首页安全播报安全快讯 › 腾讯移动安全实验室2013年4月手机安全报告

腾讯移动安全实验室2013年4月手机安全报告

2013-05-22

        第一章 4月手机安全概要

        手机病毒包增长在2013年4月迎来井喷。2013年4月,基于腾讯手机管家安全产品服务的腾讯移动安全实验室共截获手机病毒包总数为56617个,接近2012年手机病毒包总数的1/3。其中Android截获的病毒样本包总数为:53787个,Android系统病毒包数占据了病毒包总数的95%;Symbian系统截获的病毒样本包总数为2830个。

        2013年4月份以来,手机病毒的攻击性与智能化呈现出高危性与多元化的色彩。手机病毒的高风险性与高智能化程度均有提升体现,手机安全状况步步惊心。

        在Android系统,广东、浙江、江苏、四川、北京是手机中毒占全国比例排名前五的省份或直辖市。这四省一市手机染毒占据全国比例分别依次为:12.28%、6.74%、6.62%、5.10%、4.65%。

        2013年4月,腾讯手机管家查杀了ROM渠道高危病毒“权限杀手”,该病毒可禁止其他应用获取Root权限来删除自己,能很好地保护自己不被查杀。“权限杀手“病毒是ROM 渠道的嵌入系统层的病毒进一步成熟的表现。“权限杀手”具备高权限性、难删除性、高隐蔽等特征,也是手机病毒智能化程度正逐步彰显的重要指标。

        2012年4月,腾讯手机管家查杀的恶意传播类病毒“推荐密贼“开始对移动端著名应用的“用户体验”与“品牌口碑”构成双重威胁与损害。该病毒运用云端指令控制技术通过“移花接木”的手段在腾讯新闻、百度搜索、微信等知名应用界面强行投放“精品推荐”字样的BANNER或浮窗等恶意广告,使得手机端知名应用纷纷遭遇品牌危机。该病毒目前已感染超100万用户,主要影响到腾讯、百度、新浪三家知名公司的安卓应用。已经确定被该病毒感染的应用包括:微信、微博、QQ浏览器、腾讯新闻、百度搜索、hao123导航、365日历+、女优麻将、安卓优化大师等395款知名应用。

        2012年4月,腾讯手机管家查杀的“广告毒株”病毒感染超过28款手机应用,该病毒也是强行推送广告类病毒的典型代表。2013年,移动互联网继续快速发展,但盈利模式依然面临未解困局,大量以恶意广告强制推送来创收的不法APP开发者与部分移动广告企业形成非法利益联盟,恶意传播或广告类病毒野蛮生长的状况将进一步延续。

        基于2013年4月腾讯手机管家首家查杀的典型恶意广告指令类病毒“推荐密贼”攻击方式与手法前所未见,危害巨大,腾讯移动安全实验室以下进行重点分析。

        第二章 恶意云指令病毒“推荐密贼”凶猛来袭

        2013年4月,腾讯手机管家首家在Android平台查杀了一款新型云端控制广告病毒:“推荐密贼”。据腾讯移动安全实验室监测,“推荐密贼”的病毒感染了包括“铁拳3D”等在内的300多款应用,据外部市场下载公开的数据显示,最近一个月,感染用户数最多的二次打包病毒应用“铁拳3D”游戏的下载量就达28万,预计受到该病毒影响的用户数达100万,而且影响的用户也越来越多。

        2.1 “推荐密贼”挟持微信等395款知名应用超100万用户感染

        据腾讯移动安全实验室监测,用户在下载“铁拳3D”等被“推荐密贼”感染的应用之后,该病毒即瞬间感染用户手机,并在后台启动恶意服务YJFService,联网获取云端指令信息,同时通过包名快速检索手机内已安装软件,发现指定应用软件在云端中有注册后,随即监控当前手机页面是否为云端指令指定的显示页面,如果符合则在第三方应用程序指定页面侧强制显示悬浮窗广告或BANNER广告。

