首页安全播报安全快讯 › 腾讯移动安全实验室2012年11月手机安全报告

腾讯移动安全实验室2012年11月手机安全报告

2012-12-17

  2012年11月,基于腾讯手机管家安全产品服务的腾讯移动安全实验室一共截获18899个病毒软件包,其中Android平台截获17695个,占据病毒总数93% 的比例;Symbian平台则截获1204个。

  Android平台目前已经彻底成为病毒肆虐的主战场。这个月来,Android病毒发展的态势迅猛,热门病毒一波接一波接连袭击,层出不穷,从11月1日开始,与美国飓风同步的“隐私飓风”病毒开始在手机端掀起了风暴,35万人中招。与此同时,“江南style”继续延续热度,《江南style女屌丝版》、《元芳你怎么看江南style》等模仿搞笑视频等被恶意入侵。

  随着十八大的召开,制毒者也开始紧盯手机新闻客户端。据腾讯移动安全实验室检测,许多市场上的非官方凤凰新闻、搜狐新闻被Android病毒打包,造成各种话费暗扣与流量消耗。短信欺诈类病毒在11月份迎来大爆发,腾讯手机管家于11月中旬查杀并曝光了550款短信欺诈类病毒,之后查杀了包括“摇摆少女”200款软件,共有750款软件被短信欺诈类病毒所感染,用户因此蒙受了巨额的经济损失,引发了行业的强烈关注。

  这个月来,制毒者紧盯热门软件的趋势正在加强。继愤怒的小鸟、Cut the rope、鳄鱼爱洗澡相继被病毒感染之后,植物大战僵尸也难逃被病毒恶意感染的命运,与此同时,火爆K歌软件唱吧也被Android病毒以二次打包的形式将恶意代码注入,大量用户被感染。

  随着刷机用户越来越多,手机病毒潜伏在刷机渠道感染手机用户的情况正持续恶化,ROM中毒的用户也日渐增多,11月份,腾讯手机管家已检测出Android感染用户最多的十大ROM内置病毒,并倡导整个产业链对ROM内置病毒与刷机安全的关注与协防。

  11月,制毒者或制毒机构更善于利用电子商店、手机论坛下载渠道机制的薄弱点进攻,以及利用二维码、微博链接等方式隐蔽传播,增大了用户“中招”的机率。

  与此同时,各种扣费类病毒利用二维码、内置ROM等渠道疯狂吸金,2012年11月,腾讯手机管家检测出来并公布的2012年十大Android高危病毒中,恶意扣费类病毒就占据了2款。

  Symbian平台衰落趋势依旧明显,目前腾讯手机管家截获的Symbian病毒数所占据的总份额依然偏低,呈现出来比较缓慢与平稳的环比下降趋势,但由于病毒的攻击性与多元化加强,目前依然需要持续关注。

 

  一、Android系统平台病毒特点

 

  1.1主要特点

 

  在Android平台,11月截获的病毒包数达到17695个。资费消耗类病毒占据39%的比例,相比上月下降10%。隐私窃取类病毒与诱骗欺诈类病毒分别占据23%与15%,与上月相比,隐私窃取类病毒环比上升18%。流氓行为类病毒达到史无前例的15%,远程控制与恶意扣费分别为7%与1%。

  这个月来,Android短信欺诈类病毒来势迅猛,“短信欺诈”类病毒不断变种卷土重来成为Android平台一个重要特征。Android平台手机用户深受其害。

  短信欺诈类病毒在这个月呈现出非常多元化的特征,总体上以隐私窃取与诱骗欺诈类病毒为主,制毒者利用“短信欺诈”漏洞诱骗用户安装,伪造某些朋友或机构组织或服务的号码向用户发送欺诈内容诱骗用户造成资费、话费消耗或者账号网银密码泄露,并大肆窃取电话号码、联系人、短信、通信记录、地理位置、各种账号密码上传到远端服务器而造成用户强隐私的泄露。因此这个月短信欺诈类病毒往往同时带有隐私窃取、诱骗欺诈、资费消耗的特征,危害性极大。

