机安全报告

2017-11-06

安全视频 更多

小管说安全(3)——谣言有毒

2017-10-24

腾讯手机管家产品经理笑唱安全报告

2017-08-16

腾讯手机管家微信小程序可一键识别诈骗电话啦!

2017-08-02