        即该病毒会自动检测用户手机是否含有微信、微博、腾讯新闻、百度搜索等知名应用,并针对这些知名应用投放广告,在特定的应用界面(如微信的聊天界面、百度搜索主页右侧居中位置等)利用云端指令控制广告显示。

        “推荐密贼”病毒的危害性主要体现为强行在微信等知名应用的指定页面显示广告,用户为往往在好奇或不小心的情况下点击该广告之后,瞬间跳转至新的APP下载页面,诱导用户下载恶意软件,消耗数据流量,对手机用户体验造成持续伤害。

        “推荐密贼”强制推送的广告主要有三种:第一种:“精品推荐”浮窗广告,显示在手机应用首页或会话界面的右端居中位置,比较典型的是该病毒投放至微信会话界面与百度、腾讯新闻等首页的“精品推荐”浮窗广告;第二种是BANNER广告,典型的是安卓优化大师被感染后在页面下方呈现的“精品推荐”BANNER广告;第三种是页面弹窗广告,在病毒的云端指令控制下,主要针对微信等应用的主界面强行弹出推送弹窗广告。

        该病毒对于整个国内移动互联网行业也造成严重品牌伤害。由于该病毒通过云指令控制针对知名应用强行投放恶意广告,不仅对手机用户造成用户体验上的伤害,而且会让用户误认为该“精品推荐”的浮窗广告是出自该知名应用自家投放的广告。制毒者基于这种病毒触发广告获取利益分成,为自身牟取非法利润,更对微信、百度搜索、安卓优化大师、腾讯新闻等品牌造成伤害,以“移花接木”的手段进行行业攻击的目的性非常明显。

        2.2 恶意广告指令病毒“推荐密贼”感染特征解析

        经过腾讯移动安全实验室监控与分析,“推荐密贼”有三个重要特征。特征一:监控微信等知名应用的启动,形成同步的触发机制。该病毒安装后,会时刻监控用户手机是否启动微信等手机应用,一旦监测到用户启动这些应用,就会同步触发病毒的广告机制,利用云端指令控制广告显示,针对微信等知名应用的指定页面上(如微信的聊天界面)强行显示推广广告信息。

        特征二:病毒通过模拟官方内置广告的形式,对用户形成诱骗与误导。该病毒会通过在微博、百度、微信等知名应用的会话界面的右端居中位置强制推送弹窗广告或BANNER广告,让手机用户产生一种微信等知名应用内置广告的误导,形成一种诱骗与欺诈。

        特征三:病毒通过云端指令控制广告推送,手机成为恶意广告捆绑的肉鸡。该病毒通过云端控制手段,决定何时启动广告推送,以及推送的位置是通知栏还是弹窗,由于该广告针对大量知名应用进行投放,让用户的手机应用屏幕广告充斥其中,“牛皮癣”无处不在。

        特征四:病毒有选择性针对知名应用强制推送广告,造成品牌伤害。通过针对手机端的微信、微博、百度、安卓优化大师等知名应用进行强制推动广告,无疑将会误导大众对微信、微博等知名品牌的信任度与忠诚度,对微信等手机应用的品牌形象造成伤害。因此,该病毒也蕴藏着行业恶性竞争的可能性。

        2.3 “推荐密贼”病毒创新攻击和触发机制的细节剖析

        “推荐密贼”的病毒触发执行流程是通过三步来针对指定的知名应用投放广告。

        第一步:病毒会在云端监测搜索手机用户是否含安装有指定包名的软件。从代码分析可知,恶意代码会针对手机中包含com.baidu、com.tencent、com.sina等此类前缀包名的软件进行强制推送广告。

        第二步:“推荐密贼”手机病毒在确定好指定软件之后,开始联网监测当前手机页面是否也为云端指令所指定的应用页面。也就是说,当病毒发现用户手机安装有微信、百度搜索等知名软件之后,会同步监测手机用户是否有打开这些软件,当用户一旦进入百度搜索首页或微信会话界面,病毒会同步将信息反馈到云端,即时触发病毒启动执行流程,如下图所示,跟踪到的云端网址是kuaidian360.com。