  资费消耗类病毒非常普遍,该类病毒往往会私自联网下载软件、甚至在未经用户允许的情况下,私自发送、拦截指定号码短信,给用户造成资费消耗和并且造成恶意扣费的风险。

  远程控制类病毒进一步发展,这类病毒通过通过自动化云端指令化,智能拦截指定内容短信,接收远程短信指令,发送用户地理位置信息、联系人信息,远程控制用户手机录音,或从远程服务器自动下载恶意脚本代码等行为消耗用户流量。远程控制类病毒同时带有隐私窃取、流量消耗的特征。

  从11月份病毒特征可以看出:由于短信欺诈类病毒大规模爆发,使得手机病毒可以同时具备流量消耗、隐私窃取、诱骗欺诈、恶意扣费、远程控制等多种病毒行为。病毒行为多元化与智能化大大加强,更加大了监控与定性的难度。

图1:2012年11月Android病毒类型分布图

 

  1.2典型病毒

  以下是2012年11月在Android平台发现的一些较为典型的病毒:

  a.fraud.smishing

  该病毒可能会利用“短信欺诈”(Smishing)系统漏洞,伪造某些朋友、或机构组织、或服务的号码向您发送一些欺诈内容的短信,可能给您带来一定的损失。

  a.fraud.smishing.a

  该病毒安装后,读取手机固件信息,未经用户允许私自修改用户浏览器书签,存在流氓行为。

  a.fraud.superpush

  该病毒可能会利用安卓系统短信欺诈漏洞,通过伪造短信的手段诱骗用户造成损失。

  a.expense.dpn

  该病毒启动后私自联网下载软件,静默安装推广软件,可能会给您的手机安全造成一定威胁。

  a.privacy.lookoutsecure

  该病毒安装后无图标,开机强制启动,监听用户GPS地理位置信息、通话记录、短信收件箱,同时上传到远端服务器,给用户造成隐私泄露。

  a.fraud.superpush

  该病毒可能会利用安卓系统短信欺诈漏洞,通过伪造短信的手段诱骗用户造成损失。

  a.expense.softkey

  该病毒被安装后开机自启动,启动后会发送短信、监听短信信息、删除通话记录、破坏安全软件运行等危险行为,可能会给您的手机造成一定的威胁。

  a.payment.suntu

  该病毒安装后,启动无图标,未经用户允许私自发送、拦截指定号码短信,同时私自下载和静默安装的行为,给用户造成资费消耗和存在恶意扣费的风险。

  a.payment.blackmarket

  该病毒启动后私自发送扣费短信,并具有删除短信、拦截短信等危险行为,可能会给您的手机造成一定的威胁。

  a.payment.bingo

  该病毒安装后,开机强制启动,后台定时发送恶意扣费短信,同时拦截指定内容短信,存在恶意扣费的行为。

  a.privacy.iceman

  该病毒安装后,接收远程短信指令,发送用户地理位置信息、联系人信息,远程控制用户手机录音,给用户造成隐私泄露和存在流氓行为。

 

  二、Symbian系统平台病毒特点

 

  2.1主要特点

 

  Symbian 系统一直处于衰落状态,病毒发展特征较为平稳与缓慢,在11月份,腾讯移动安全实验室截获的病毒包数为1204个。其中资费消耗类病毒占据30%的比例,位居第一。其次是系统破坏与诱骗欺诈类病毒,分别占比为26%与17%。隐私获取类病毒与恶意扣费类病毒占比18%与9%;诱骗安装、私自联网、消耗流量同时私发短信私自关闭手机中安全软件进程成为Symbian病毒这个月的明显特征,资费消耗类病毒上升趋势明显,但总体而言,与上个月病毒特征变化不大。

