首页安全播报安全快讯 › 腾讯移动安全实验室2012年第四季度手机安全报告

腾讯移动安全实验室2012年第四季度手机安全报告

2013-01-30

  第一章 2012年第四季度手机安全报告概述

  在2012年第四季度,手机安全形势更加严峻。在全年的病毒发展走势上,9月达到一个增长高峰之后,10月手机病毒增长稍有回落。在11月、12月再度呈现高速增长态势。

  在2012年第四季度,基于腾讯手机管家产品服务的腾讯移动安全实验室截获的病毒包软件总数为63935个,其中Android截获的病毒软件包为60221个,占病毒包总数超过94%。2012年第四季度,10、11、12三个月感染的手机中毒人次分别为4119862人次、5138043人次、5766122人次,手机病毒感染人次在12月的增长达到最高值。三个月感染的总用户总数为超过1500万人次,为2012年全年总用户数的43%。

  2012年第四季度,腾讯手机管家为用户查出病毒次数超过2324万人次, 其中,10、11、12月查杀的病毒次数分别为6305116人次、7963945人次、8976284人次。其中,12月查出病毒次数为全年最高值。

  2012年第四季度,手机病毒捆绑热门游戏打包传播愈演愈烈,众多热门游戏被病毒感染,2012年国庆期间,反恐CS精英、暗黑.龙骑士的崛起、特种部队2、大富翁吞天食地等系列熟悉的手机游戏被感染;10月中旬,腾讯手机管家查杀了Android病毒“毒胶囊”,该病毒的制作者把相关病毒程序、推广软件存放在Google code代码托管服务器中,借助稳定的Google code储存传播,病毒制作者至少获利数万元。

  随后,热门游戏“捣蛋猪”感染病毒,10万用户遭殃。在2012年10月22日,短信巫毒(又称短信僵尸)第三代变种a.rogue.smszombie.c大规模来袭,之后被腾讯手机管家截获,病毒感染了高达主题动态壁纸、火影忍者动态壁纸等。11月下旬,短信巫毒感染摇摆少女等550款软件。同月,14个病毒入侵植物大战僵尸,总共感染的安装包高达583个。人气飙升的唱吧也在第四季度被二次打包注入恶意代码,感染众多手机用户。

   恶意广告的骚扰在第四季度变得空前频繁,许多恶意广告开始试图获取手机用户隐私信息。另外,二维码中毒用户在2012年第四季度也在增长迅速,该渠道染毒的风险骤增。

  2012年第四季度,手机病毒感染的省份区域大致趋于稳定,以北上广以及经济辐射地区为主,并缓慢向中西部迁移。Symbian系统趋向衰落的总体趋势还在继续,制毒者或制毒机构也陆续将更多的精力和资源投入到Android平台当中。

 

  第二章 2012年第四季度各平台病毒类型发展分布

  2.1  Android平台病毒类型分布

  在2012年第四季度病毒类型占比中,与第三季度相比,资费消耗类病毒行为在第四季度大涨,占比47%;远程控制类行为占比16%;诱骗欺诈类病毒行为占比15%;流氓行为占比10%;隐私获取类病毒行为占比9%,恶意扣费占比2%。系统破坏占比分别为1%;

  在2012年第四季度,制毒者或制毒机构紧盯手机短信等用户隐私资源,进行非法作恶攫取利益。比如“短信群魔”可以从云端获取手机号码和短信内容,并群发垃圾短信消耗用户资费;“短信欺诈”类漏洞病毒,可以通过伪造短信的手段诱骗用户造成损失;“短信巫毒”可以插入恶意短信、具备私自发送和拦截短信的行为。而这种特征的出现,与制毒者或制毒机构的作恶能力与智能化入侵手段越来越强密切相关。

  在所有的病毒类型行为之中,几乎都包含“私自联网,消耗用户数据流量”的特征,这一特征的普遍性使得资费消耗类病毒大涨。与此同时,一个病毒或恶意软件往往集多种危害行为于一身的特征非常明显。手机病毒智能化与远程控制技术都极大提升,病毒制作者可以轻易接收远程短信指令,发送用户地理位置信息、联系人信息,远程控制用户手机录音,给用户造成隐私泄露和资费消耗。

  2.2  Symbian平台病毒类型分布

  在2012年第四季度,Symbian系统的病毒比例呈现了五种病毒类型相对均衡化的特征。资费消耗类病毒行为比例稍有降低,为27%;系统破坏类病毒行为占据26%的比例;诱骗欺诈类病毒行为占据19%,隐私获取类病毒行为占据18%的比例;恶意扣费类病毒行为占据10%。