        第三步:当病毒检测到该应用的当前显示页面在云端有相应的注册指令,会马上针对该软件强制推广广告。另外,病毒的云端信息中指定了在哪个应用哪个页面显示悬浮窗,也会决定何时启动广告推送,以及广告显示的位置、广告类型是BANNER广告还是悬浮窗广告。如下图所示:在微信中显示悬浮窗的页面就是com.tencent.mm.ui.chatting.ChattingUI聊天窗口。即病毒会在微信聊天界面强制推行悬浮窗广告。

        2.4 “推荐密贼“昭示云端指令类病毒技术正快速进化提升

        在Android平台上,针对热门应用或游戏中内置病毒和恶意代码进行广告推广获利已经司空见惯。在手机App难找到合适盈利模式的严峻生存压力下,某些手机App开发者走上了流氓推广之路,这在2013年4月表现的尤为明显。除恶意广告传播类病毒“推荐密贼”之外,2013年4月,腾讯移动安全实验室还截获了一个名为“广告毒株”(a.fraud.actehc)的病毒。该病毒会以短信的形式推送广告,并在通知栏弹消息引导用户查看该垃圾广告,还能实时监听用户的短信,从而得到与广告主分成依据。目前,被该病毒感染的软件包括了企鹅对对碰、手机钢琴、水果连连看等28款软件。

        “广告毒株”与“推荐密贼”是恶意广告指令类病毒迅速泛滥的表征。与广告主分成以及恶意推送广告是“广告毒株”与“推荐密贼”病毒的共同特征。“广告毒株”通过将垃圾广告伪造成短信插入用户的收件箱,并以通知栏弹消息的方式提醒用户“您收到一条新消息,请立即查看”的方式来推送广告。而“推荐密贼“通过在知名应用指定页面强制推送广告无疑体现出更强的云端指令技术,在智能化与欺骗性上也更为高明。

        2.5 “推荐密贼”凸显APP开发者急于盈利的功利主义

        据腾讯移动安全实验室分析,“推荐密贼”的触发执行机制快速有效,智能化程度大大提升。从2012年以来,Android平台云端指令病毒通过联网监控技术于后台窃取隐私、扣取资费等现象层出不穷,随着移动互联网发展,应用开发者可通过内置广告与各种广告联盟和推广联盟分账。某些APP开发商急于盈利的功利主义开始浮现,开始通过与病毒制作者或制毒机构建立合作,发展成非法利益联盟。

        发展到目前,手机病毒不仅仅通过二次打包植入恶意广告代码等手段来获取广告分成,而且创新了技术,以“移花接木”的手段,通过云端控制指令来强行推送广告,技术上更高一筹。

“推荐密贼”病毒已体现出更强的隐蔽性与伪装性,通过以模拟官方内置广告的形式“嫁祸”给这些被病毒入侵的知名应用,消耗用户流量并赚取广告分成,这也是云端指令类病毒智能化程度正快速提升的一个重要危险信号。

        近年来,移动互联网快速发展,但盈利模式相对缺失,对于APP开发者而言,广告几乎成了唯一的获利渠道。某些不法开发者基于快速盈利的功利需求,与第三方手机广告行业建立合作,往往通过强制嵌入广告插件与恶意推送广告等手段,建立分成模式来获取利润。“推荐密贼”病毒彰显出制毒者或制毒机构与某些APP从业者等建立黑色产业链和利益联盟来盈利的本质。

        第三章 Android病毒行为类型比例

        2013年4月,在Android系统,资费消耗类病毒行为占据40.76%的比例,位居第一。诱骗欺诈占比17.91%,隐私获取类占比15.52%,恶意传播类病毒行为占比12.50%,恶意扣费占比9.32%、流氓行为、远程控制、系统破坏类分别占比2.51%、0.32%、0.01%。

        另外可以看出,在Android系统,资费消耗类、诱骗欺诈、隐私获取类这三大主要病毒类型所占比例基本呈现出了比较稳定的特征。资费消耗类病毒行为已经渗透到各种病毒行为之中,由此造成多种病毒类型基本上都附带了流量消耗的特征,这也是资费消耗类病毒行为所占比例长期居高不下的重要原因。