  在Symbian平台,整体发展趋势虽然处于持续衰落之中,但与此同时,系统破坏类病毒与隐私窃取类病毒也在持续增长之中,系统破坏类病毒呈现出了强烈的破坏性:破坏系统程序组件与占用手机内存、破坏手机安全软件成为Symbian系统破坏类病毒比较明显的特征。隐私窃取类病毒进一步发展,攫取用户照片、通讯录联系人等强隐私的情况一直存在并且在持续增长之中。

  资费消耗类病毒依然是Symbian系统占比重最大的病毒类型。制毒者或制毒机构逐利而行的惯性驱使Symbian系统的病毒投放虽然降低,但针对Symbian用户最大限度的攫取利润的投毒行为还在持续之中。

图2:2012年11月Symbian病毒类型分布图

 

  2.2典型病毒

  以下是2012年11月在Symbian平台发现的一些较为典型的病毒:

  s.expense.sysinbestsafe

  该病毒安装后开机自启,无法完全退出,占用手机内存,可能使手机或者软件无法使用;且在没有提示联网的情况下自动联接网络,消耗流量,给用户带来一定的经济损失;同时该病毒静默安装几款恶意插件,可能给用户手机带来一定的安全威胁。

  s.expense.messagepatch.b

  该病毒以“智能短信补丁”为名,诱导用户下载安装,启动后无提示强制联网,消耗用户手机一定上网流量;同时,病毒会私自关闭手机中安全软件进程,使手机可能遭受其他病毒的进一步攻击,给用户手机带来严重安全隐患。

  s.expense.screenservice

  该病毒安装后无启动图标,并且开机自启,占用手机内存,给用户正常使用带来一定影响;同时该病毒还尝试终止安全类应用进程,给用户手机带来安全威胁。

 

  三、11月重点关注病毒: a.expense.dpn(感染“唱吧”)

 

  《中国好声音》成为2012年最火的一档娱乐节目,随着《中国好声音》的火爆,手机App“唱吧”也跟着走红。“唱吧”的火爆也被病毒盯上。在11月,腾讯移动安全实验室监测到,一款名为a.expense.dpn的Android病毒已经感染了唱吧App。该病毒一旦激活后,会在后台偷偷联网下载软件并静默安装其他恶意软件,消耗用户的手机流量。激活后静默下载安装其他应用,同时感染用户规模庞大,在手机论坛等处疯狂传播。据不完全统计,目前该病毒已经感染了近5万Android手机用户。 

  目前,感染了该病毒的“唱吧”软件正散布在各个渠道供用户下载。因此专家建议用户,不要轻易从论坛下载应用。应该从唱吧官网或是具有安全检测机制的电子市场进行下载,比如,应用宝、腾讯手机管家“软件游戏”等。

 

  四、手机病毒区域分布

 

  手机中毒省份分布态势沿东南发达省份与城市密集分布的态势一直持续。广东省在Android与Symbian两个平台,中毒手机用户排名再次均为第一,比例分别为16.29%与10.17%;Android中毒手机用户达4%以上的有7个省份,排名依次为:广东(16.29%)、浙江(6.76%)、江苏(6.50%)、北京(6.09%)、四川(5.16%)、辽宁(4.82%)、福建(4.41%).在Symbian,中毒手机用户达5%以上有六个省份,排名依次为:广东(10.17%)、辽宁(6.74%)、四川(6.52%)、河南(6.17%)、山东(5.92%)、重庆(5.35%)。可以看出,辽宁、四川两省份的Symbian中毒比例增长迅猛,分别占据第二与第三位。中西部新兴发展省份与直辖市的手机中毒比例正在逐步扩大,病毒感染区域开始呈现多元化的发展趋势。

