首页 > 安全实验室 > 安全快讯 > 腾讯移动安全实验室2013年上半年手机安全报告

腾讯移动安全实验室2013年上半年手机安全报告

2013-07-30 17:12:31

第一章 概述

      2013年上半年,随着Android智能机进一步扩展到更多手机用户群体,Android平台的手机病毒变得空前活跃。具体表现为手机APP隐私权限遭大规模窃取、手机病毒智能化提升、手机游戏成为遭病毒二次打包篡改的APP重灾区。

      2013年上半年,基于腾讯手机管家服务的腾讯移动安全实验室共检测截获手机病毒总量达到316350个,其中截获Android平台病毒包达到303516个,占据病毒包总数的95.9%。Symbian平台病毒为12834个,Android平台安全风险更加严峻。

      2013年上半年,染毒手机用户增势持续,感染恶意软件或手机病毒的手机用户达到4316.48万,其中,平均每月超过719.4万用户感染恶意软件。在2013年1月到6月,感染手机用户人数呈现同比上涨的趋势。

      2013年上半年,腾讯手机管家为用户查杀病毒7216.3万次。

      2013年上半年,染毒手机比例占全国排名前五的省份分别是广东、浙江、江苏、四川、河南。中毒手机用户人次占全国比例分别为:13.3%、7.2%、6.7%、5%、4.7%。广东中毒手机感染人数达到576.1万,超过2012年广东省全年感染用户总数。

      2013年上半年,腾讯手机管家用户主动举报垃圾骚扰短信达到3.56亿条,其中,2013年第一季度新增用户举报为1.93亿,2013年第二季度新增用户举报为1.63亿。

      2013年上半年,恶意软件或手机病毒紧跟社会热潮、逐利性进一步加强。2013年初,手机病毒紧盯春运热潮,感染人数最多的恶意软件“伪抢票大师”感染了17.2万用户。2013年上半年中后期,手机购物逐步在部分人群中普及,手机病毒针对手机购物软件二次打包篡改现象迅速增多,抽样统计遭二次打包的“掌上一号店”软件包数是54个,被打包植入手机病毒达到36个,比例高达66%。

      2013年上半年,各种新型手机病毒纷纷涌现。新型的手机浏览器病毒爆发,腾讯截获的“假面浏览”病毒可用自己设计好的OO浏览器界面替换手机中知名手机浏览器的软件界面。可能导致用户网银账号等被窃取;新型Android系统内置手机病毒“权限杀手”疯狂吸费并呈现严密反卸载逻辑,大量水货手机用户感染;恶意广告类病毒也在2013年上半年迎来大爆发,腾讯移动安全实验室截获了可通过短信形式推送广告,并在通知栏弹消息,同时监听用户短信的“广告毒株”(a.fraud.actehc)病毒。

      而此后,新型恶意广告类病毒接连来袭,“推荐密贼”、“鬼推墙”等“投影广告”类病毒针对手机QQ、百度搜索、新浪微博等知名应用大肆强制推送广告,这些新型病毒大肆入侵Android平台,成为今年上半年突出的手机安全现象。

第二章 2013年上半年手机安全状况分析

      2013年上半年,基于腾讯手机管家服务的腾讯移动安全实验室共检测截获手机病毒包总数316350个,其中,截获的Android平台病毒包达到303516个,同比增长7.96倍,超过2012年手机病毒包总数的1.72倍,占2013年上半年总的病毒包数的95.9%。腾讯手机管家2013年上半年截获的Symbian病毒包为12834个。

      由图可见,2013年上半年,Android系统与Symbian系统呈现两种截然不同的发展趋向。Android系统病毒包在2月呈现稍有下降的趋势,之后几何式高速增长,在6月截获的病毒包达到87543个,达到半年度增长最高点,6月病毒包同比增长9.6倍。

      在Symbian系统,2月截获的手机病毒为1043个,为2013年上半年截获病毒最少的月份, 2013年上半年,截获病毒包最多的月份是6月,该月截获病毒包达到2854个。2013年上半年,Symbian呈现出在2月达到病毒包个数最低点,之后呈现缓慢的小幅增长趋势。Android系统、Symbian系统呈现出两种完全不同的增长状态,这同时更加凸显出了Symbian系统的衰落趋势。

