首页安全播报安全快讯 › 腾讯移动安全实验室2012年第二季度手机安全报告

腾讯移动安全实验室2012年第二季度手机安全报告

2012-07-30

    第一章 2012年第二季度手机安全报告概要

 

    2012年第二季度以来,随着智能机用户的进一步增长与互联网企业进军手机市场的步伐加速,手机安全环境也进一步恶化,但与此同时,手机安全厂商也投入更多的技术力量优化手机安全产品功能,加之腾讯移动安全产业生态链的建立以及有效势能进一步释放,手机安全行业开始趋向成熟。随着工信部颁布《关于加强移动智能终端进网管理的通知》的征求意见之后,手机安全的制度环境进一步改善,以及更多的第三方支付厂商与手机安全厂商开始展开合作,手机支付市场的安全指标也有所提升。

 

    2012年第二季度以来,Android平台手机病毒爆发式增长的趋势未减。随着低端智能机的持续普及以及互联网企业纷纷进军手机市场,使得预制软件现状进一步泛滥,强绑下载带来的来历不明软件使得Android系统平台感染病毒的渠道得以扩展与风险进一步加剧。更多Symbian病毒制作者与制作机构因逐利向Android系统转移以及大批PC端黑客也进一步向手机端转移,引起了整个手机安全行业的警惕以及手机用户的担忧,在第二季度,Symbian系统平台衰落的趋势非常明显,手机病毒的投放率逐月环比降低。

 

    2012年第二季度,手机病毒也趋向多元化。恶意广告推广类病毒、定位扣费以及捆绑热门游戏打包类病毒多样化趋势明显,病毒变种也正在增多,专业性与针对性都进一步增强。在利益驱动下,手机病毒黑色产业链进一步强化。

 

    根据腾讯移动安全实验室病毒后台数据显示: 2012年第二季度,腾讯移动安全实验室一共截获被植入手机病毒软件包数23413个,其中Symbian平台截获被植入病毒软件包数4912个,Android平台截获被植入病毒软件包数18501个。从数据看出,第二季度Android系统平台的手机病毒软件包将近是第一季度的2倍,这个数据也诠释了Android手机病毒爆发式增长态势;2012年第二季度的手机病毒软件包几乎接近2011年全年病毒包的总数量。

 

    第二章 2012年第二季度各平台病毒类型发展分布

 

    2.1  Android平台病毒类型分布

 

    2012年第二季度Android平台共截获病毒软件报数18501个,其中资费消耗占32%的比例,隐私获取类病毒占21%、诱骗欺诈类与恶意扣费类病毒各占15%的比例、系统破坏和远程监控各占8%的比例;恶意传播类病毒占1%的比例。
 

    这一个月以来,Android手机病毒的多样化形态更加明显,病毒的伪装性相对于第一季度进一步加强。该类病毒通常伪装成系统文件或其他正常软件骗取用户安装,联网下载其他恶意插件,给用户造成资费消耗;随着用户对移动互联网热门应用的粘性不断提高,手机病毒捆绑热门软件进行二次打包的趋势也更加强劲。另一方面,恶意推广类病毒在这一季度汹涌来袭,通过伪装成游戏软件,私自创建多个广告快捷方式到桌面,占用内存并破坏手机系统或者捆绑热门软件通过病毒植入恶意推广广告,无提示私自下载推广软件等是第二季度恶意推广类病毒的特征;而通过后台自动联网的方式,从服务端获取的指令,定制SP收费业务的资费消耗类病毒开始大规模来袭,隐私窃取类病毒增多的迹象非常明显。隐私窃取类病毒从窃取用户的地理位置信息,以及收集用户的的IMEI号或者IMSI等隐私开始发展到窃取手机通讯录、短信等隐私信息,病毒制作者或者制作机构利用病毒子包或者远程服务器收集用户隐私的手段也变得更加先进。

 

 

    2.2  Symbian平台病毒类型分布

 

    2012年第二季度,Symbian平台截获被植入病毒软件包数4912个,与上一季度相比略有下降。其中资费消耗占32%、系统破坏占29%、诱骗欺诈类占了24%,隐私获取占8%,恶意扣费类病毒占据7%.