  广东、浙江、江苏、北京、辽宁等省份或直辖市依然是手机用户中毒高发区,这些地区的移动终端市场发达,是山寨手机与水货手机的集中生产销售的来源地与集聚地。而部分水货商、移动广告商、恶意软件厂商、制毒者之间的黑色利益联盟关系正在进一步加强,推高了预装恶意软件的数量与规模,同时推高了广东、浙江、江苏、北京等地的手机中毒比例。与此同时,在北京、广东、浙江等发达省份与直辖市,刷二维码开始流行,相对中部省份,这些地区二维码更为普及与受欢迎程度更高,二维码中毒在发达地区的中毒人数迅速上升。

  而广东、浙江、江苏地区的第三方线上应用市场、手机论坛区域用户庞大,因此这些地区的线上线下的活跃手机用户众多,制毒者可以通过各种渠道收集用户信息定向投毒。这些经济发达地区的手机中毒现象正在持续走高。

  与此同时,中部、西部的新兴发展省份的中毒手机用户也在迅速增长,在Android与Symbian系统,辽宁、四川两省中毒手机用户占比十分突出,原因在于,而这些地区的新增用户多,Symbian、Android用户均大规模存在,处于换机大潮的核心区域。从Symbian转化到Android系统的新兴智能机用户增长速度较快,但手机安全意识不强,水货手机、山寨手机也进一步向这些地区流通,刷机业务也在这些地区进一步扩散,与此同时,这些区域的用户在厂商内置电子市场软件的比重较大,许多水货手机厂商基于利益的需要,使得许多缺乏安全检测能力的内置电子市场也充斥其中,致使手机中毒用户比例迅速上升。

  中毒手机用户的分布区域也开始显得更加多元化,在Symbian系统,这一点体现的非常明显,辽宁省与四川省、河南、山东分别位居二、三、四、五位,辽宁、四川两者中毒手机之和第一次超过广东省,在Symbian系统,中西部新兴发展省份中毒手机或直辖市首次呈现超过东南沿海的局势,Symbian制毒者与制毒机构在这些新兴发展省份或直辖市的病毒投放与布局正在进一步加速。

  图3:2012年11月前15名手机病毒主要分布区域(数据来源:腾讯移动安全实验室)

 

  五、病毒渠道来源分析:

 

  在11月的病毒来源渠道分布中,电子市场与手机论坛分别占据23%与22%的比例,这两个渠道,与上月相比分别下降了1个百分点。

  应用市场、手机论坛依然是主要病毒来源,在目前,很多应用市场审核机制并不完善,许多电子市场还具有一定的网友上传、论坛内搜索的功能,这无疑大大增强了病毒入侵的几率与用户中招的可能性。

  另外,在线上的电子市场、手机论坛由于审核机制的安全性缺失,制毒者通过二次打包热门软件可轻易绕过数字签名的审核机制,加之,目前制毒者或制毒机构的伪装隐藏技术越来越强,各种云端控制指令与技术已经快速提升,危害性大大加强,同时,病毒渠道传播多样化已经是大势所趋,而针对病毒感染的多端防控对手机安全行业的要求也越来越高。

  扣费类病毒的猖獗,使得手机病毒来源渠道在线上线下均呈现出很强的活跃局面。在线下,目前水货商基于自己的商业目的,内置各种恶意软件或病毒,收集用户隐私,用于定向投放广告、推广软件等,恶意软件厂商也通过刷机灰色产业链将自家软件刷入水货手机。水货手机、山寨手机泛滥推动这内置ROM病毒的水涨船高,也为盗版山寨应用潜入各种渠道提供了便利。ROM内置渠道增长明显,达到10%,同比增长1%。

  但另一方面,腾讯官方正版联盟进一步扩展,山寨软件识别与查杀功能正在逐步优化,电子市场方面正不断加入正版安全联盟,山寨软件在一定程度上被遏制。

  手机论坛是山寨、盗版软件的集散地,极易滋生恶意软件。加之目前恶意软件的制作、传播门槛的很低,可以批量复制快速感染的特征,在短时间内可快速生成几百上千个伪装类病毒软件。这使得手机病毒的网盘传播与软件捆绑在手机论坛渠道传播更加容易,加之在手机论坛与电子市场宽松的审核机制下就越有其有利的生存土壤。网盘捆绑论坛提供下载链接的传播方式已被制毒者广泛利用并进一步推进,在11月份达到8%;软件捆绑渠道依然是主要的病毒来源渠道之一,达到15%。