        在2013年4月,恶意传播类病毒异军突起,迅速发展,制毒者或制毒机构强化了云端指令控制技术,并降之娴熟的运用到各类型的病毒当中,比如恶意传播类病毒“推荐密贼”,通过执行云端指令,私自占用第三方知名应用界面,强行显示推广广告信息;“广告毒株”则可以启动后伪造短信推送垃圾广告,向用户频繁发送垃圾短信。通过这些恶意传播手段,侵犯用户的经济利益。

        另外,资费消耗类病毒a.remote.badnews也可以通过接收云端恶意指令,后台自私下载未知应用,推送虚假消息到通知栏,私自建立恶意应用安装快捷方式,上传用户手机固件信息,通过远程控制给用户造成资费消耗。

        恶意扣费类病毒也占据了9.32%的比例。该类病毒往往通过后台私自发送短信订购SP业务,同时恶意拦截运营商二次确认短信来恶意扣取用户资费。发展到目前,这一扣费模式已经被目前Android平台许多扣费类病毒普遍的运用,形成了稳固的运作模式。

        a.remote.badnews 该病毒安装后,接收云端恶意指令,后台自私下载未知应用,推送虚假消息到通知栏,私自建立恶意应用安装快捷方式,上传用户手机固件信息,存在远程控制和资费消耗的行为。

        a.privacy.qin该病毒安装后,启动恶意服务,私自发送短信,同时监控短信收件箱,转发用户短信信息到指定手机号码,给用户造成隐私泄露和资费消耗。

        a.rogue.kuaidian360.[推荐密贼] 该病毒安装后,后台启动恶意监控服务,执行云端指令,私自占用第三方知名应用界面,强行显示推广广告信息,严重影响用户体验和存在流氓行为。

        a.fraud.actehc.[广告毒株] 该病毒内含恶意广告插件,启动后伪造短信推送垃圾广告,向用户频繁发送垃圾短信,同时该插件存在伪造欺诈短信风险, 该恶意广告插件还监听用户短信息,未经用户允许私自删除指定短信,存在流氓行为。

        a.payment.hfpfservice该病毒安装后,启动无图标,后台私自发送短信订购SP业务,同时恶意拦截运营商二次确认短信,存在恶意扣费的行为。

        a.privacy.smsmanage该病毒安装后无图标,后台监听短信接收并转发到指定号码,造成用户隐私泄露。

        a.expense.zoukmobile 该病毒安装后,私自发送短信,给用户造成资费消耗。

        第四章 Symbian病毒行为类型比例

        2013年2月份,Symbian系统继续延续衰落的趋势,各类型病毒行为比例分布中,资费消耗类病毒行为占据30%的比例,位居第一;诱骗欺诈类与系统破坏类病毒行为均占22%的比例;隐私窃取类病毒行为占比12%;恶意扣费与远程控制、恶意传播类病毒行为分别占比8%、3%与3%。

        在Symbian系统,各类病毒行为的比例变得更加均衡,而资费消耗与诱骗欺诈、系统破坏三类病毒行为占据主流并呈现常规化成熟化发展特征。系统破坏类病毒往往开机自启后常驻后台运行,无法手动将其卸载,占用大量系统资源,可能影响手机和其他软件的正常运行,同时通过破坏手机中杀毒软件来操控手机隐私,Symbian平台的系统破坏类病毒往往带有隐私窃取的特征。与此同时,恶意扣费类病毒往往通过无提示私自联网,占用短信端口,私自发送短信来扣取用户资费,并消耗用户流量。Symbian平台的资费消耗类与恶意扣费类病毒开始融为一体,Symbian系统各种病毒类型融合在一个病毒行为之中的趋势也很明显。但总体而言,Symbian系统持续衰落的趋势依然在延续。

        s.expense.sysapp.a 该病毒会强制安装在手机C盘中,无任何图标生成,开机自启后常驻后台运行,无法手动将其卸载,占用大量系统资源,可能影响手机和其他软件的正常运行。

        s.payment.mbox.d该病毒常伪装成手机加速软件诱导用户下载安装,无启动图标,无提示私自联网;占用短信端口,私自发送短信,可能订购高额的SP收费业务。

        s.privacy.falseappstore 该病毒伪装成应用商店诱导用户安装,私自联网并获取用户imei,imsi等手机固件信息;同时还试图破坏手机中的安全杀毒类软件,可能威胁用户手机安全。