 

    这一季度以来,Symbian系统平台制毒者或制毒机构一般是通过捆绑热门软件或系统组件,诱导用户安装,进而进行系统破坏、消耗资费或者进行恶意扣费类病毒的投放,而Symbian病毒的特征往往都是集捆绑与伪装、诱导与恶意扣费于一身。

 

    Symbian平台这一季度手机病毒发展总体趋势是:Symbian系统平台的衰落趋势非常明显,而截获的手机病毒软件包总数量也是逐月环比下降,手机病毒类型分布基本趋于稳定,但在6月份,病毒类型又打破了资费消耗、系统破坏与诱骗欺诈三分天下的稳定格局,隐私获取、恶意扣费、远程监控类病毒占据的份额瞬间放大,成为十分突出的现象,可见Symbian系统平台手机病毒又有向多元化趋势发展的迹象。

 

    第三章  2012年第二季度手机病毒发展特点

 

    2012年第二季度手机病毒的发展特点大致是对2012年第一季度的延续,Android系统平台手机病毒增势依旧迅猛,手机病毒多样化趋势明显以及攫取经济利润的目的性越来越强,而Symbian的衰落趋势明显,手机病毒数量下降之外,也出现了明显的多样化特征。根据病毒的细分特点,2012年第二季度手机病毒可以分为三个发展特点。

 

    1.隐私窃取类手机病毒持续走高。从2012年年初开始,隐私窃取类病毒便开始大规模来袭。这类手机病毒从最初窃取用户的地理位置信息、在后台联网窃取手机用户的IMEI号或者IMSI等信息发展到读取联系人列表、通话记录、短信以及访问用户敏感隐私内容。可以看出,该类手机病毒的特征是:从最初的收集用户的手机信息发展到盗取用户的通讯录、位置等隐私以作为价值信息售卖,并通过定位目标用户进行定向投毒进而将其作为稳定的盈利来源,病毒制作者与制作机构也从追求快速盈利到开始谋求长期而稳定的盈利模式。

 

    2.恶意推广类手机病毒水涨船高。这个月以来,恶意推广类病毒开始大幅增多,并且呈现出多样化特征。用户明显感觉到在热门应用中被恶意植入恶意广告开始变得频繁。整个手机安全行业,也开始集中精力对恶意推广类病毒加强了查杀力度并且开始呼吁建立健康手机生态产业链。而恶意推广类手机病毒通过捆绑热门应用植入恶意推广广告,无提示私自下载推广软件或快捷方式或者伪装成游戏软件,私自创建多个广告快捷方式到桌面,占用内存并破坏手机系统。基于应用开发者追寻盈利的需求,病毒制作者或制作机构开始联合广告商、应用开发者内置恶意广告,进行分成的机制,这进一步推高了恶意广告在Android平台的泛滥。

 

    3.资费消耗类病毒活跃度见涨。资费消耗类病毒无论在Android还是在Symbian系统,都占据手机病毒类型的主流。原因是追求快速盈利已经成为手机病毒制作者与制作机构的一致方向。目前,在Android平台,资费消耗类病毒一般通过伪装成正常软件,在后台私自联网下载恶意插件消耗资费,或通过后台自动定制SP业务。同时,在在系统破坏、隐私获取类、诱骗欺诈类病毒的行为特征之中,往往都伴随着着资费消耗,这也是资费消耗类病毒比例高居不下的原因。资费消耗类手机病毒正表现出多元化的特征,同时这也是资费消耗类病毒持续走高的原因之一。

 

    第四章  2012年第二季度手机病毒传播分布

 

    根据2012年腾讯移动安全实验室后台病毒渠道的第二季度数据分析显示:

    电子市场、手机论坛、和手机资源站点占据了68%的高比例,与上一季度75%的比例相比,这三个主要渠道的病毒来源所占据的份额有所下降,而软件捆绑、网盘传播等渠道所占份额有所增加,可见手机病毒来源多渠道均势分布与分散化趋势明显,这种发展趋势无疑也给手机病毒渠道查杀与监控带来了麻烦。但尽管如此,电子市场与手机论坛依旧手机病毒的主要传播来源与渠道,但另一个变化是,电子市场的下降趋势明显,这与电子市场监管趋向严格有关,加之腾讯移动生态产业链建立以来,产业链病毒查杀与拦截效应逐渐显现,电子市场的手机病毒检测的专业性有所强化,因此,总体来看,电子市场的病毒传播正呈现继续下降的趋势。但是还是有很多手机病毒抵挡不住电子市场“高下载量”的诱惑,企图尝试逃过在电子市场的安全审核,在系统后台审核的过程中被发现。

    值得注意是的,软件捆绑相比上一季度正呈现更加疯狂的传播态势,而手机病毒对热门软件进行打包也呈现出多样化趋势与更加隐蔽的特征,从发展趋势看,这种方式正趋向常规性发展,该类传播方式进一步增长的趋势也非常明显。

    手机论坛传播渠道依然是监控与防御的难点之一。论坛对用户下载应用的引导与审核机制均滞后于病毒传播的速度,而许多手机用户去论坛淘宝的心理依旧强烈以及对于情色字眼的应用安装包缺乏抵抗力,因此无力阻止病毒的疯狂传播趋势。手机病毒在论坛蔓延传播的速度正在加快。这也使得以网盘捆绑论坛提供下载链接的传播方式在第二季度的快速增长态势并未得到有效遏制。

    ROM内置渠道的病毒传播也在这一季度也有增长,这与互联网企业纷纷进军手机行业有关,预装大量内置软件,使得手机病毒在这一渠道的传播也开始加速。

 

    各渠道发现占比:

    1. 电子市场:病毒企图绕开电子市场的安全检测系统在审核上线之前被截获、又或者是通过一些没有接入安全检测的电子市场进行传播,占27%;

    2. 手机论坛:通过上传论坛附件或提供下载网络硬盘下载地址方式,占25%;

    3. 手机资源站:通过录入或开设手机下载WEB/WAP资源站点,提供直接的软件下载地址,占16%;

    4. 软件捆绑:热门软件尤其是游戏软件经常包含病毒或者远程下载,占15%;

    5. 网盘传播:通过网盘捆绑手机论坛提供下载链接,占8%的比例。

    6. ROM系统内置:rom制作者因为利益的驱动在ROM里预装病毒软件,占6%;

    7. 微博、博客与其他互联网任何形式的自助发布渠道和平台,占3%。

 

    第五章  2012年第二季度手机病毒区域分布

 

    根据腾讯移动安全实验室的后台数据分析可见,2012年第二季度,从4、5、6三个月发展趋势来看,各个省份的手机中毒的占比情况并没有太过明显的波动,处于比较稳定的状态。从整个季度来看,手机病毒的区域分布态势与月度分布没有太大差异。从Symbian到Android,总体上大致集中于北上广、东部沿海、西南地区中心城市与经济发达省份。在Android与Symbian平台,广东省第二季度手机中毒均居于第一位,在Android平台,广东占比达到16.13%;其后依次是江苏、浙江、北京、辽宁、福建、四川、湖北、上海、山东等省份。在Symbian平台,广东省手机中毒占比14.44%,手机中毒省份分布区域大致相同。Android平台前十五名手机中毒省份占据全国80%的比例,Symbian平台前十五名省份手机中毒省份占据77%的比例。手机中毒集中在沿海与经济发达省份、直辖市密集分布的态势非常明显。

    广东省电子制造业较为发达,智能机保有量高,加之水货市场流通渠道广泛,山寨厂商众多,刷机市场也比较大,利益的驱使导致内置恶意软件常混迹其中,造成手机病毒来源渠道众多,这是手机中毒占比高的主要原因。

    广东、江苏、浙江、辽宁、福建、北京是Android与Symbian手机病毒均密集高发地区。这五个城市的手机病毒中毒占比更为突出的原因在于,由于三省份均处于北上广一线城市以及辐射区域,经济发达,制毒者对这些地区有针对性的定向投毒,加之经济发展较快推动智能机保有量持续走高,而手机用户的安全意识与手机病毒防范手段尚未进一步提升,是手机病毒占比率占高位的重要原因。

