首页 > 安全实验室 > 安全快讯 > 腾讯移动安全实验室2012年7月手机病毒报告

腾讯移动安全实验室2012年7月手机病毒报告

2012-08-16 15:11:43

    2012年7月,基于腾讯手机管家安全产品服务的腾讯移动安全实验室一共截获19856个病毒软件包,Android平台截获18267个,占据病毒总数92%的比例;Symbian平台截获1589个。

    从数据可以看出,进入7月份以来,Android手机病毒呈现前所未有的爆发式增长趋势。相比上月,Android平台新增病毒软件包近1万个,超过上月Android病毒数的2倍,随着7月进入尾声,奥运类病毒猖獗肆虐的态势非常明显,Android平台成了手机病毒的竞技场。

    在Android平台,手机病毒伪装并捆绑热门软件迅速传播成为这一个月病毒发展的典型特征。这个月初期,热门游戏鳄鱼爱洗澡被指被病毒入侵成僵尸,致使300万台Android手机感染病毒;《割绳子》游戏感染病毒,致使百万Android用户中招;随着泷泽萝拉的走红,泷泽萝拉壁纸类病毒致使大量手机用户中毒感染。随着手机病毒多样化特征进一步发展,应用开发者追随阶段性热点推广软件,致使手机病毒捆绑与热点相关的手机应用进行传播变得相对容易。7月底,随着奥运的临近与举办,不少与奥运相关的软件也均被感染,手机病毒有针对性选择热门软件与热门游戏二次打包传播成为7月Android系统平台尤为突出的特征。

    进入7月份以来,病毒家族成群发展也成为新的发展趋势。另外,制毒者开始有针对性的提升手机病毒投放范围与效果,这一季度体现出来较为明显的特征是,制毒者或制毒机构开始通过一个病毒多次打包捆绑海量应用程序,快速发布快速感染海量用户群,并通过时间差或者技术手段绕过电子市场的安全检测,这方面也体现出制毒者或制毒机构的投毒技术进一步提升,逐利性进一步加强。

    在Symbian平台,平稳发展态势进一步推进,Symbian病毒呈现平稳但缓慢的增势,但手机病毒多样化特征也从上月开始继续延续,这意味着手机病毒制作者或制毒机构并未彻底放弃Symbian平台,手机安全行业针对Symbian平台的病毒防御与查杀也应给予一定的关注。

 

    一、Android系统平台病毒特点

 

    1.1主要特点

 

    这一个月以来,在Android系统平台,手机病毒多样化发展明显之外,同时呈现出新的特征。引人瞩目的是,资费消耗类病毒与隐私窃取类病毒两者相加达到前所未有的79%的高比例。其中,资费消耗类病毒占44%的比例;隐私获取类病毒占据35%的比例。恶意扣费、系统破坏、诱骗欺诈分别占据6%的比例,与上月相比,手机病毒种类比例的均衡结构被打破,制毒者与制毒机构的投毒的专业化手段增强,他们采取有效技术手段投毒进而盈利的目的性也进一步增强。

    一个显著特点是,制毒者或制毒机构追求快速盈利的特征越发强烈,资费消耗类病毒被迅速推高,达到44%的比例。资费消耗类手机病毒也开始通过更为专业而且有效性较强的手段:获取手机用户的Root权限,进而通过私自联网消耗用户流量,造成资费消耗;或者通过开机强制启动,从远端服务器自动下载恶意脚本代码,私自下载未知应用程序安装包,消耗用户流量资费。另外,Android手机病毒也开始变换新的攻击形式,开始通过感染并模拟电子市场的扣费接口来诱导用户联网下载,进而扣取用户资费。这也是资费消耗类病毒大幅上涨的重要因素。手机病毒通过获取root权限联网操控用户手机的特征十分明显,从Android手机病毒发展趋势也可看出,root权限将被手机病毒进一步利用,进而获取用户隐私或消耗用户流量。

 

