首页安全播报安全快讯 › 腾讯移动安全实验室2012年8月手机安全报告

腾讯移动安全实验室2012年8月手机安全报告

2012-09-13

    2012年8月,基于腾讯手机管家安全产品服务的腾讯移动安全实验室一共截获27756 个病毒软件包,Android平台截获26260个,占据病毒总数94.6% 的比例;Symbian平台截获1496个。

    进入2012年8月份以来,Android手机病毒的猖獗态势得以进一步发展,相比上月,Android病毒软件包增长43.7%。手机病毒的技术和等级“突飞猛进”的态势让人惊讶,新型的手机病毒吸费的手段也更加隐蔽。8月份以来,Android攻击性病毒进一步发展,病毒制作者开始重兵布局手机支付类病毒,紧盯用户的钱袋。8月的“短信巫毒”(又称“短信僵尸”)手机病毒可针对网银、支付、汇款等高度机密信息进行欺诈,导致用户的网银财产损失,感染用户超过百万。该病毒事件引起行业的集体预警与用户的强烈关注。

    这个月来,Android广告推广类手机病毒进一步繁殖。比较具有代表性的是腾讯移动安全实验室8月初截获的牛皮癣系列手机病毒(a.rogue.gamex),该病毒可以让用户手机沦为恶意推广的无底洞。

    与此同时,Android手机病毒多样化特征进一步显著。病毒家族成群发展的趋势也变得强烈。手机病毒伪装热门软件进行捆绑传播已成为制毒者或制毒机构的常规化操作。随着Android系统应用增长,手机病毒多伪装成热门应用软件,获取Root权限后消耗手机流量或者破坏系统来获取不正当利润。

    这个月来,Symbian平台制毒者或制毒机构向Android平台的转移进一步加速,同时大批互联网行业木马病毒制作者也纷纷转向Android平台,Android系统的安全形势变得更加严峻。

    在Symbian平台,手机病毒软件包数量相对上月,略微有所下降,稳定发展的特征也在进一步加固,这个月Symbian病毒类型分布体现出前所未有的三分天下的均衡性比例。但这并不意味着制毒者与制毒机构已经放弃Symbian平台,对于Symbian系统的手机安全环境,依然要给予一定的重视。

 

    一、Android系统平台病毒特点

 

    1.1主要特点

 

    这个月来,Android手机病毒表现出来的整体特征与上月差异不大,依然是以资费消耗与隐私获取类手机病毒为主,与上月相比,资费消耗类手机病毒占比稍微有所下降,但比例依然处于高位并占据第一的位置。其中,资费消耗类病毒占据38%的比例;隐私窃取类手机病毒占据了26%的比例;恶意扣费占据15%的比例,远程监控、系统破坏类手机病毒分别占据9%、4%的比例。

    这个月来,Android手机病毒制毒者或制毒机构表现出来的吸金欲望强烈,追求短线快速盈利已经成为制毒者或制毒机构非常明显的目标。这个月资费消耗、隐私获取类手机病毒以“短信巫毒”最为典型。手机病毒攻击行为从消耗流量资费转向窃取网银帐号盗取用户资金。而与此同时,这类病毒也体现出了隐私窃取与诱骗欺诈的的特征。不仅诱导用户安装恶意子包,而且具有监控用户收件箱,插入恶意短信、私自发送和拦截短信的行为。

    窃听、监听手机短信接收或通话成为隐私获取类病毒的新特征。这个月隐私窃取类手机病毒主要通过联网上传方式泄露用户隐私或者短信外发方式与远程监听短信、监听通话等方式泄漏用户隐私。

    这个月诱骗欺诈类手机病毒占据了8%的比例。诱骗欺诈类病毒会通过欺骗的方式诱使用户安装恶意程序或利用手机漏洞远程下载并安装恶意程序,而恶意软件不会合法的告知受影响的手机用户。

    8月份以来,恶意拦截SP业务订购短信、私自订购SP业务同时屏蔽运营商确认短信的恶意扣费类手机病毒也开始变得泛滥。

    “短信巫毒”的爆发,意味着Android系统平台的手机病毒开始体现出连环性、难卸载等各种新的特征。与此同时,广告推广类手机病毒进一步泛滥。这类病毒软件一旦被用户安装后会静默下载推广软件,消耗流量,存在难卸载、云端配置推广软件等恶意行为。这类病毒的发展,也间接促进了资费消耗类手机病毒的快速繁殖。

图1:2012年8月Android病毒类型分布图

 

    1.2典型病毒

    以下是2012年8月在Android平台发现的一些较为典型的病毒:

    1、a.rogue.smszombie.[短信巫毒]