      2013年上半年,Android系统感染木马病毒的用户数呈现高基数、高增长的态势。Symbian系统手机中毒人数则完全呈现低位平稳持续下降趋势。2013年上半年,两大系统平台感染恶意软件或手机病毒的手机用户总数达到4316.48万,是2012年全年的1.24倍。其中,Android系统染毒手机用户达到3819.6万,占比90.7%,并呈现持续高速增长的趋势,6月份有746.6万手机用户染毒,达到2013年上半年手机用户染毒人次增长的顶点,2013年1月份是Android手机上半年染毒手机最低月,但感染用户数也已经超过532万。Android系统平台平均每月手机中毒用户达到653.1万,在Symbian系统,最高月1月份病毒感染用户达到72.8万,最低月5月份手机木马感染用户为61.1万.Symbian系统平均每月感染用户66.3万.

      2013年上半年,两大系统平台平均每月超过719.4万用户感染恶意软件或手机病毒。Android系统平均每月感染用户数是Symbian的9.8倍。Android系统平台的手机安全风险正越来越严峻。

      2013年上半年,腾讯手机管家共为用户查杀了7216.3万次病毒。平均每月为用户查杀病毒超过1202.7万次。其中,在Android系统,腾讯手机管家查杀病毒次数呈现了同样的高速增长的趋势和轨迹。其中,最低和最高查杀月分别出现在1月和5月,查杀次数分别为899.1万次和1247.4万次。腾讯手机管家针对Android平台的病毒查杀次数在2013年上半年呈现平稳增长的趋势,在6月有小幅回落。

      腾讯手机管家针对Symbian系统的病毒查杀次数呈现半年来缓慢下滑趋势,最高和最低病毒查杀月分别出现在1月与6月,病毒查杀次数分别为110.7万次和85.7万次。这反映出Symbian系统的衰落趋势已经比较明显,腾讯手机管家平均每月为Symbian用户查杀病毒97.2万次。

第三章 2013年上半年用户举报垃圾短信积极性增长

      2013年上半年,腾讯手机管家用户主动举报垃圾骚扰短信达到3.56亿条,其中,2013年第一季度新增用户举报为1.93亿,2013年第二季度新增用户举报为1.63亿,2013年上半年的新增用户举报垃圾短信数已经大大超过2012年全年垃圾短信总举报数3.06亿。

      2013年上半年,垃圾短信迅速发展,其中,广告类占比93.47%、违法宣传类占比3.04%,诈骗类2.02%,其他类占比1.47%。可以看出,广告类垃圾短信以超高比例位居第一,在2013年上半年呈现出井喷式发展。这源于国内广告营销成本持续上涨,而垃圾短信则可以直达用户,同时缺乏法规上的约束,各行各业都加入了疯狂推送垃圾短信的大军。加之2013年上半年,各类商场、电商之间的促销价格战、节日营销战不断。与此同时,“国五条”房地产细则出台,引发各界强烈关注的同时,房地产垃圾短信在上半年疯狂轰炸持续来袭,这些因素共同推高了广告类垃圾短信的比例和涨幅。

      在广告类中,以卖场促销、房产推销、网店电商类为主,这三类垃圾短信分别占据广告类垃圾短信的比例分别为:47.72%、15.34%、10.42%。

      违法类垃圾短信占2013年上半年垃圾短信总量的3.04%,在违法类垃圾短信中,高利贷、发票销售、学历买卖、走私货物四类违法类垃圾短信位列前四,分别占违法类垃圾短信总数的51%、17.29%、10.64%、7.32%。高利贷类垃圾短信以51%的高比例优势成为违法类垃圾短信的主流。但相对第一季度来看,高利贷类垃圾短信比例稍有下降。

      诈骗类垃圾短信占据垃圾短信总量2.02%。在诈骗类垃圾短信中,主要分为中奖钓鱼、假冒亲友房东转账、手机窃听监控、冒充通知四大类,其中,占据诈骗类垃圾短信比例分别为:45.05%、38.61%、9.9%、6.44%。