    将手机隐私打包贩卖已成为制毒者与制毒机构的重要盈利来源,隐私窃取类手机病毒迅猛增长,达到35%的比例。系统破坏、诱骗欺诈类手机病毒所占比例迅速下降。可以看出,

制毒者或制毒机构开始有针对性的选择短平快的盈利方式来投放手机病毒。

图1:2012年7月Android病毒类型分布图

 

    1.2典型病毒

    以下是2012年7月在Android平台发现的一些较为典型的病毒:

 

    a.payment.MMarketPay.a

    该病毒能通过偷偷切换APN为CMWAP,然后后台模拟点击中国移动MobileMarket的扣费接口并验证,并拦截扣费的回执短信,让用户不知不觉被扣费。

    a.privacy.findcall

    该病毒启动后私自读取用户联系人列表、通话记录等重要隐私内容,可能会给用户的手机安全造成一定的威胁。

    a.expense.lzla.[宅男救星]

    该病毒安装后,启动获取ROOT权限,私自静默安装携带恶意应用子包,同时联网下载其它未知软件,给用户造成资费消耗。

    a.expense.emuint

    该病毒安装后,开机强制启动,获取ROOT权限,未经用户允许私自联网下载未知软件并安装,消耗用户流量,给用户造成资费消耗。

    a.expense.mdk

    该病毒安装后,开机强制启动,从远端服务器自动下载恶意脚本代码,私自下载未知应用程序安装包,消耗用户流量,给用户造成资费消耗。

    a.privacy.hisunflytone

    该病毒安装后,强制开机启动,监控用户短信收件箱,未经用户允许私自拦截用户短信,同时删除指定内容短信,给用户造成隐私泄露。

    a.fraud.ginmaster

    该病毒被捆绑其他插件,启动后骗取用户安装,同时获取用户的手机信息,可能会给用户的手机安全造成一定的威胁。

    a.expense.appsgeyser

    该病毒安装后,启动时未经用户允许私自下载未知程序,给用户造成资费消耗和存在流氓行为。

    a.privacy.otl

    该病毒安装后无图标,启动后会监听用户的短信信息、通话记录、彩信信息等重要内容,可能会给用户的隐私信息造成一定得威胁

 

    二、Symbian系统平台病毒特点

 

    2.1主要特点

 

    在Symbian系统平台,手机病毒稳定性特征继续发展。经历了上月手机病毒种类多样化发展特征之后,这个月以来,手机病毒又开始重回手机病毒种类“三分天下”的稳定格局。但7月份手机病毒特征与之前不一样的是,诱骗欺诈类手机病毒比例大幅减少,隐私获取类病毒比例迅速上升,取代了诱骗欺诈类病毒在“三分天下”格局中的位置。

    7月份以来,Symbian系统平台资费消耗类病毒与系统破坏类病毒均是31%的比例,隐私获取类手机病毒占据23%的比例;恶意扣费占据7%的比例,诱骗欺诈类手机病毒占据8%的比例。

    这个月Symbian系统平台手机病毒的特征表现为:在手机病毒行为中,资费消耗与系统破坏类特征常同时并存,通常表现为,手机病毒在激活后常驻后台私自联网,消耗用户资费,同时大量占用系统资源,影响手机其他软件的使用;或者在手机病毒激活后私自联网下载其他插件,同时破坏手机系统;而在系统破坏或资费消耗类病毒当中,又会有隐私泄漏的病毒特征,常表现为手机病毒在私自联网的过程中,基本上都会获取用户手机配置信息,造成隐私泄漏,这也是隐私获取类病毒特征占据高比例的原因。

2012年7月Symbian病毒类型分布图

 

    2.2典型病毒

    以下是2012年7月在Symbian平台发现的一些较为典型的病毒:

 

    s.privacy.winsserver

    该病毒安装后无任何图标生成,自激活后常驻后台私自联网,获取手机配置相关信息;占用大量系统资源,可能影响手机和其他软件的正常使用。

    s.payment.apibridges

    该病毒安装后无图标生成,私自联网,无法手动删除,占用系统资源;无提示私自发送短信,可能订购SP收费业务,给用户带来经济损失。

    s.privacy.softmgrmm.a

    该病毒常伪装成知名杀毒软件诱导用户下载安装,自激活后私自联网,可能泄露用户手机配置信息;占用大量系统资源,可能影响手机或其他软件的正常使用。

    s.expense.advancegate

    该病毒常捆绑安装在其他正常软件中,无图标生成,自激活后常驻后台私自联网下载其他恶意插件;占用大量系统资源,可能影响手机和其他软件的正常使用。

 

    三、手机病毒区域分布

 

     这个月来,手机中毒用户分布与上月相比发生了较大的变化。如下图所示,从Android到Symbian,手机中毒省份占比总体上分布没有太大改变,手机中毒省份主要特点是:手机中毒用户分布格局基本是沿东部沿海省份分布,重点集中分布于北京、江浙、广东一带经济发达省份与城市以及辐射区域。在Android与Symbian系统总体的手机中毒用户分布格局上,南方相对高于北方。

    在Android与Symbian系统平台,广东省手机中毒用户占全国比例分别为16.74%与12.95%,位居第一;在Android系统,全国手机病毒占据前10位的省份或直辖市分别是在广东省、江苏、北京、浙江、辽宁、福建、四川、山东、湖北、河南;在Symbian系统平台,手机中毒省份前十分别为广东、北京、四川、辽宁、江苏、福建、浙江、山东、重庆、河南。

    可以看出,制毒者或者制毒机构开始有针对性的提升手机病毒的投毒范围与效果。在Android平台,从手机病毒投放区域特征显示出,沿海经济发达省份或直辖市手机中毒情况依然处于主流,广东省相对上月而言,依然处于强劲的增势之中。可见制毒者或制毒机构利益驱动十分明显,倾向于追求短平快的盈利方式,针对智能机用户集聚区域进行定向投毒快速获利的机制已经进一步稳固并形成。

    随着千元智能机的发展,中部或西南部经济发展省份也开始成为新兴的智能机用户增长区,比如四川、福建、山东、辽宁、山东等。这些省份经济发展快速,智能机保有量进一步上涨,基于这些新兴智能机用户手机安全意识的缺乏及手机病毒监管机制的薄弱,制毒者或制毒机构开始盯紧新增的手机用户,有意识的扩大手机病毒投放区域与提升病毒投放技术,进而针对性北上广辐射区省份与中部崛起省份等智能机新兴增长区进行定向投毒。

    这一个月来,手机病毒捆绑热门病毒特征进一步发展,制毒者与制毒机构有针对性往泷泽萝拉、伦敦奥运、热门游戏等相关软件植入大量病毒,并进一步加强了多样化的攻击手段,比如通过一个病毒多次打包捆绑海量应用程序,这种病毒攻击方式,具备快速发布快速感染海量用户群的特征,使得手机用户中毒范围进一步扩大,感染加速,这同时也促使中部崛起省份中毒手机用户进一步增长。

  图3:2012年7月前15名手机病毒主要分布区域(数据来源:腾讯移动安全实验室)

 

    四、传播渠道来源分析

 

    手机病毒攻击特征开始多样化发展。制毒者或制毒机构加大了对资费消耗类手机病毒投放数量之外,同时开始变换新的攻击形式,制毒者与制毒机构攫取利润也因此变得更加容易。病毒传播渠道也变得多样化。而手机安全市场开始有针对性展开了防御措施,加大了电子市场的监控与查杀力度。

    电子市场作为用户下载软件的第一大来源。另一方面,国内知名的应用市场基本与手机安全厂商建立了安全检测合作,感染手机病毒的情况在PC端应用市场有所下降。但随着Android智能机保有量的进一步增加,手机端电子市场也进一步增多,智能机新手更习惯在手机端电子市场下载应用,更多的制毒者开始通过该渠道投放手机病毒。加之手机应用市场安全检测率低,智能机新手缺乏手机病毒防御心理,不少手机厂商更凭自身安全评判标准进行预置应用商店,导致手机端电子市场安全性进一步降低,这成为手机病毒的一大来源。

