首页 > 安全实验室 > 安全快讯 > 腾讯移动安全实验室2012年10月手机安全报告

腾讯移动安全实验室2012年10月手机安全报告

2012-11-16 12:18:02

       2012年10月,基于腾讯手机管家安全产品服务的腾讯移动安全实验室一共截获17822个病毒软件包,Android平台截获16695个,占据病毒总数94%的比例;Symbian平台截获1127个。

      这个月来,Android系统截获的病毒总数环比下降43%。Symbian系统也略有下降。但Android平台手机病毒攻击手段与技术正在加强。一个显著的现象是,山寨盗版软件明显增多,手机支付类病毒也有缓慢增长之势。目前,手机安全行业针对山寨软件的泛滥趋势,采取了特定措施进行正版认证,比如腾讯手机管家建立的官方正版安全联盟目前已初显成效。

      Android系统制毒者紧跟流行话题和热点事件进行传播的趋势非常明显。制毒者凭借其敏锐的嗅觉,总能察觉到可以借热的话题植入二次打包的恶意代码程序与手机病毒。比如10月份以来,江南style爆红,也使得《江南style女屌丝版》、《元芳你怎么看江南style》等模仿搞笑题材被恶意入侵。而资费消耗类病毒重点紧盯热门游戏类应用,进行捆绑传播。比如捣蛋猪遭到 Android病毒a.expense.md.c感染,消耗流量造成巨大损失,10万用户遭殃。

      在Android平台,恶意推广类手机病毒呈继续攀升的趋势。隐私窃取类手机病毒也逐渐从感染游戏软件、系统软件进一步入侵到视频软件领域。比如腾讯手机管家截获的“2012,你幸福了吗?”以及“新白发之恶搞你幸福吗?”等感染的视频软件。与此同时,带有间谍性质的监听类隐私窃取病毒发展迅速,成为这个月值得注意的病毒发展趋势。

      在Android平台,手机病毒变种二次来袭开始形成规律,与9月份“伪MM病毒“相对应的是,在10月,腾讯手机管家首家截获的“短信巫毒”(又称“短信僵尸”)也开始二次来袭,并形成新的特征与更加灵活的攻击方式。与此同时,随着二维码逐渐兴盛,二维码渠道也开始逐渐成为手机病毒的新兴来源渠道之一。手机潮人见码就刷染毒风险日益增大并引起了整个手机安全行业的关注与预警。

      Symbian平台衰落趋势依旧明显,目前腾讯手机管家截获的Symbian病毒数据所占的总病毒份额越来越少,环比下降的趋势一直持续。但Symbian制毒者与制毒机构针对Symbian系统投毒方式与渠道进一步趋于稳定并形成了规律化,因此依然需要引起一定程度的重视。

 

      一、Android系统平台病毒特点

 

      1.1主要特点

 

      10月份以来,在Android平台,资费消耗类病毒大涨,达到49%的比例。与上月相比,诱骗欺诈类病毒与远程控制类病毒也呈现暴涨趋势,分别达到23%与21%。由此一来,隐私窃取类病毒占比份额被挤压,降为5%;恶意扣费类病毒与系统破坏类病毒分别为1%。

      资费消耗类病毒一直是Android最主要的手机病毒类型,这个月以来,这类病毒在安装后通过在后台私自下载推广软件消耗流量是其主要特征。而目前,隐私窃取、远程监控等几乎所有的病毒类型都带有资费消耗的特征与行为,因此总体上推动了资费消耗类病毒的持续上涨。

      诱骗欺诈类与远程控制类病毒大幅上涨也意味着病毒的伪装性与远程控制等技术能力越来越强。诱骗欺诈类病毒常伪装成美女壁纸类应用或植物大战僵尸等热门游戏类应用为主。随着制毒者的远程控制技术的更新换代,远程控制类病毒日益强大,可以监控用户短信收件箱、通话记录、GPS位置信息,拦截指定内容短信,远程控制用户手机、或从远程服务器自动下载恶意脚本代码等行为消耗用户流量。这一系列操作已可以通过自动化云端指令化完成。