        第五章 各省份区域中毒比例

        2013年4月,在Android系统,占比排名全国前十的中毒省份与比例分别为:广东(12.28%)、浙江(6.74%)、江苏(6.62%)、四川(5.10%)、北京(4.65%)、河南(4.46%)、辽宁(4.05%)、福建(3.85%)、广西(3.85%)、湖南(3.77%)。

        在Android系统,广东以占据全国12.28%的手机中毒比例排名第一,浙江、江苏两省分别以占据全国6.74%、6.62%的手机染毒比例分列全国第二、第三。从排名比例可以看出,Android手机中毒比例基本上与经济发达程度与智能机用户聚集密度成正比。

        可以看出,在Android系统,各大手机中毒省份已逐渐呈现出稳定的格局:即以广东、浙江、江苏、北京为中心的国内三大经济发达区域为手机中毒密集地带,中西部以四川、河南、广西等为主的新兴发展省份为主要手机染毒分布区。

        长江中下游平原各省份、环渤海经济圈、珠江三角洲地区作为国内最发达的三大城市经济圈,也成为Android手机染毒的高发地带,2013年4月,制毒者或制毒机构针对国内经济发达地区与智能机用户集聚地区投放病毒的目的性依旧非常明显,这符合手机病毒当前逐利而居的特性。

        2013年4月,随着中部省份经济快速发展,Android智能机的大量涌入与普及,制毒者或制毒机构针对中西部经济发展省份的投毒权重进一步加大,水货手机进销货渠道进一步延伸到东北部、中西部发展省份,四川、河南、辽宁、广西四个省份手机染毒比例再次占据高位,占据全国Android手机中毒省份排名分别为第四、第六、第七、第九。

        在Symbian系统,广东省以13.61%的比例位居第一,而河北、四川、广西、山东四个中西部发展省份的Symbian手机中毒感染占全国的比例分别位列第二、第三、第四、第五。可以看出,Symbian系统制毒者或制毒机构开始不再将北上广等辐射发达省份区域作为主要投毒区域省份,转而将重心偏向中部依然聚集着海量Symbian忠实用户的省份。Symbian系统制毒者或制毒机构进一步优化了投毒渠道,通过针对Symbian用户集聚区的精准定位来定向投毒。

        随着Symbian系统手机在发达省份逐渐淡出历史舞台,Symbian用户转移到Android、iOS等系统的比例与数量越来越大。而Symbian系统的进一步衰落的趋势非常明显,正逐渐淡出历史舞台。

        第六章 手机病毒来源渠道分布

        由下图可知,2013年4月,电子市场与手机论坛的病毒渠道来源分别以22%与20%的比例占据第一、第二。值得关注的是,ROM渠道病毒来源上升至16%,首次位居第三,增长的趋势非常明显,这与Android用户刷机更加频繁、不法水货厂商与恶意开发者合作内置恶意软件相关,由于ROM渠道的隐密性,该渠道已成为高危病毒的重要来源,移动互联网盈利模式的匮乏,ROM内置病毒也进一步泛滥。

        2013年4月,软件捆绑渠道来源达到14%,呈现出微小的下降趋势。随着手机病毒通过二次打包植入恶意代码捆绑知名软件大肆传播已成为一种普遍的常规感染方式,这一病毒感染渠道来源比例已呈现稳定特征。而针对电子市场加强引入手机安全监测与病毒查杀引擎,加强专业检测能力,是电子市场有效降低软件捆绑病毒比例的有效途径。目前腾讯手机管家通过与10余家电子市场建立电子市场安全检测合作,通过将自身安全能力有效到电子市场,查杀效果正在逐步彰显。