    该病毒诱导用户安装恶意子包,不断重复弹出安装页面,具有监控用户收件箱、插入恶意短信、私自发送和拦截短信的行为,同时诱导用户激活设备管理器,使用户无法正常卸载。

    2、a.expense.megall

    该病毒安装后,后台启动服务无提示静默下载推广软件,消耗用户流量,给用户造成资费消耗。

    3、a.payment.fakesystemapp

    该病毒伪装成系统软件骗取用户安装,启动后检查本地是否安装安全软件等隐私信息发送到服务器,当手机锁屏的时候订购SP业务,并屏蔽运营商发回来的确认短信,可能会给您的手机造成一定的威胁。

    4、a.expense.lemon

    该病毒启动后会监听手机短信接收,当有短信发送到该手机上时该病毒会拦截短信信息,并转发到另一个手机号码,可能会给用户的隐私安全造成一定的威胁。

    5、a.payment.ms.a

    该病毒自动激活,在后台随机向指定的SP端口号发送扣费短信,同时屏蔽SP商的确认短信;另外,病毒会把云端指令的操作记录发送到指定的手机号,泄漏用户隐私。

    6、a.payment.fakekoogame.a

    该病毒安装后,恶意拦截SP业务订购短信,同时未经用户允许私自发送短信确认SP订购业务,存在恶意扣费和流氓行为。

    7、a.system.hider

    该病毒安装后,诱导用户申请ROOT权限,一旦获取ROOT权限则会静默安装其他可疑软件,给用户手机安全造成威胁。

    8、a.expense.mxmobile

    该病毒安装后,未经用户允许私自发送短信,同时拦截指定内容短信,上传用户手机固件信息,给用户造成资费消耗和隐私泄露。

    9、a.privacy.tinyurl.a

    该病毒安装后无图标,开机强制启动,未经用户允许私自监听收发短信和通话记录,并实时跟踪用户GPS位置,将监控信息回传到指定网站,造成用户隐私泄露。

    10、a.expense.mdk.a

    该病毒安装后,开机强制启动,从远端服务器自动下载恶意脚本代码,私自下载未知应用程序安装包,消耗用户流量,给用户造成资费消耗。

 

    二、Symbian系统平台病毒特点

 

    2.1主要特点

 

     Symbian系统平台病毒特征开始进入了新一轮稳定发展的轨道。如下图所示,2012年8月Symbian病毒类型分布图中,资费消耗类病毒占34%的比例;系统破坏类病毒占33%的比例,诱骗欺诈类手机病毒占33%的比例。三类手机病毒将Symbian平台的病毒类别切分的十分均匀。Symbian系统平台在经历上一轮的多样化特征之后,开始重回稳定发展的轨道。与此同时,Symbian手机病毒经历了短暂的小幅增长之后,又重回低落的轨道。

    这个月Symbian手机病毒的特征表现为:在手机病毒行为中,诱骗欺诈类手机病毒与系统破坏类手机特征并存。与此同时,手机病毒的伪装性开始增强。手机病毒通常伪装成常用必备的软件诱骗用户安装,在私自联网的过程中,下载恶意插件或者占用系统资源,而手机病毒试图破坏手机中的安全杀毒软件成为非常明显的特征;Symbian制毒者或制毒机构也开始提升其攻击技术,寄望于通过攻击并卸载用户的手机安全软件,扫清病毒攻击的障碍,从安全意识不高的Symbian用户身上赚取稳定的不正当的盈利收入。

图2:2012年8月Symbian病毒类型分布图

 

    2.2典型病毒

    以下是2012年5月在Symbian平台发现的一些较为典型的病毒:

 

    1、a.expense.ssru.a

    该病毒伪装成影音播放类软件诱导用户下载安装,无提示私自联网;私自修改主页,占用系统资源;破坏手机中的安全杀毒类软件,可能威胁到用户手机安全。

    2、a.expense .kecerysig

    该病毒伪装成系统程序驻留于手机中,自激活后私自联网下载恶意插件;无法手动删除,试图破坏手机中的安全杀毒软件,可能威胁到用户手机安全。

 

    三、8月重点关注的手机病毒

 

    3.1 “短信巫毒”病毒

 

    在今年8月17日,腾讯手机管家首家查杀了一款“短信巫毒”(又称“短信僵尸”)病毒,该病毒捆绑在含泷泽萝拉、刘德华等动态壁纸热门应用中,具有恶意扣费、盗取用户网银密码以及账单支付信息等隐私窃取行为,该病毒在下载安装后伪装成“系统服务”的病毒子包,子包伪装成a33.jpg存在于assets目录下,目前感染用户已超过100万。该病毒可针对网银、支付、汇款等高度机密信息进行欺诈,导致用户的网银财产损失,危害极大。而腾讯手机管家对首家查杀后引起各安全商家纷纷跟进宣传与媒体用户的集体关注,引发了行业内的“蝴蝶效应”。手机用户应对该病毒引起高度重视,及时安装一款优秀的手机安全软件,定期给手机进行体检和病毒查杀,确保自身网银资金安全。