  在Symbian系统,私自联网、消耗数据流量,破坏系统组件是手机病毒的基本特征,可以看出,Symbian系统与Android系统不一样的是,Symbian系统的系统破坏类病毒行为占据了比例达到了26%,几乎与资费消耗类行为持平。另一方面,手机病毒试图破坏手机中的安全杀毒软件成为非常明显的特征。Symbian手机病毒往往会通过影响系统与手机安全软件的性能,进而达到非法攫取用户资费和数据流量的目的。

  另一方面,Symbian系统的恶意扣费类病毒与隐私窃取类病毒发展迅速,许多Symbian病毒也同时包含隐私窃取与恶意吸费的双重特征与病毒行为。这类病毒往往在激活后向某个号码发送短信,泄露用户信息,订购高额SP收费业务。但无论如何,随着Symbian的持续衰落,Symbian正在逐渐退出历史的舞台,因此,Symbian系统手机病毒在2013年持续下降的趋势将不可避免。

 

 

  第三章  2012年第四季度手机安全发展特点

  攻击盗取网银类病毒进一步抬头

  今年下半年以来,“短信巫毒”(又称短信僵尸)大规模爆发之后,超过百万用户被感染,到了第四季度,该病毒改头换面,呈现多个变种,比如感染“摇摆少女”等200多款壁纸软件的短信巫毒变种,让宅男难抵诱惑,病毒继而利用恶意欺诈漏洞冒充亲友、熟人等可信任的信息来源来发送诈骗短信,让用户难以分辨,掉入短信欺诈的陷阱。

  短信巫毒变种进一步猖狂盗取用户网银账号,手机支付的安全性进一步遭遇挑战。2012年12月,新宙斯木马病毒在国外盗取479万网银资金,腾讯手机管家独家查杀该病毒后及时向广大用户预警,让更多用户提早防范,避免经济损失。

  谷歌“短信欺诈”漏洞也在2012年大规模爆发,该漏洞病毒代码一旦被内置到正常游戏、工具类软件中提供给用户下载,就可以伺机利用“短信欺诈”漏洞向用户发送欺诈短信骗钱。截至2012年12月,腾讯手机管家共截获了750多款“短信欺诈”漏洞病毒。随着手机支付类应用与手机银行客户端的普及,攻击盗取网银类病毒正在进一步涌现。

  Rom内置病毒在第四季度凶猛来袭

  据腾讯移动安全实验室监测,随着刷机需求的增长与高利润的驱使下,Android刷机市场的恶意刷机包也与日俱增。2012年第四季度,腾讯手机管家公布了Android十大ROM病毒,在这十大ROM病毒中,排名前三的ROM内置病毒a.expense.cc、a.payment.kituri.a、a.remote.i22hk感染的软件多是捆绑在拥有忠实用户较多的第三方知名应用中,比如安卓应用、易购、绿豆神器、安卓软件架、赶集生活等。而ROM内置渠道感染“隐私飓风”病毒的用户数高达48355人。该病毒还感染了3417款软件,包括了游戏宝库、超级星座运势、 魔兽大富翁等热门软件。ROM内置病毒在第四季度的增长趋势非常明显。

  病毒伪装能力加强  入侵渠道多样化

  随着二维码的大热,针对二维码渠道传播的病毒越来越来,腾讯移动安全实验室监测到,7月~12月腾讯手机管家共为灵动快拍检测网址达956万条以上,拦截恶意网址达20.6万条。

  在2012年以来,二维码常规的病毒传播方式是,病毒通常内置在二维码APK 应用下载链接或者是网址链接中,一旦用户扫描这些携带病毒的二维码,就会跳转到恶意钓鱼网站或者下载到手机病毒,用户被骗取话费或流量。2012年12月底,腾讯手机管家截获一款名为“扫码巫毒”的Android二维码病毒,该病毒开始盯上了二维码源头—二维码生成器进行传播,用户手机一旦被感染,就会自动联网下载软件,并静默安装软件,无法终止,消耗手机流量。

  2012年12月,腾讯手机管家还截获一款短信群魔 (a.expense.KRKakePK)病毒,该病毒伪装成Google Play,激活后会从远端接收指令并群发短信,甚至可能导致DDOS攻击行为,让用户手机瘫痪。另外,有2000多万用户的植物大战僵尸感染病毒高达14种,成为多个病毒伪装的目标。

  从以上病毒行为看出,第四季度,恶意软件或手机病毒伪装能力越来越强。热门游戏或应用成为制毒者或制毒机构二次打包植入恶意代码的目标。二维码的流行使得二维码成为一个新的病毒传播渠道,引起外界的关注也越来越多。制毒者也改变了传播策略,扫码巫毒盯上二维码生成器传播也意味着二维码病毒正在转变传播与入侵方式,二维码的危险指数正在进一步上升。