      这个月来,隐私窃取类病毒占比少而精,虽占据5%的比例,但该特征无处不在,不断威胁用户核心利益。隐私窃取类病毒特征不仅开始攫取用户强隐私,而且日益多元化。监控用户短信收件箱、通话记录、GPS位置信息,拦截指定内容短信等一系列自主操作已变得更加流畅与智能化。目前更大的趋势在于,专门读取用户短信信息和QQ聊天记录等间谍性隐私获取类病毒日渐增多。

      2012年10月以来,扣费类病毒的特征明显,不仅会发送扣费短信,而且同时会删除短信信息和获取用户GPS位置,扣费类病毒往往还包含着隐私窃取的特征。而Android的系统破坏类病毒已经可破解手机原生ROM获取ROOT权限,给用户手机系统带来的风险日益增大。

图1:2012年10月Android病毒类型分布图

 

      1.2典型病毒

      以下是2012年10月在Android平台发现的一些较为典型的病毒:

      1、a.expense.fakekernel.[暗箭射手]

      该病毒内嵌在正常软件中诱骗用户下载,当安装后病毒在后台私自下载推广软件造成流量消耗,可能会给您的手机造成一定的威胁。

      2、a.expense.pandora

      该病毒安装后,未经用户允许后台私自下载推广软件,给用户造成资费消耗。

      3、a.pray.vee

      该软件曾被较多用户投诉其含有敏感内容,同时上传用户手机号码和IMEI号等手机信息,请仔细鉴别。

      4、a.privacy.fakeoutlook

      该病毒安装后,未经用户允许私自获取用户短信和彩信信息,同时上传到远端服务器,给用户造成隐私泄露。

      5、a.privacy.smsspy.a.[短信间谍]

      该病毒安装后无图标,开机自动启动,启动后会发送扣费短信,并同时会删除短信信息和获取用户GPS位置,给用户的财产安全和个人隐私造成威胁。

      6、a.rogue.smszombie.c

      该病毒诱导用户安装恶意子包,不断重复弹出安装页面,具有监控用户收件箱、插入恶意短信、私自发送和拦截短信的行为,同时诱导用户激活设备管理器,使用户无法正常卸载。

      7、a.privacy.tracking

      该病毒安装后,强制开机启动,监控用户短信收件箱、通话记录、GPS位置信息,拦截指定内容短信,远程控制用户手机,给用户造成隐私泄露。

      8、a.system.hsheng

      该软件安装后,可破解手机原生ROM获取ROOT权限,给用户手机系统带来风险,请按需谨慎使用。

      9、a.expense.prospero

      该病毒启动后私自发送、读取、删除、拦截短信信息,病毒同时记录你的GPS地理位置,可能会给您的手机安全造成一定的威胁。

      10、a.privacy.jtw

      该病毒安装后窃取短信信息、发送短信,并会对通话内容录音,可能会给您的隐私安全造成一定的威胁。11、a.privacy.mailx.b.[古哥]

      该病毒是一款间谍软件,安装后无启动图标,并在后台自动启动程序,读取用户短信信息、通话记录和QQ聊天记录等信息,通过邮件的形式发送到指定邮箱,严重泄露用户的隐私信息。

      12、a.privacy.erfolgreich

      该病毒安装后,未经用户允许私自发送短信,同时拦截指定内容短信,给用户造成资费消耗和隐私泄露。

 

      二、Symbian系统平台病毒特点

 

      2.1主要特点

 

      2012年10月,Symbian系统延续了上月的病毒发展特征。虽然衰落趋势明显,但各项病毒发展趋向均衡与多元化。其中,资费消耗类病毒占据27%的比例,位居第一。其次是系统破坏与诱骗欺诈类病毒,分别占比为25%与19%。隐私获取类病毒与恶意扣费类病毒占比17%与12%;诱骗安装、私自联网、消耗流量同时私发短信,并且分区域定制SP收费业务成为Symbian病毒这个月的明显特征,隐私窃取与恶意扣费类病毒占比双双上升,逐步趋向并驾齐驱的发展态势,但与上个月病毒特征变化并无大的差别。