 

    3.2 “牛皮癣”病毒

 

    8月初,腾讯移动安全实验室截获了“牛皮癣”系列手机病毒(a.rogue.gamex),该病毒一旦被安装,便会诱导用户获取ROOT权限,在未经用户允许情况下,私自静默安装携带的多款恶意安装包,这些安装包又会私自联网、偷偷下载其他恶意应用,并从云端配置推广软件列表,让用户手机彻底变成病毒的“天堂”。并存在难卸载、云端配置推广软件等恶意行为。目前,腾讯手机管家已经实现对“牛皮癣”病毒的彻底查杀,用户可下载安装,并将病毒库升至最新,开启全盘扫描即可。

 

    四、手机病毒区域分布

 

    在Android与Symbian系统,8月中毒手机用户中,广东省再次毫无悬念的居于第一位,分别达到14.95%与11.30%。在Android系统,排名前十的的省份或直辖市分别为:广东、江苏、浙江、北京、辽宁、福建、四川、山东、河南、湖北;在Symbian系统,手机中毒用户排名前十的省份或直辖市分别为:广东、北京、江苏、辽宁、浙江、四川、福建、山东、重庆、河南。

    与上月相比,在Android与Symbian系统平台,广东省手机中毒用户占比均有所下降。一方面,这与全国智能手机用户基数持续上涨以及制毒者或制度机构往新兴经济增长地区定向投毒有关,加之广东省对刷机市场、水货市场等内置软件渠道监管加强,电子市场与手机安全厂商合作进一步强化,手机中毒用户占比有所下降。

    总体来讲,从Android 到Symbian,排名前十的省份与上月差距不大,制毒者与制毒机构通过对经济发达地区与新兴手机用户增长区定向投毒并收集定位相关的用户数据,形成了稳定的渠道与目标人群。广东、江苏、浙江、北京、辽宁、福建六个省份由于处于经济发达地区及其辐射区域,这些省份与地区是手机厂商内置软件渠道与水货市场、刷机与应用市场、应用开发商的集中区域,已成为制毒者或制毒机构病毒投放的重点目标省份与直辖市。在经济发达地区及其辐射区域,资费消耗与隐私窃取类手机病毒表现突出,隐私窃取、恶意扣费类病毒多分布在四川、福建、辽宁;资费消耗类病毒多集中于北京、江苏、浙江与广东。

    8月份以来,经济发达地区及其辐射地区的手机用户的手机安全意识与隐私保护意识都有不同程度的上升,手机安全软件装机率相对上月也有一定程度的增长,如福建、广东等地。而手机中毒用户重度集中的分布态势有所减弱,制毒者与制毒机构追求短平快的盈利方式也进一步强化。

    另外,制毒者或制毒机构开始盯紧新兴智能机增长地区的新增手机用户,有意识的扩大手机病毒投放区域与提升病毒投放技术,往东部、中部智能机销量增速强劲的省份进行定向投毒,有意识的扩散手机病毒流通渠道的趋势也十分强劲。

     图3:2012年8月前15名手机病毒主要分布区域(数据来源:腾讯移动安全实验室)

 

    五、传播渠道来源分析

 

    手机恶意软件的各种来源渠道威胁已经到了“兵临城下”的阶段。8月以来,智能手机病毒传播又开始呈现了新的的特征,比如这个月爆发的“短信巫毒”手机病毒转向了手机支付等账号信息的窃取。而手机论坛、电子市场则是此类病毒的最大来源渠道。

    制毒者或制毒机构将手机病毒二次打包内置入正常应用程序之中,放到论坛或者应用商城上传播的病毒传播方式依然占据主流。手机论坛缺乏病毒检测流程依然没有得到解决,论坛编辑的有意识的引导却并未起到有效的规劝作用,手机论坛已成为手机病毒最主要的传播渠道,这个月占据了25%的比例,第一次开始与电子市场所占比例持平。而这个月以来,更多的壁纸、广告推广类、隐私窃取类病毒在手机论坛渠道诞生,网盘捆绑论坛提供下载链接的传播方式也开始增多。

    这个月短信巫毒(又称“短信僵尸”)也大肆在手机论坛攻城略地,大批论坛手机用户中毒。同时,随着手机病毒家族成群发展,制毒者与制毒机构通过一个病毒多次打包捆绑海量应用程序,通过多渠道发布快速感染海量用户群的特征在这一个月表现的更为明显。如此一来,软件捆绑渠道的手机用户中毒现象也十分突出,占据16%的高比例。