      中奖钓鱼诈骗类短信比例以45.05%排名欺诈类垃圾短信第一。2013年上半年的一个明显的特点是:紧追流行娱乐新趋势,《我是歌手》,《中国梦想秀》、《中国好声音》、《百变大咖秀》、《快乐大本营》、《星光大道》这6大知名娱乐节目被诈骗分子借名冒充进而实施电信中奖诈骗的频率最高。《我是歌手》的大热,使得该节目被诈骗分子频频利用,在节目中奖类诈骗短信中被冒名诈骗的频率最高,也因此推高了中奖钓鱼诈骗短信的比例。

      腾讯移动安全实验室监测,冒名《我是歌手》的典型诈骗内容基本是典型的以《我是歌手》抽奖,通知用户中大奖的消息对手机用户实施诈骗,该类短信通常会内含钓鱼网址,用户一旦点击访问,往往便落入诈骗分子设下的连环陷阱。典型诈骗内容为:本机号码已被《我是歌手》栏目组抽选为场外二等奖,您将获得由本栏目组送出的梦想创业基金98000(现金)及苹果电脑一台,详情电脑登陆活动官网www.******.com查询领取,签收码(8189)郑重声明:本活动当天有效,逾期作废。自《湖南卫视》。

      腾讯移动安全实验室建议:目前,全国各大电视台各种综艺歌唱选秀类节目扎堆而上,类似《中国好声音》等热门歌唱选秀类节目也将继续在2013下半年成为热点,手机用户收到当前流行娱乐节目等中奖短信应引起足够的警惕,并提醒身边的亲朋好友不要上当受骗,可安装腾讯手机管家开启智能拦截,对垃圾短信一键拦截举报。

第四章 2013年上半年TOP10手机病毒分析

      2013年上半年,Android系统染毒手机用户达到3819.6万,占比90.7%,手机病毒增长依旧处于高速上升的轨道,并且大批量感染用户的恶意软件或手机木马病毒呈现了集中化裂变式感染用户的趋势,基于此,腾讯移动安全实验室后台分类检测出了感染用户最多的十大手机病毒与感染软件包最多的十大病毒进行规律分析,以便手机用户提升安全意识,保护自身的经济利益。

4.1 2013年上半年感染用户最多的十大Android手机病毒分析

      2013年上半年,感染用户最多的十大手机病毒感染用户总量达到796.4万。排名前三的手机木马为a.expense.dpn、a.expense.lunar、a.expense.cc,均为资费消耗类型木马病毒。感染用户排名前十的手机病毒中,资费消耗类病毒占比达到了30%。其中,感染用户最多的手机病毒a.expense.dpn感染用户达到161.3万,该病毒被恶意打包党植入天气通和三国大富翁等知名APP当中,一旦启动会私自联网下载软件,静默安装推广软件,给用户造成资费消耗。


      系统必备软件、手机游戏、旅游购物、社交电商类软件成为感染用户TOP10手机病毒热衷打包植入的重点对象。由图所示,万年历、易购、携程无线、美女台历、文件管理器、微博、YouTube、微信等软件均被病毒感染。

      另外,在感染用户最多的TOP10手机病毒中,具备隐私窃取类特征的病毒就占据了40%,它们分别为a.privacy.kituri.a、a.payment.fakegooglemap.[伪谷歌地图]、a.privacy.fakeNetworkSupport[伪网络组件]、a.payment.kituri[隐私飓风],感染手机用户分别达到67.6万、63.9万、57.5万、52.4万。可以看出,扣费类病毒抓取用户隐私的目的与倾向越来愈明显。比如a.privacy.kituri.a和a.payment.kituri[隐私飓风],这类病毒往往会同时具备上传用户隐私与私自发送、拦截回执短信扣取资费的特征。另外,排名第三、第八病毒分别为:a.expense.cc(暗推神器)、a.remote.i22hk(云指令推手)分别为2012年感染用户最多手机病毒之中的其二。可以看出的是,2013年上半年感染用户最多的TOP10的病毒或恶意软件在各渠道的流通性与生命力进一步强化,制毒者或制毒机构针对单一恶意软件的海量复制和延续性二次打包得到了进一步加强。