  盈利需求催生恶意广告暴涨

  随着移动开发者越来越多,寻求急切而快速的盈利之道成为开发者最为迫切的心理。但目前移动互联网的盈利模式依然不明朗的局势下,手机内置恶意广告与通知栏弹窗广告成为他们普遍的选择,因此在2012年第四季度,恶意广告大涨。

  与此同时,许多恶意软件内置的恶意广告代码开始获取跟踪用户位置信息、窃取用户手机联系人信息等隐私信息,危害极大。央视《经济信息联播》节目在2012年11月28日播出节目“智能手机广告存隐忧”,揭秘手机广告行业黑幕,并指出73%的恶意广告会试图获取用户地理位置信息,47%的恶意广告会获取用户手机号。腾讯手机管家上线恶意广告拦截功能之后,截至2012年12月,腾讯手机管家检测出含恶意广告的软件包共467026个,占已发现所有软件包比例的13.31%。 因此,相关监管部门亟需加大对手机广告行业的监管与规范,手机用户的利益也亟待相关法律细则的保护。

 

  第四章  2012年第四季度手机病毒传播渠道

 

  2012年第四季度,电子市场与手机论坛成为最大的两个病毒来源渠道,分别达到24%与23%。2012年,国内主流电子市场纷纷接入手机安全厂商的安全检测接口,使得恶意软件安全检测的专业性得到提升,但另一方面,许多水货手机内置的缺乏安全检测的中小型电子市场成为制毒者投放病毒或恶意软件的突破口,内置中小型电子市场的病毒感染比例依然居高不下。因此占据24%的病毒比例来源的电子市场依然是最大的传播渠道。

  2012年,手机论坛提供的游戏生活等各种下载资源都已经极大丰富。手机论坛无论从更新率到排行榜单都是瞬息万变,而在论坛,各种色情与诱惑性的壁纸或美女游戏类题材更容易吸引眼球,而这类APK包往往包含极大风险,手机论坛各种游戏的汉化版也推动了山寨恶意软件在论坛的繁荣,许多经过二次打包过的游戏与美女类应用内含恶意代码,窃取用户隐私或消耗流量,推高了论坛感染恶意软件或手机病毒的比例,同时也使得论坛网盘传播感染病毒的比例增大,在第四季度,网盘传播比例达到11%。手机资源站达到13%。

  2012年第四季度,截至目前,手机病毒捆绑热门游戏或病毒打包的趋势越来越明显,国内知名的热门游戏几乎都曾被二次打包,植入病毒,软件捆绑比例达到了15%。

  水货手机也推动了刷机产业的繁荣,也使得各种预装与内置的恶意软件水涨船高,Rom内置渠道病毒来源比重逐渐上升,第四季度占据了9%的比例。2012年,由于二维码率先在北上广等经济发达地区快速流行,二维码传播渠道正呈现继续上升的趋势,在第四季度,达到了5%的比例。

 

  2012年第四季度各渠道来源占比:

  1.电子市场:病毒企图绕开电子市场的安全检测系统在审核上线之前被截获、又或者是通过一些没有接入安全检测的电子市场进行传播,占24%;

  2.手机论坛:通过上传论坛附件或提供下载网络硬盘下载地址方式,占23%;

  3.软件捆绑:通过录入或开设手机下载WEB/WAP资源站点,提供直接的软件下载地址,占15%;

  4.手机资源站:热门软件尤其是游戏软件经常包含病毒或者远程下载,占13%;

  5.网盘传播:通过网盘捆绑手机论坛提供下载链接,占11%的比例。

  6.ROM系统内置:rom制作者因为利益的驱动在ROM里预装病毒软件,占9%;

  7.二维码网址链接等新兴渠道,占5%。

  第五章  2012年第四季度手机病毒省份区域分布

 

  在2012年第四季度的Andoid系统平台,全国排名前10的手机中毒省份与各省占据全国的中毒比例依次分别为广东(16.08%)、江苏(7.11%)、浙江(6.94%)、北京(6.06%)、四川(5.03%)、辽宁(4.91%)、福建(4.65%)、河南(3.69%)、湖北(3.31%)、广西(3.20%)。