    总体来看,Symbian用户中毒的分布情况与Symbian系统的忠诚度相关,Symbian病毒制作者针对地区和特定人群进行定向病毒投放,随着Symbian的衰落,病毒投放的情况趋于稳定。在Android平台,南方手机中毒情况占据比例更高。而制毒者通过对Android智能机用户密集地区定向投毒之外,也逐渐将利润目标投向经济发展地区的中部或者西部的新兴智能机用户群体,比如陕西与广西地区。随着中西部地区智能机新兴用户的增长,Android平台手机制毒者会逐渐加大对这些城市的投毒比重。

 

    第六章  手机病毒及安全行业发展预测

 

    随着移动互联网的发展,智能机用户不断增长,手机病毒的猖獗态势触目惊心,手机病毒逐利性特征越来越强,随着手机病毒的进一步繁殖,数据安全软件行业竞争趋于白热化,但与此同时,手机端产业链开始联手采取抵御措施,尤其在产业链下游,包括电子市场、论坛、下载网站等,为用户提供安全认证、云查杀等合作的越来越多。

 

    1.移动安全产业链的积极效应进一步彰显

    在第二季度以来,手机安全行业开始与电子市场等各类渠道建立的合作产业链效应开始释放。2012年第二季度手机病毒的特点基本延续了2012年第一季度的特点,Android平台手机病毒井喷式发展趋势愈加强劲,Symbian平台衰落的趋势也很明显,两个系统平台,手机病毒发展趋势一升一降之间, Android平台的安全性更加严峻,但Symbian又出现了新的病毒特征与发展趋势。伴随着手机安全威胁的凸显,目前,国内以“腾讯移动安全生态系统”建立为代表的手机安全产业链逐步形成并进一步完善,其积极效应也开始释放。在国内,终端厂商、安全厂商、运营商、下载渠道之间合作建立的移动安全产业链的积极效应也正在进一步彰显。

 

    2.手机安全行业竞争加剧

目前,在手机安全行业,已经开始逐渐走出同质化竞争的局面,手机杀毒与隐私保护功能上,各家手机安全厂商均形成各自的优势功能与手机病毒防御系统,并针对手机病毒的猖獗态势进一步发力。市面上的手机安全软件快速增加,随着手机病毒的繁殖加速,各大安全厂商抓准时机,在手机安全市场大规模布局之外,也加大了针对用户的宣传力度。另外,国内手机安全行业产业链合作进一步推进,并强化了硬件的建设,增强了整个行业病毒检测查杀方面的研发实力,手机安全行业白热化竞争趋势已经相当明显。

 

    3.病毒海量打包快速感染 病毒家族成群发展

手机病毒捆绑热门软件迅速打包趋势发展迅速,制毒者开始有针对性的提升手机病毒投放范围与效果,这一季度体现出来较为明显的特征是,制毒者或制毒机构开始通过一个病毒多次打包捆绑海量应用程序,快速发布快速感染海量用户群,并通过时间差或者技术手段绕过电子市场的安全检测。病毒家族成群发展也将成为新的发展趋势。这方面也体现出制毒者或制毒机构的投毒技术进一步提升,逐利性进一步加强。

 

    4、手机病毒攻击特征多样化发展趋势明显

    这一季度以来,手机病毒攻击特征开始多样化发展,制毒者加大了对恶意扣费类手机病毒投放数量之外,开始变换新的攻击形式,并且开始通过感染并模拟电子市场的扣费接口来诱导用户联网下载,进而扣取用户资费。多样化与伪装性的病毒攻击手段,使得制毒者或制毒机构攫取利润变得更加容易。因此,在下一季度,手机病毒多样化发展趋势依旧将非常明显,手机安全市场开始有针对性的针对制毒者对于病毒攻击的多变特征展开了防御措施,加大了电子市场的监控与查杀力度。

 

    5.手机安全需求进一步高涨

    随着低价智能机进一步冲击市场与互联网企业大军涌入Android系统平台,Android智能机用户水涨船高,发展迅速。该平台手机用户的系统平台全开放环境的现实和潜在安全风险,Android 终端的手机安全市场份额也随之而提升,Android智能机市场份额进一步扩展之余,感染手机病毒与下载到恶意软件的用户也越来越多,随着手机病毒灰色产业链的进一步建立,更多的手机用户开始饱受手机病毒侵袭,与此同时也催生了用户安全意识的觉醒。而手机安全意识的进一步高涨将推动手机安全行业的发展速度与方向。