4.2 2013年上半年二次打包感染软件最多的十大手机病毒分析

      2013年上半年,手机病毒疯狂二次打包席卷海量知名软件。资费消耗类病毒a.expense.tgpush感染了43931个软件包,排名居首,该病毒针对真心话大冒险、农场保卫战、竞技摩托等软件纷纷二次打包进行篡改,众多手机游戏用户也因此遭受到不必要的经济损失。

      在2013年上半年感染软件最多的十大病毒中,资费消耗类与隐私窃取类病毒成为主角。在这感染软件最多的10个病毒中,资费消耗类病毒占70%,隐私窃取类占30%。资费消耗类病毒疯狂打包大肆感染海量用户的趋势已经非常明显。排名第二、第五、第六的手机病毒均是隐私窃取类型手机病毒,它们分别为a.privacy.counterclank、a.privacy.popsp.g、a.privacy.popsp.i这三个病毒,感染软件包数分别为31693、14549、12190。排名前五的病毒感染的软件包数占据了TOP10的77.4%。可以看出,手机病毒大肆二次打包篡改软件包呈现出明显的类型集中化趋势。

      排名第二的a.privacy.counterclank被植入Lady GaGa等31693款知名软件中,收集手机固件信息,致使隐私泄露。排名第三的a.privacy.actor.a病毒感染了GooglePlay等知名APP。

      排名第五的隐私窃取类病毒a.privacy.popsp.g则感染了玛丽奥连线、暴力摩托2012、魔法部落等系列趣味性的手机游戏。

      感染用户排名第六的a.privacy.popsp.i则二次打包篡改了反恐英雄、钢琴之家、全键盘钢琴流畅版等12190款软件。另外,保卫钓鱼岛、口袋妖怪、正版驱蚊利器都纷纷被a.expense.if2boyplayer.e病毒二次打包篡改。极品钢琴、PopStar、七彩祖玛等被植入病毒a.expense.afoynq.a(游戏杀手),消耗用户大量资费并呈现出恶意传播的特征。

      可以看出,针对大量热门游戏二次打包篡改成为2013年上半年感染软件款数最多的手机病毒一项重要特征。游戏具备口碑传播的特性、更新换代的速度快,含金币消费、道具、恶意广告等特征应对了手机病毒神不知鬼不觉植入病毒消耗资费或恶意扣费的逐利特性,使得手机游戏APP成为被病毒海量打包篡改的青睐对象。

第五章 2013年上半年手机支付类病毒分析

      2013年上半年,手机支付或网银购物类APP增长趋势明显,手机电商迎来发展春天,但安全始终是萦绕的一个阴影。腾讯移动安全实验室监测到,2013年上半年以来,针对手机网银的恶意软件或木马呈现出间歇性突然爆发的特征与趋势,而这种通过间隔性的偶然爆发的病毒投放攻击形式,可以弱化主流社会或行业群体的关注,隐蔽黑客针对手机网银用户的恶意企图,并暗地里攫取手机用户的巨额利润。

      腾讯移动安全实验室监测,针对网银支付账号的手机病毒或恶意软件在攻击方式、窃取网银账号流程等方面呈现出云端指令攻击强化、流程复杂化、伪装性进一步加强等特征。

5.1 支付类病毒间歇性来袭 网银风险大增

      在2012年8月,大规模爆发感染超过100万用户的“短信巫毒”(又称“短信僵尸”)病毒可通过监控用户收件箱、插入恶意短信、私自发送和拦截银行卡帐户信息,黑客通过远程控制指令,可将信息发送到黑客指定的号码上。手机支付类病毒在这时开始浮出水面。

      2012年末,新宙斯木马在国外爆发引发关注,它的攻击过程是:受害者点击某个作为钓鱼攻击一部分的恶意链接。然后被引导到钓鱼网站,网站会让受害者下载一到多个木马:宙斯木马的定制版以及变种SpyEye和CarBerp。这些木马可以让攻击者记录受害者的Web访问与浏览器,伪称银行为了防范手机被攻击需要进行“安全更新”,进而盗走用户网银。

      但总体而言,2012年,手机支付类病毒屈指可数,而在2013年上半年,随着移动支付的进一步普及,手机支付类病毒越来越多,爆发间隔呈现出越来越频密的特征,体现出黑客或制毒者进一步紧盯手机用户的网银支付帐号,逐利性越来越明显。