    其次,随着互联网企业做手机的大热趋势,许多唯利是图的手机厂商也开始与不法SP合作,导致预装恶意软件变得进一步泛滥,这个产业的黑色双赢产业链由于利益关系变得更加稳固。其次是在刷机市场,用户在“刷机”时不留神把病毒刷进去的情况也正在变得普遍。而手机安全市场针对手机病毒的特征在病毒查杀检测方面的合作正在加强,有针对性的加大了电子市场的监控与查杀力度。

    随着Android智能机发烧友逐月环比上升,各大手机论坛的软件资源共享变得更加活跃,手机论坛传播渠道来源已经与应用商店比例持平。截至目前,电子市场安全检测比率有所上升,这一定程度上降低了Android开源性带来的风险。但与此同时,手机端电子市场的病毒来源渠道依然有增无减,手机应用市场安全检测率低,更多的制毒者开始往手机端电子市场进行投毒,这个病毒来源渠道已成为电子市场渠道中的重点安全隐患。

    而随着网络黑客大批向移动互联网转型,互联网企业齐做手机的趋势使得预装软件的进一步增长,在水货市场,ROM制作者因为利益驱动在ROM里预装病毒软件有增无减。ROM内置等渠道中毒的占比率也因此在持续上升之中。

图4:2012年8月手机病毒主要传播渠道来源比例

 

    1. 电子市场:病毒企图绕开电子市场的安全检测系统在审核上线之前被截获、又或者是通过一些没有接入安全检测的电子市场进行传播,占25%;

    2. 手机论坛:通过上传论坛附件或提供下载网络硬盘下载地址方式,占25%;

    3. 软件捆绑:热门软件尤其是游戏软件经常包含病毒或者远程下载,占16%;

    4. 手机资源站:通过录入或开设手机下载WEB/WAP资源站点,提供直接的软件下载地址,占15%;

    5. 网盘传播:通过网盘捆绑手机论坛提供下载链接;占9%;

    6. ROM系统内置:rom制作者因为利益的驱动在rom里预装病毒软件,占7%;

    7. 微博、博客与其他:通过发博客、微博附带下载地址链接,以及其他互联网形式的自助发布渠道或合作平台,占3%;

 

    六、专家建议

 

    手机应用的激增,手机病毒捆绑正常应用进行传播已经变得十分普遍,因此用户养成从正规渠道下载手机应用非常重要。与此同时,应用商店、手机论坛等依然是手机病毒传播的主要渠道,因此对于手机论坛的破解版、汉化版等热门游戏的下载链接,应持有谨慎态度;另外,许多手机端电子市场依然缺乏有效病毒检测与防御机制,成为手机病毒防御的薄弱环节,应该谨慎选择。

    目前在Android平台,广告推广类手机病毒泛滥加剧,许多开发者也通过“病毒式”传播的方式推广手机应用,将恶意代码内置到热门软件中,提供用户下载,病毒制作者与制作机构也依靠这种手段赚取利润,用户应下载如腾讯手机管家一类的手机安全软件开启广告拦截功能,升级最新病毒库并定期给手机进行体检和病毒查杀。

    目前手机病毒逐利趋势加强,开始紧盯用户网银账号,在8月中旬,腾讯手机管家首家查杀的“短信巫毒”具备典型意义,该病毒捆绑动态热门壁纸应用,具有恶意扣费、盗取用户网银密码以及账单支付信息等隐私窃取行为。这也警示用户应尽量从安全或官方的电子市场下载网银客户端应用,比如,腾讯手机管家PC版、应用宝,海纳应用搜索等安全平台。这些应用下载平台应用均经过腾讯手机管家的安全检测与认证,可确保下载安全。

    另外,手机用户应及时关注@腾讯移动安全实验室微博以及相关的“恶意软件曝光”行动,对手机安全资讯做到全面把握和掌控,提升自身的手机安全意识与防御手机病毒的常识,抵御手机病毒侵害自身利益。

 

    腾讯手机管家官方网站:http://msm.qq.com

    腾讯手机管家腾讯微博:http://t.qq.com/qqsecure

    腾讯手机管家新浪微博:http://weibo.com/qqmanager

    腾讯移动安全实验室官方微博:http://t.qq.com/QQSecurityLab

                                                 腾讯移动安全实验室

2012年9月12日

安全快讯 更多

蓝牙协议爆严重安全漏洞

蓝牙协议爆严重安全漏洞

2017-09-13
首个Android DDoS恶意程序

首个Android DDoS恶意程序

2017-08-29
勒索病毒生成工具横行

勒索病毒生成工具横行

2017-08-16

安全视频 更多

腾讯手机管家产品经理笑唱安全报告

2017-08-16

腾讯手机管家微信小程序可一键识别诈骗电话啦!

2017-08-02

小管说安全(2)——红包炸弹

2017-07-24