    手机论坛依然是手机病毒的主要传播渠道之一,随着Android智能机发烧友增多,各大手机论坛的软件资源共享变得更加活跃,比如随着龙泽萝拉的走红,相关壁纸类手机病毒在论坛的泛滥程度加剧;这个月手机病毒捆绑奥运等热门软件大肆在手机论坛攻城略地,大批论坛手机用户中毒。同时,网盘捆绑论坛提供下载链接的传播方式也开始增多。随着手机病毒家族成群发展,制毒者与制毒机构的病毒攻击技术手段快速提升,通过一个病毒多次打包捆绑海量应用程序,通过多渠道发布快速感染海量用户群成为当前手机病毒的一大特点。如此一来,软件捆绑渠道的手机用户中毒现象也十分突出,占据16%的高比例。

    而随着网络黑客大批向移动互联网转型,互联网企业齐做手机的趋势使得预装软件的进一步增长,在水货市场,ROM制作者因为利益驱动在ROM里预装病毒软件也有增长趋势。ROM内置等渠道中毒的占比率也处在逐渐上升之中。

 

    1. 电子市场:病毒企图绕开电子市场的安全检测系统在审核上线之前被截获、又或者是通过一些没有接入安全检测的电子市场进行传播,占25%;

    2. 手机论坛:通过上传论坛附件或提供下载网络硬盘下载地址方式,占24%;

    3. 手机资源站:通过录入或开设手机下载WEB/WAP资源站点,提供直接的软件下载地址,占16%;

    4. 软件捆绑:热门软件尤其是游戏软件经常包含病毒或者远程下载,占16%;

    5. 网盘传播:通过网盘捆绑手机论坛提供下载链接;占10%;

    6. ROM系统内置:rom制作者因为利益的驱动在rom里预装病毒软件,占6%;

    7. 微博、博客与其他:通过发博客、微博附带下载地址链接,以及其他互联网形式的自助发布渠道或合作平台,占3%;

图4:2012年7月手机病毒主要传播渠道来源比例

 

    五、专家建议

 

    在目前,应用商店、手机论坛等依然是手机病毒传播的主要渠道,因此手机用户养成安全的软件下载习惯非常重要,对于手机论坛的破解版、汉化版等热门游戏的下载链接,应持有谨慎态度;手机端应用市场与PC端相比,目前尚缺乏覆盖面广的有效病毒检测与防御机制,应该谨慎选择。

    目前恶意推广类病毒以及捆绑热门软件二次打包的手机病毒开始呈现大规模爆发的态势,用户应下载如腾讯手机管家一类的手机安全软件升级最新病毒库并开启全盘扫描,定期给手机进行体检和病毒查杀、及时更新病毒库,抵御手机病毒侵害自身利益。

    对于当前流行的热门游戏,应该下载后应立刻用手机安全软件进行全盘扫描查杀病毒,加之目前手机病毒的伪装性与多元化趋势越来越明显,当手机出现话费无故减少、耗电突然增大、流量突然暴增、不停弹出广告等异常现象的时候,应留心是否手机中毒或遭遇恶意程序吸费,并应迅速启动手机安全软件进行病毒查杀扫描,确保应用下载安全。

    用户最好选择知名度高的应用市场或者相关应用的官网去下载。另外,用户应尽量从安全的电子市场下载应用,比如,腾讯手机管家PC版、应用宝等,这些应用均经过腾讯手机管家的安全检测,可确保下载安全。

    目前而言,用户应及时关注@腾讯移动安全实验室微博以及相关的“恶意软件曝光”行动,对手机安全资讯做到全面把握和掌控。

 

    腾讯手机管家官方网站:http://msm.qq.com

    腾讯手机管家腾讯微博:http://t.qq.com/qqsecure

    腾讯手机管家新浪微博:http://weibo.com/qqmanager

    腾讯移动安全实验室官方微博:http://t.qq.com/QQSecurityLab