 

    第七章  2012年第二季度主要病毒列表

 

    7.1 Android主要病毒列表

 

    a.fraud.eyu.[反动联盟2]

    该病毒启动后扫描系统中安装的安全软件,并恶意诱导用户卸载安全软件,同时会在通知栏弹出推送广告,点击后自动下载无法取消,消耗用户流量,给用户的手机安全造成一定的威胁。

    a.expense.g3app

    该病毒捆绑在热门应用中,植入恶意推广广告,无提示私自建立推广快捷方式,同时存在无提示私自下载推广软件的行为,给用户造成资费消耗。

    a.privacy.ssearch.a.[反动联盟]

    该病毒软件安装后提示更新,安装更新后手机系统无提示终止部分特定进程、破坏特定安全软件并强制重启,每隔数分钟手机自动重启,严重影响用户正常使用手机。同时该病毒还会自动后台联接网络,读取并且上传用户手机IMEI、IMSI和手机号码等信息,造成用户个人隐私的泄露。

    a.expense.apkquq

    该病毒未经用户允许私自下载未知安装包,且不能正常退出,可能给用户带来一定的影响。

 

    a.privacy.anxin360

    该软件安装后,可以通过电脑或手机观察到受控者的GPS位置信息,并可以自动通过短信和电子邮件通知控制者,可能被恶意利用,存在用户隐私泄露的风险,请仔细辨别。

    a.rogue.gamex

    该病毒安装后,诱导用户获取ROOT权限,未经用户允许,私自静默安装携带的多款恶意安装包,存在流氓行为。

    a.payment.weeycharge

    该病毒安装后,后台私自联网发送付费业务订购请求,同时拦截运营商业务订购反馈短信,并将运营商反馈短信内容发送到指定手机号码,随后读取收件箱短信信息,删除运营商业务订购短信,并上传用户手机固件信息,造成用户隐私泄露和存在恶意扣费的风险。

    a.privacy.appsecurity

    该病毒安装后私自向运营商发送SP业务订购短信,同时监控用户收件箱,对指定短信进行恶意拦截,私自读取短信息并删除指定短信,存在伪造短信的行为。

    a.expense.fakeinput

    该病毒启动后获取Root权限,私自下载应用并静默安装到用户手机,给用户的手机安全造成一定的威胁。

    a.expense.forge.[暗战行者]

    该病毒植入恶意推广广告,存在无提示私自下载推广软件的行为,给用户造成资费消耗。

    a.fraud.fakeapp.[游戏幽灵]

    该病毒安装后,伪装成游戏软件,私自创建多个广告快捷方式到桌面,诱导用户下载安装其它软件,并收集用户手机固件信息,存在诱骗欺诈的行为。

    a.system.gmeil.a.[毒胶囊]

    该病毒启动后会在通知栏里提示用户有系统更新,当用户点击则安装了病毒子包,在后台下载多款推荐软件,同时申请ROOT权限静默安装软件,给用户的手机造成一定的威胁。

    a.expense.vertexverveinc.[黑暗推手]

    该病毒安装后,收集用户手机号码,未经用户允许私自拦截指定号码的短信,同时启动后台服务私自下载未知软件,下载完成后向指定号码发送短信,给用户造成资费消耗和存在被远程控制的风险。

    a.system.safesys.b.[功夫病毒]

    该病毒安装后,诱导用户申请ROOT权限,一旦获取ROOT权限则破坏文件系统,同时在后台私自下载安装未知软件,收集用户IMEI等固件信息,给用户手机安全造成威胁。

    a.payment.go108.a

    该病毒启动后,读取用户通讯录和短信信息,存在私自发送短信并恶意拦截指定号码的短信,同时删除指定号码短信内容,上传用户手机固件信息到指定服务器。

 

    7.2  Symbian主要病毒列表

 

    s.remote.Xwodi.a.[X卧底]