      2013年初,腾讯移动安全实验室又进一步截获了最新的手机支付病毒a.expense.lockpush(洛克蠕虫),该病毒首次感染了国内银行手机客户端——中国建设银行,通过二次打包的方式把恶意代码嵌入银行APP并私自下载软件和安装,可能会进一步安装恶意子包,进一步窃取银行帐号及密码,继而盗走用户账号中的资金。

      2013年5月20日,手机用户安装“伪淘宝”木马客户端之后,在“伪淘宝”的木马客户端登录页面,当用户输入了用户名和密码,点击登录,就会执行发送短信的代码,将用户的账户名和密码发送到指定的手机号码。而用户在此过程中,淘宝帐号、密码等隐私已全部泄漏却毫不知情。

      2013年5月下旬,一款可以监听“手机输入法”的Android恶意程序a.privacy.keylogger(“键盘黑手”)惊现海外,病毒制作者可以通过该病毒感染输入法软件,记录用户的信用卡、网银以及各种账户密码信息,拥有海量用户的国际知名输入法软件SwiftKey KeyBoard被不幸感染。

      2013年6月底,腾讯手机管家再次截获新型的Android病毒a.privacy.bankun。该Android病毒会监控手机里指定的韩国银行APP软件,包括com.webcash.wooribank、com.scfirstbank、com.hanabank.ebk.channel.android.hananbank等韩国银行APP。并把这些软件替换成了病毒自带的恶意软件,一旦成功,这些替换了的恶意软件就会上传用户的手机通信录、监听手机短信息并上传,窃取用户的隐私,用户的支付帐号等信息面临重大威胁。

      可以看出,支付类手机病毒间歇性的发展趋势十分明显,并呈现出爆发间隔越来越频密的特征,间接凸显出制毒者或制毒机构急于非法攫取利润急功近利的浮躁心理。

5.2 支付类病毒从欺诈流程到攻击方式转变频繁 多样化特征明显

      从2013年手机支付类病毒木马特征来看,感染“建设银行”的洛克蠕虫病毒通过二次打包恶意嵌入病毒代码并安装恶意子包来窃取网银资金;“伪淘宝”支付类病毒可伪装成淘宝客户端登录页面,当用户输入了用户名和密码登录之后,就会执行发送短信的代码,将用户的账户名和密码发送到指定号码。同时诱骗用户安装已经打包好在assets下的名为“帐号安全服务”的apk包,。用户安装之后,便会启动恶意子包服务,用户网银账号等隐私便会面临大规模流失的风险。

      相对于感染建设银行手机客户端的“洛克蠕虫”,“伪淘宝”的伪装性诱骗性进一步加强,与此同时,“伪淘宝”病毒利用云端指令技术发送账户名和密码到指定号码,病毒行为呈现专业分工的特质,危害性进一步加大。

      在“伪淘宝”之后,腾讯手机管家首家查杀的“键盘黑手”病毒呈现出更加令人胆寒的特征:“键盘黑手”a.privacy.keylogger可以捆绑国外知名输入法软件SwiftKey KeyBoard监听用户键盘输入,并上传泄露用户账户密码信息,甚至包括信用卡、网银等支付资料。该病毒通过捆绑输入法软件进行监听,具备了“间谍“的特征。输入法软件作为智能机标配,同时作为用户输入信息的重要入口,该病毒一旦通过输入法软件传播进入国内,感染其他输入法软件,后果不堪设想,可以想见,支付类病毒开始具备监听的“间谍“特质,让人更加防不胜防。

      2013年 6月底,腾讯手机管家同时首家查杀一款“USB窃贼“病毒,该病毒可通过一根USB数据线实现手机端向PC端的隐私窃取,抓取用户无线网络密码,精准的瞄准互联网的入口PC浏览器的帐号体系,收集PC端谷歌Chrome、微软IE以及Firefox等知名主流浏览器的密码,极大可能造成用户的社交帐号、银行帐号等核心隐私信息大规模外流。