  随着刷二维码的手机用户迅速增多,手机病毒传播进一步向二维码渠道与微博等链接渠道渗透与逼近,11月份,二维码与微博链接病毒传播比例为6%,环比增长1%。制毒者与制毒机构利用该渠道内置恶意链接或网址盗取网银资金、恶意扣费等现象已经进一步引起媒体与行业关注,不要见码就刷成为手机安全行业11月月度关键词之一。

  1. 电子市场:病毒企图绕开电子市场的安全检测系统在审核上线之前被截获、又或者是通过一些没有接入安全检测的电子市场进行传播,占23%;

  2. 手机论坛:通过上传论坛附件或提供下载网络硬盘下载地址方式,占22%;

  3. 手机资源站:热门软件尤其是游戏软件经常包含病毒或者远程下载,占16%;

  4. 软件捆绑:通过录入或开设手机下载WEB/WAP资源站点,提供直接的软件下载地址,占15%;

  5. ROM系统内置:rom制作者因为利益的驱动在rom里预装病毒软件,占10%;

  6. 网盘传播:通过网盘捆绑手机论坛提供下载链接;占8%;

  7. 微博、二维码:通过微博附带下载地址链接或者二维码恶意网址链接,占6%;

 

  六、专家支招规避手机病毒的方法

 

  二维码中毒已成为目前手机用户防护的盲区,用户中招比例越来越大。手机用户应该从正规渠道下载软件,对于不正规网站提供的二维码与街边单上的二维码,用户应该抱有警惕心理。随着二维码病毒的泛滥,手机潮人见码就刷染毒风险日益增大并引起了整个手机安全行业的关注与预警。手机用户应安装具备二维码恶意网址拦截的手机安全软件进行防护,并使用带有安全识别的二维码工具,可有效的将刷二维码染毒的风险降到最低。

  另一方面,由于许多水货手机在出货之前就已经内置了吸费类恶意软件等,手机用户选择正规卖场购买手机也显得尤为重要。另一方面,刷机的火爆,Rom内置渠道病毒风险增多,用户也应谨慎选择刷机操作与刷机软件。

  目前过度权限的问题已经被央视曝光,而隐私窃取类病毒渐渐引起广泛关注。各手机用户应多留意各软件的权限,一般来说,许多隐私权限的要求,腾讯手机管家都会弹窗提醒用户注意,若有莫名的敏感隐私权限要求,用户应及时拒绝,保护手机隐私。

  总体而言,腾讯移动安全实验室建议手机用户应安装如腾讯手机管家一类的手机安全软件,定期给手机进行体检和病毒查杀、及时更新病毒库,抵御手机病毒侵害自身利益。目前而言,用户还可以关注@腾讯移动安全实验室微博以及相关的“恶意软件曝光”行动,全面把控手机安全资讯,安享移动互联网生活。

 

腾讯手机管家官方网站:http://msm.qq.com

腾讯手机管家腾讯微博:http://t.qq.com/qqsecure

腾讯手机管家新浪微博:http://weibo.com/qqmanager

腾讯移动安全实验室官方微博:http://t.qq.com/QQSecurityLab

 

                                                  腾讯移动安全实验室

2012年12月12日

 

安全快讯 更多

Lipizzan间谍软件

Lipizzan间谍软件

2017-07-28
CopyCat肆虐全球

CopyCat肆虐全球

2017-07-07
腾讯手管详解勒索新手段

腾讯手管详解勒索新手段

2017-06-30

安全视频 更多

小管说安全(2)——红包炸弹

2017-07-24

小管说安全(1)——前任疑云

2017-05-23

腾讯手机管家协助佛山公安破获校讯通手机病毒大案

2016-07-19