  广东中毒用户比例达到16.4%,位居全国第一,继续领衔“地区毒王”,江苏、浙江位居第二和第三。江浙两省的比例接近14%。北京达到6.06%,位居第四。由区域省份病毒比例可以知道,广东省、江浙地区、北京市三大经济发达地区手机病毒最为集中。手机病毒逐利而居的倾向性越来越明显。在广东、江浙、北京等地区,电子产品繁荣,伴随着智能机市场的浪潮,也成为国内主要的水货手机市场的集散地。在广东省、热门机型的水货量高出行货近2、3倍,这推动刷机产业和各种软件与内置手机电子商店的预装量直线上升,在这些地区、恶意软件预装商、中小型内置电子市场、地下刷机产业、部分水货手机等黑色产业链已经形成,因此也使得北上广经济辐射地区成为恶意软件的高发区。

  2012年第四季度,四川、辽宁的中毒比例依旧抢眼,位居第五和第六。手机病毒向北挺近东三省、向中部挺进湖北、河南,向西部入侵四川等经济快速发展地区的趋势越来越明显。

  在Symbian系统,广东中毒手机比例达到9.88%,位居第一。排名前十的Symbian省份与中毒用户比例分别为:广东(9.88%)、四川(6.62%)、辽宁(6.23%)、河南(6.18%)、北京(5.60%)、山东(5.51%)、浙江(5.48%)、重庆市(5.00%)、江苏(4.86%)。

  在Symbian系统,四川与辽宁中毒手机用户进入全国前三。浙江、江苏的中毒手机用户跌落到第八和第十。据腾讯移动安全实验室分析,随着Symbian系统的衰落,经济发达地区从Symbian转移到Android与iOS系统平台的越来越多,中西部经济发达地区Android新增用户增长迅速,但Symbian用户群也相对稳定,制毒者针对Symbian系统聚集区域定向投毒的目的性非常明确。腾讯移动安全实验室预测,随着Symbian系统的进一步淡出历史舞台,未来Symbian系统病毒针对省份感染区域将进一步向中西部转移。

 

  第六章:2012年第四季度主要病毒列表

  6.1  Android第四季度主要病毒列表

  a.privacy.lookoutsecure

  该病毒安装后无图标,开机强制启动,监听用户GPS地理位置信息、通话记录、短信收件箱,同时上传到远端服务器,给用户造成隐私泄露。

  a.expense.dpn

  该病毒启动后私自联网下载软件,静默安装推广软件,可能会给您的手机安全造成一定威胁。

  a.fraud.smishing.[短信欺诈]

  该病毒可能会利用“短信欺诈”(Smishing)系统漏洞,伪造某些朋友、或机构组织、或服务的号码向您发送一些欺诈内容的短信,可能给您带来一定的损失。

 

  a.expense.softkey

  该病毒被安装后开机自启动,启动后会发送短信、监听短信信息、删除通话记录、破坏安全软件运行等危险行为,可能会给您的手机造成一定的威胁。

  a.payment.ZitMo.[宙斯木马]

  该病毒安装激活后,重启无图标,自动发送短信并拦截指定内容短信,用来设置偷盗短信号码,手机短信会自动转发到该设置的恶意号码,可能会网银安全造成威胁

  a.privacy.smsspy.a.[短信间谍]

  该病毒安装后无图标,开机自动启动,启动后会发送扣费短信,并同时会删除短信信息和获取用户GPS位置,给用户的财产安全和个人隐私造成威胁。

  a.privacy.mailx.b.[古哥]

  该病毒是一款间谍软件,安装后无启动图标,并在后台自动启动程序,读取用户短信信息、通话记录和QQ聊天记录等信息,通过邮件的形式发送到指定邮箱,严重泄露用户的隐私信息。

  a.spread.l0rdzs0ldierz.[欺诈僵尸]

  该病毒安装后,开机强制启动,私自联网获取大量未知手机号码和恶意短信内容,未经用户允许大量转发恶意短信内容到未知手机号码,造成资费消耗和恶意传播。

  a.expense.KRKakePK.[短信群魔]

  该病毒启动后从云端获取手机号码和短信内容,并群发垃圾短信,消耗用户的资费。

  a.expense.aiplay.[扫码巫毒]