      可以看出,支付类病毒从输入法或者浏览器等账号入口进行挟持网银账号窃取隐私的趋势非常明显,智能化程度快速提升。而“键盘黑手”与“USB窃贼“都体现出了这种特征。与此同时,该类网银支付类病毒也从欺诈流程到攻击方式转变频繁,多样化特征非常明显,同时它的潜在危害性也在进一步彰显。

5.3 支付类病毒紧盯银行支付购物类APP窃取隐私倾向明显

      2013年6月底,腾讯手机管家查杀截获的新型的Android病毒a.privacy.bankun。该Android病毒会监控手机里指定的韩国银行APP软件。这是截至目前查杀最新支付类手机病毒,从“新宙斯木马“、“洛克蠕虫“、”伪淘宝“”键盘黑手“到a.privacy.bankun(”银行鬼手“),支付类病毒的发展轨迹和攻击的目标手机软件和手机用户群都非常清晰:分别是针对电子银行客户、手机端建设银行用户(或银联手机支付大众版)、中国建设银行、淘宝网用户、SwiftKey KeyBoard输入法用户和韩国手机银行APP。

      一个明显的特征是,网银支付隐私窃取类病毒往往会紧盯银行支付类、购物电商类APP进行二次打包篡改植入病毒,并进行海量复制扩散感染。但与此同时,目前国内山寨购物类或支付类APP在各大电子市场和手机论坛充斥,给用户的手机支付安全笼上一层阴影。

      而另一方面,手机支付购物类APP的支付、网银等安全隐患往往也来自于APP的隐私权限被过度读取,导致账号网银等核心隐私被窃取。而这种情况往往更多的来自于手机购物APP被打包党二次打包篡改植广告或病毒代码,因此,腾讯手机管家以下将针对手机购物、电商类APP的隐私权限读取比例进行研究。

5.4 手机购物类APP隐私权限读取比例分析

      腾讯移动安全实验室从软件样本池中抽取了52004个手机购物类APP软件包进行代码扫描研究,分析软件中是否同时含有申请隐私权限以及读取隐私信息的API相关代码问题。统计发现,有读取用户隐私权限的相关操作的手机购物类软件有42305个。占比达到81.3%。

      由图所示,读取设备识别信息与地理位置的占比73.91%与41.96%;读取本机手机号的占比31.82%;打开手机摄像头与读取通信录的分别占据11.88%与6.47%的比例;打开录音器占比4.87%,读取短信的占比1.59%。读取浏览器书签与读取通话记录分别占据1.44%与0.57%的比例。

      在52004个手机购物类APP软件包中,其中含广告插件类APP就有23401个,占比达到44.9%. 在广告插件类APP中,读取设备识别信息、地理位置与本机手机号三项隐私的APP占广告插件软件包总数的比例分别为73.29%与44.74%、40.09%;打开手机摄像头的广告插件类APP占广告插件类软件包总数的4.90%;打开录音器、读取通信录、读取浏览器书签、读取短信、读取通话记录这五项隐私的广告插件类APP占广告插件软件包总数的比例分别为:4.36%、2.56%、2.27%、0.61%、0.44%。

      读取设备识别信息、地理位置、本机手机号是手机购物类APP与含广告插件购物类APP读取的第一目标隐私。可以看出,读取地理位置信息是手机购物类APP或含广告插件购物类APP读取的重要隐私权限,基于此项占比分别达到41.96%、44.74%。这无疑是与手机购物类APP针对目标人群精确定位匹配需求推送广告相关。某些团购、电商类APP读取用户地理位置也是大多数手机购物APP基于本身的功能范畴之内,多数属于正常的隐私权限读取需求。

      而针对通信录和短信、手机号码的核心隐私读取占比中,手机购物类APP与广告插件类购物APP差异不大。手机购物类APP读取通讯录占比达到6.47%,高于含广告插件类APP。这与官方手机购物类APP在下单、注册过程中收集用户号码,方便手机用户物流查看、优惠信息推送等紧密相关。而在短信和通话记录的读取方面,两者并没有太大的差异。但另一方面,许多手机病毒却盯住了手机购物类APP,大量二次打包暗藏扣费代码或隐私窃取病毒,附身于手机购物类APP吸金或窃取隐私,使得手机购物类APP风险暗藏。