      总的来说,目前Symbian病毒的发展趋势较为缓慢与稳定。10月份的持续衰落趋势依旧延续,制毒者或制毒机构逐步缓慢降低对Symbian系统的病毒投放权重,但针对Symbian用户最大限度的攫取利润的投毒目标并未改变。

      恶意扣费与资费消耗类病毒是拉动Symbian制毒者利润上升的两驾马车。而系统破坏类病毒进一步趋于稳定,这类病毒充当了破坏者的角色,扫除了制毒者与制毒机构在Symbian系统攫取利润的障碍。由于制毒者与制毒机构的趋利性,这三类病毒开始呈缓慢上升趋势。隐私窃取类病毒也在缓慢发展中,发展态势与Android并无二致,也是倾向于攫取用户的照片、短信、通话等强隐私,Symbian平台病毒种类衰落趋势虽然明显,但走向均衡性与多元化的趋势与发展格局并未改变。

图2:2012年10月Symbian病毒类型分布图

 

      2.2典型病毒

      以下是2012年10月在Symbian平台发现的一些较为典型的病毒:

 

      1、s.expense.dietmanag.a

      该病毒安装后无任何图标生成,自激活后无提示私自联网下载其他恶意插件,消耗用户数据流量;无法手动删除,占用大量系统资源,严重影响手机和其他软件的正常运行;同时,还试图终止某些安全杀毒类软件进程,可能威胁到用户手机安全。

      2、s.payment.serviceplugin.a

      该病毒常伪装成手机系统组件诱导用户下载安装,安装后没有启动图标,无提示强制联网,消耗用户数据流量;一旦激活会向某个号码发送短信,不但可能泄露用户信息,更可能订购高额SP收费业务,给用户带来一定的经济损失;同时,占用大量系统资源,有可能影响手机和其他软件的正常运行。

      3、s.expense.systemanimation.a

      该病毒常伪装成手机系统组件驻留于手机中,无任何图标生成,自激活后无提示强制联网,消耗用户数据流量;占用大量系统资源,有可能影响手机和其他软件的正常运行。

 

      三、10月重点关注病毒:

 

      a.expense.md.c(捣蛋猪被感染)

 

      继《愤怒的小鸟》爆红后,Rovio游戏公司又一力作《捣蛋猪 Bad Piggies》受到广大手机用户的喜爱。但据腾讯移动安全实验室跟踪发现,从该游戏发布第一个版本以来的短短20多天时间,《捣蛋猪》即遭 Android病毒a.expense.md.c感染,预计遭遇危害的手机用户高达10万。

      该病毒一旦激活后会开机强制自启动,然后自动下载恶意代码,私自下载APK安装包,大量消耗用户流量,如果下载的安装包有扣费陷阱,将给用户带来更严重的经济损失。

      据腾讯移动安全实验室观察,该病毒除了感染了《捣蛋猪》外,还感染了多款知名的流行游戏,如《捕鱼达人》、《七彩祖玛》、《跑跑卡丁车》等。预计目前已经感染了近1万多款软件,感染的用户数已达10万。

 

      四、手机病毒区域分布

 

      10月份以来,Android手机中毒用户的区域分布有微小的变化,但大体上仍是呈现出延续上月区域分布态势,广东占比为15.42%,位居第一。广东已经连续三个季度排名第一。江苏浙江北京紧随其后,占比分别为8.69%、7.15%、6.44%。在Symbian系统,中毒占比前五省分别为:广东、浙江、北京、辽宁、江苏。在Symbian系统,辽宁的中毒比例达到6.22%,超越了江苏省。