  该病毒安装后自动联网下载软件,并静默安装下载的软件,可能会您的手机安全造成一定的威胁。

  a.fraud.superpush

  该病毒可能会利用安卓系统短信欺诈漏洞,通过伪造短信的手段诱骗用户造成损失。

  a.privacy.iceman

  该病毒安装后,接收远程短信指令,发送用户地理位置信息、联系人信息,远程控制用户手机录音,给用户造成隐私泄露和存在流氓行为。

  6.2  Symbian系统第四季度典型病毒

  s.payment.serviceplugin.a

  该病毒常伪装成手机系统组件诱导用户下载安装,安装后没有启动图标,无提示强制联网,消耗用户数据流量;一旦激活会向某个号码发送短信,不但可能泄露用户信息,更可能订购高额SP收费业务,给用户带来一定的经济损失;同时,占用大量系统资源,有可能影响手机和其他软件的正常运行。

  s.expense. systemplugin.c

  该病毒常捆绑在其他应用中,无启动图标,自启后私自联网,消耗用户数据流量;无法手动卸载,占用大量系统资源,可能影响手机和其他软件的正常使用。

  s.expense.dietmanag.a

  该病毒安装后无任何图标生成,自激活后无提示私自联网下载其他恶意插件,消耗用户数据流量;无法手动删除,占用大量系统资源,严重影响手机和其他软件的正常运行;同时,还试图终止某些安全杀毒类软件进程,可能威胁到用户手机安全。

 

  第七章  2012年第四季度重点关注病毒:欺诈僵尸网络

  2012年12月,美国主要网络出现了新型的Android欺诈僵尸网络。12月18日,腾讯移动安全实验室在国内也率先截获了造成欺诈僵尸网络的始作俑者——Android病毒a.spread.l0rdzs0ldierz。欺诈僵尸网络的的传播非常智能化,据腾讯移动安全工程师分析,该病毒激活后,会联网到云端获取大量的手机号码和短信内容并偷偷转发,在用户不知道的情况下发送上千条欺骗短信,消耗手机大量资费,一旦中了该Android病毒,手机用户不仅会收到了其他感染手机发来的恶意短信,还会成为传播源,发布大量的恶意短信。病毒会在这种裂变传播效应中快速扩散传播范围与人群。由于欺诈僵尸网络传播感染非常智能化,手机用户也在一环扣一环的感染中成为黑客手中的肉鸡.该病毒在2012年第四季度引起了广泛的公众关注。

 

  第八章  规避手机病毒的方法

  随着手机安全形势越来越严峻,手机用户养成良好的手机使用习惯非常重要,移动安全实验室专家建议对手机用户做出如下建议。

  1.从正规的渠道购买手机,对于千元智能机内置的大量不知名应用应该谨慎打开。随着Rom内置渠道病毒风险增多,新买的手机应该及时下载手机安全软件,获取Root权限,及时查杀最新流行病毒。

  2.不要见码就刷。二维码的火爆,使得该渠道成为一个新兴的病毒来源。临近春节,各种刷二维码获得优惠折扣劵等活动高涨,手机用户最好安装具备二维码恶意网址拦截的手机安全软件进行防护,并使用带有安全识别的二维码工具,降低刷二维码染毒的风险。

  3.刷机的火爆,使得病毒制作者盯上了该渠道,手机用户应谨慎选择正规的刷机渠道刷机,以防ROM内置感染。

  4.不要点击收到的不明短信链接。黑客往往会通过恶意网址的链接,骗取用户点击,跳转到钓鱼网址,套取用户网银账号与密码等信息,直接造成用户的财产等经济利益损失。为避免遭受钓鱼网址等风险,手机用户可以安装腾讯手机管家开启恶意网址检测,避免钓鱼网址的攻击欺诈。

  5.从正规安全的渠道下载应用。最好从知名正规的电子市场、官方网站下载应用软件。比如,腾讯手机管家PC版、应用宝等,这些应用均经过腾讯手机管家的安全检测,可确保下载安全。与此同时,应用商店、手机论坛等依然是手机病毒传播的主要渠道,对于论坛网盘分享的诱惑性的情色软件应持谨慎态度;论坛下载软件之前,应通过手机安全软件进行有效的在线检测与查杀扫描,规避风险。应下载如腾讯手机管家一类的手机安全软件开启防御功能,升级最新病毒库并定期给手机进行体检和病毒查杀,以保证对新型流行病毒的查杀,确保手机安全。

  目前而言,用户还可以关注@腾讯移动安全实验室、@腾讯手机管家的官方微博以及相关的“恶意软件曝光”行动,对手机安全资讯做到全面把握和掌控,安享移动互联网生活。

安全快讯 更多

蓝牙协议爆严重安全漏洞

蓝牙协议爆严重安全漏洞

2017-09-13
首个Android DDoS恶意程序

首个Android DDoS恶意程序

2017-08-29
勒索病毒生成工具横行

勒索病毒生成工具横行

2017-08-16

安全视频 更多

腾讯手机管家产品经理笑唱安全报告

2017-08-16

腾讯手机管家微信小程序可一键识别诈骗电话啦!

2017-08-02

小管说安全(2)——红包炸弹

2017-07-24