    该病毒是一款具有监听功能的软件,它能够进行通话监听、跟踪定位、短信监控、截获通话记录、电子邮件监控等。请仔细鉴别。

    s.payment.qweather.b.[伪掌上天气]

    该病毒伪装成天气查询类软件诱导用户安装,激活后无提示私自联网;私发短信并屏蔽运营商的回执信息,可能订购SP收费业务,给用户带来一定经济损失。

    s.expense.smsinter

    该病毒常捆绑在其他应用中,无任何图标生成, 自激活后常驻后台私自联网;占用大量系统资源,无法完全关闭,可能影响手机和其他软件的正常使用。

    s.expense.satserver

    该病毒伪装成系统组件诱导用户安装,无图标生成,自激活后无提示私自联网,静默安装其他恶意插件;占用系统资源,可能影响手机和其他软件的正常运行。

    s.payment.installbox

    该病毒常捆绑安装在某些竞技类游戏中,无图标生成,无提示私自联网;私自修改书签和发送短信,有可能在用户毫不知情的情况下订购高额的SP收费业务。

    s.expense. syscpc. [伪京东商城]

    该病毒伪装成知名的网购软件诱导用户下载安装,自激活后私自联网;无法完全关闭,占用大量系统资源,可能影响手机或其他软件的正常使用。

    s.expense.bjxycx.[伪开心听]

    该病毒伪装成知名音乐播放器诱导用户下载安装,无任何图标生成,自激活后私自联网;占用大量系统资源,可能影响手机和其他软件的正常运行。

 

 

    第八章  专家支招规避手机病毒的方法

   

      目前手机病毒的伪装性进一步增强,捆绑知名软件打包的手机病毒越来越多,手机病毒数量进一步水涨船高,多种新技术的结合运用更让病毒难以察觉。手机用户应学会规避病毒风险的方法。

 

    电子市场是用户下载软件的第一渠道。在这个渠道,用户应该从信任的来源下载应用,对于手机论坛的破解版、汉化版等热门游戏的下载链接,应持有谨慎态度;手机端应用市场与PC端相比,目前尚缺乏覆盖面广的有效病毒检测与防御机制,应该谨慎选择。目前恶意推广类病毒以及捆绑热门软件二次打包的手机病毒增长趋势明显,对于突然弹出广告、流量暴增等异常情况,用户应该留心并及时开启手机安全软件进行扫描查杀等安全维护。

 

    在下载应用程序前最好对下载平台进行甄别,选择知名度高的应用市场或者相关应用的官网去下载。最好去腾讯应用中心或者腾讯手机管家自带“软件游戏”功能中下载,用户还可以使腾讯无线手机管理软件——腾讯手机管家PC版,直接在PC端免费下载上万款手机软件,这些经过腾讯手机管家的安全认证的应用,可以有效保证安全。

 

    一款好用的手机安全软件对于用户而言十分必要,如果用户一定需要去论坛下载手机应用,请安装如腾讯手机管家一类专业的手机安全软件开启保护,及时升级病毒库,定期扫描查杀,定期监控手机流量与包月套餐费用,删除乱码短信、彩信,谨慎选择刷机ROM,可以避免手机中毒等问题而造成的严重损失。另外,用户还可以关注@腾讯移动安全实验室的腾讯微博,对最新的手机安全资讯做到全面把握与掌控,从而放心畅享移动互联网生活。

 

腾讯手机管家官方网站:http://msm.qq.com

腾讯手机管家腾讯微博:http://t.qq.com/qqsecure

腾讯手机管家新浪微博:http://weibo.com/qqmanager

腾讯移动安全实验室官方微博:http://t.qq.com/QQSecurityLab

安全快讯 更多

蓝牙协议爆严重安全漏洞

蓝牙协议爆严重安全漏洞

2017-09-13
首个Android DDoS恶意程序

首个Android DDoS恶意程序

2017-08-29
勒索病毒生成工具横行

勒索病毒生成工具横行

2017-08-16

安全视频 更多

腾讯手机管家产品经理笑唱安全报告

2017-08-16

腾讯手机管家微信小程序可一键识别诈骗电话啦!

2017-08-02

小管说安全(2)——红包炸弹

2017-07-24