        手机论坛一直是手机病毒渠道防堵一个盲区。在手机论坛,二次打包的山寨软件与恶意软件分布在各个分区、用户分享活跃,不少制毒者或制毒机构在这种鱼龙混杂的环境中,大肆发布各种病毒软件包,由于大部分论坛上传审核机制不完善,手机病毒、山寨或恶意软件在论坛传播可以快速批量感染海量用户群。2013年4月份,论坛传播比例达到20%。网盘传播渠道也维持在7%的高比例。

        二维码的流行度,使得制毒者或制毒机构利用二维码这一途径,暗藏恶意软件下载包或恶意网址进行快速吸金,这一渠道日前正逐渐发展成为用户日前感染手机病毒的高危渠道。2013年4月,二维码感染达到6%。

        第七章 专家建议

        随着手机安全形势的恶化,手机用户提升手机安全意识非常重要,移动安全实验室专家对手机用户做出如下建议。

        1.手机用户应该选择从正规安全的渠道下载应用。目前在许多不正规的下载渠道遍布山寨软件与二次打包过的恶意软件。用户可通过腾讯手机管家PC版、应用宝等应用下载平台下载软件,这些平台的软件均经过腾讯手机管家的安全检测,可确保下载安全。

        2.提升安全意识,对手机异常情况保持敏感度。比如用户不要点击收到的不明短信链接。随着套取用户网银账号与密码等信息的钓鱼网站也进一步增长,为避免遭受钓鱼网址等风险,手机用户可以安装腾讯手机管家开启恶意网址检测,避免钓鱼网址的攻击欺诈。目前而言,对于微信、百度搜索、微博等知名应用出现的“精品推荐”浮窗等广告应保持警惕,学会通过腾讯手机管家等安全软件及时查杀“推荐密贼”病毒。

        3.从正规的渠道购买手机或刷ROM包。在目前,许多水货手机往往在出货前就已经刷机或者内置了各种流氓软件,而这些刷入或内置入ROM的恶意软件包一般很难用常规手段卸载或清除,新买的手机应及时下载腾讯手机管家,获取Root权限,及时查杀ROM病毒与最新流行病毒。

        4.不要见码就刷。二维码的火爆,使得该渠道成为一个新兴的病毒来源。目前随着各大城市的二维码进一步普及,手机用户最好安装具备二维码恶意网址拦截的手机安全软件进行检测和防护,或使用接入安全识别功能的二维码软件,降低二维码染毒的风险。

        5.手机用户应学会用安全软件来维护手机安全。手机用户可下载安装如腾讯手机管家一类的手机安全软件定期给手机进行体检和病毒查杀,并及时更新病毒库查杀“推荐密贼”等最新高危病毒。另外,手机用户还可以使用该软件的隐私权限监控、软件联网管理等功能,及时监控恶意软件的过度权限要求和后台私自联网等恶意行为,确保利益不被损害。

        目前而言,用户还可以关注@腾讯移动安全实验室、@腾讯手机管家的官方微博以及相关的“恶意软件曝光”行动,对手机安全资讯做到全面把握和掌控,安享移动互联网生活。

        腾讯手机管家官方网站:http://msm.qq.com

        腾讯手机管家腾讯微博:http://t.qq.com/qqsecure

        腾讯手机管家新浪微博:http://weibo.com/qqmanager

        腾讯移动安全实验室官方微博:http://t.qq.com/QQSecurityLab

   版权声明本报告中凡注明来源于“腾讯移动安全实验室”等一切图表数据及研究分析结论均属于腾讯公司版权所有,如需转载或摘编,敬请注明出处。

安全快讯 更多

BadMedia木马家族

BadMedia木马家族

2017-11-14
双11网购诈骗安全报告

双11网购诈骗安全报告

2017-11-10
2017Q3手机安全报告

2017Q3手机安全报告

2017-11-06

安全视频 更多

小管说安全(3)——谣言有毒

2017-10-24

腾讯手机管家产品经理笑唱安全报告

2017-08-16

腾讯手机管家微信小程序可一键识别诈骗电话啦!

2017-08-02