      目前而言,在北京、广东、浙江等发达省份与直辖市,刷二维码开始流行,相对中部省份,这些地区二维码更为普及与受欢迎程度更高,二维码中毒开始成为这些地区的新兴渠道。   

      另一方面,在广东、浙江、江苏等省份,移动终端市场发达,是山寨手机与水货手机的集中生产销售的来源地与集聚地。这些地区的水货商基于商业目的,在水货手机中内置各种恶意软件或病毒的现象正在进一步抬头,部分手机厂商也与不法SP合作形成利益联盟,导致预装恶意软件变得进一步泛滥,恶意软件厂商也通过刷机灰色产业链将自家软件刷入水货手机,同样推高了广东、浙江、江苏、北京等地的手机中毒比例。加之第三方应用市场、手机终端厂商等移动产业链集聚,经济能量大,手机用户众多,这些地区作为制毒者主要投毒目标并未改变。因此广东、北京、浙江等地手机中毒现象依然高企,不见降温的趋势。

      值得注意的是,在Android与Symbian系统,中部新兴发展省份成为了制毒者投毒的第二梯队目标省份,从东部沿海向中西部推进的病毒分布趋势都在继续延续。值得注意的是,在四川、河南、山东、辽宁等省份10月中毒手机比例均达到4%以上,对于制毒者与制毒机构而言,各种恶意扣费、隐私贩卖途径也加速向这些地区扩展。

      与此同时,山东、辽宁、江苏、四川等直辖市与省份是Symbian、Android手机中毒用户均集中分布的区域。原因在于,这些地区Symbian、Android用户均大规模存在,同样也处于换机大潮的核心区域。从Symbian转化到Android系统的新兴智能机用户增长速度较快,同时这些地区Symbian中老年忠实用户趋于稳定,而增长迅速的新兴手机用户安全意识还处于缺失状态,这两部分人群构成了这些地区手机中毒的重要群体。这些特征在辽宁省表现的尤为明显。

      而中西部欠发达地区虽然中毒用户数不多,但是手机中毒比例更大,这些地区的新兴用户在厂商内置电子市场下载软件的比例较大,许多水货手机厂商基于利益的需要,使得许多缺乏安全检测能力的内置电子市场也充斥其中,致使手机中毒用户多是来源于这一渠道。目前,中西部地区的手机中毒现象也引起了手机安全行业的的强烈关注。

 

      图3:2012年10月前15名手机病毒主要分布区域(数据来源:腾讯移动安全实验室)

 

      五、病毒渠道来源分析:

 

      在10月的病毒来源渠道分布中,电子市场与手机论坛分别占据24%与23%的比例,两者均呈现缓慢的下降趋势。目前而言,第三方应用市场对软件包的“数字签名”的审查机制有所缺失,其审核专业化程度均无法跟进制毒者伪装知名软件的技术手段的提升速度,但另一方面,腾讯官方正版联盟的扩展,针对正版软件的识别上的积极效应正在彰显,致使电子市场的山寨软件得到了一定程度的遏制。

      随着Android水货手机的水涨船高,造成了各种内置软件的泛滥。各种“五花八门”的软件往往潜藏着大量恶意软件,这些软件不经意的点击会造成扣费类病毒通过GPRS或拨打声讯台等方式连接SP服务商,各个端口的SP扣费现象因此而产生,而山寨软件的泛滥也促使Rom内置病毒渐成上升趋势,加之水货市场内置各种恶意软件或病毒的现象进一步抬头, ROM内置渠道增长明显,达到9%,同比增长2%。

      手机论坛是山寨软件的另一个重要来源渠道。论坛中的各种新奇创意软件促使很多智能手机控蜂拥而至,论坛的高人气对于制毒者而言成为重要商机,各种山寨软件也得以鱼目混珠大肆捆绑传播。手机论坛缺乏病毒检测技术与手段由来已久,制毒者二次打包与植入恶意代码的手段却越来越高明,该渠道的病毒发展趋势已渐成最大隐患,并有逐步压过电子市场成为最大的传播渠道的势头。与此同时,各大论坛的资源分享越活跃,手机病毒的网盘传播就越有其有利的生存土壤。网盘捆绑论坛提供下载链接的传播方式已被制毒者广泛利用并进一步推进。

      软件捆绑渠道依然是主要的病毒来源渠道之一,达到15%。随着制毒者与制毒机构的病毒攻击技术手段快速提升,通过将一个病毒多次打包捆绑海量应用程序,快速发布批量复制的病毒传播方式已被制毒者迅速采用并进一步运用,这种技术可以顺利绕过检测机制与技术并不完善的各大应用市场。

      值得一提的是,随着二维码的火爆与流行,制毒者与制毒机构利用该渠道内置恶意链接或网址盗取网银资金、恶意扣费、消耗流量等现象已开始初露端倪,并已占据了5%的比例,手机安全行业也开始针对二维码中毒现象向广大手机用户进行集体预警。

图4:2012年10月手机病毒主要传播渠道来源比例

 

      1. 电子市场:病毒企图绕开电子市场的安全检测系统在审核上线之前被截获、又或者是通过一些没有接入安全检测的电子市场进行传播,占24%;

      2. 手机论坛:通过上传论坛附件或提供下载网络硬盘下载地址方式,占23%;

      3. 手机资源站:热门软件尤其是游戏软件经常包含病毒或者远程下载,占16%;

      4. 软件捆绑:通过录入或开设手机下载WEB/WAP资源站点,提供直接的软件下载地址,占15%;

      5. ROM系统内置:rom制作者因为利益的驱动在rom里预装病毒软件,占9%;

      6. 网盘传播:通过网盘捆绑手机论坛提供下载链接;占8%;

      7. 微博、二维码:通过微博附带下载地址链接或者二维码恶意网址链接,占5%;

 

      六、专家支招规避手机病毒的方法

 

      随着山寨软件的激增,手机病毒传播方式已变得更加多样化。用户最好不从来历不明的渠道购买手机,尤其是山寨机和水货手机。应谨慎选择正规的刷机渠道刷机,以防ROM内置感染。用户应该选择知名的具备安全检测的电子市场下载软件,杜绝山寨软件进入手机,以免对手机安全构成威胁。目前腾讯手机管家游戏软件中心、PC版等应用市场均对正版软件进行了官方正版认证,随着手机支付的正逐步增长,腾讯手机管家PC版、应用宝、海纳搜索等腾讯移动应用平台也针对支付类软件包进行了官方认证,确保下载官方正版的手机银行客户端。

      目前在Android平台恶意扣费类手机病毒泛滥加剧,许多恶意扣费类病毒私自在后台发送扣费短信,定制SP业务并自动屏蔽运营商确认短信,让用户无声无息被扣费。用户对于话费会无故减少,流量突然增加,收不到10086等运营商短信等异常现象应该保持一定的敏感度,应下载如腾讯手机管家一类的手机安全软件开启防御功能,升级最新病毒库并定期给手机进行体检和病毒查杀,确保话费不被无声吸走。

      2012年10月份以来,资费消耗、伪装类与隐私窃取类病毒进一步多元化。基于此,手机用户应留意安装软件的权限,比如用户通过腾讯手机管家等相关安全软件的功能操作禁止某些软件的联网与访问隐私的权限。

      这个月二维码中毒情况也开始逐步增长,手机用户对于一些网站上来路不明的二维码应该引起警惕,应该选择那些具备恶意网址拦截的手机安全软件进行查杀与拦截。

      目前而言,用户下载手机安全软件抵御手机病毒入侵是最直接与方便的病毒防护策略。与此同时,手机用户还可以关注@腾讯移动安全实验室、@腾讯手机管家的微博以及相关的“恶意软件曝光”行动,全面关注手机安全资讯,掌控移动互联网的手机安全趋势。

 

      腾讯手机管家官方网站:http://msm.qq.com

      腾讯手机管家腾讯微博:http://t.qq.com/qqsecure

      腾讯手机管家新浪微博:http://weibo.com/qqmanager

      腾讯移动安全实验室官方微博:http://t.qq.com/QQSecurityLab

 

 腾讯移动安全实验室

2012年11月14日