5.5 知名非官方支付类软件包被大肆二次打包

      基于手机购物类APP与银行支付环节相关联,其隐私权限的读取对用户更为敏感,官方版APP软件通常是“官方包名+官方证书”安装包,而腾讯移动安全实验室根据“官方包名+非官方证书”匹配筛选的方法,一共提取了1442个知名非官方支付类软件包,针对其二次打包和篡改的情况进行分析研究,统计发现,其中含病毒的非官方包有128个,含广告插件的有30个。

      在1442个知名非官方支付类软件包中,京东商城手机APP遭二次打包篡改的软件包有249个,位居遭二次打包的手机购物支付类APP中的第一位。

      腾讯移动安全实验室统计,在统计样本中,被二次打包植入病毒最多的手机购物APP是“掌上一号店”手机APP。统计发现,遭二次打包的“掌上一号店”软件包数是54个,被打包植入手机病毒达到36个,比例高达66%。在“掌上一号店”APP遭二次打包植入的病毒代码中,包括2013年感染用户数排名第八、感染用户达58.3万的a.remote.i22hk(云指令推手),该病毒可自动上传IMEI、IMSI等信息,并获取云端指令控制用户手机,同时会修改浏览器书签以及联网下载未知程序。

      在二次打包含有病毒的手机购物类软件中,在249个遭二次打包的“京东商城”APP中,22个“京东商城”APP含有病毒,被打包植入病毒数位居第二。在针对“京东商城”二次打包的典型病毒当中,包括了2012年腾讯手机管家首家查杀的高危扣费病毒:“伪画皮2”(a.payment.MMarketPay.b)该病毒能通过偷偷切换APN为CMWAP,然后后台模拟点击中国移动MobileMarket的扣费接口并验证,并拦截扣费的回执短信,让用户不知不觉被扣费。另外,“伪画皮2”还感染了知名团购网“美团”APP。腾讯移动安全实验室监测,“美团”手机APP遭二次打包的软件有87个,病毒软件包有5个,占比达5.7%。

      知名APP“淘宝”遭二次打包篡改的软件包有61个,有7个软件包被二次打包植入病毒,典型的是“淘宝”APP被一款名为:a.payment.paojapp.a的病毒打包感染。该病毒安装后诱骗“淘宝”手机用户获取Root权限,静默安装私自下载的恶意软件,订购一个名为"**业务 支付*元/月"的业务,同时病毒将会屏蔽运营商订购回复短信,在用户毫不知情的情况下,恶意扣取资费。

      腾讯移动安全实验室统计发现:支付宝、Wind资讯股票专家两款购物支付类软件纷纷被a.remote.i22hk(云指令推手)感染。值得一提的是,支付宝这款手机支付购物类软件,被二次打包的软件包有35款,同时有一款打包过的非官方版本软件植入了病毒。

      在统计样本中,知名电商购物网站“凡客诚品”手机APP被二次打包的软件包数是32个,含病毒包有4个,其中包括的典型病毒是a.payment.keji.f。该病毒安装后病毒会安装恶意子包,安装成功后会通过联网的方式,从服务端获取更多的指令,定制更多的SP收费业务,造成用户的经济损失。

      由腾讯移动安全实验室统计可知,国内知名的一、二线手机购物、支付、电商类APP已经成为“打包党”重点的打包对象。被植入病毒的比例和数量总体上已经大大超越了广告插件数数量。可以看出,另外,知名购物APP淘宝、京东、凡客诚品等一线电商购物类品牌APP纷纷被植入扣费类病毒,成为非常明显的特征。这些一线知名品牌用户基数大,用户日均访问量和流量都比较大,打包党针对知名品牌植入病毒可以面向最广大用户依附吸金,暗扣资费消耗流量,普通用户却往往无法察觉。打包植入病毒代码成为打包党以及制毒者或制毒机构入侵手机购物、电商类APP的主要方式。

      另一方面,在目前国内一些应用市场上,存在着大量流行或热门的山寨App,甚至在图标和色系方面一模一样,足以以假乱真。手机购物、电商类App也已经成为山寨侵袭、病毒二次打包的重点对象。

      打包党针对电商、购物类软件有针对性的植入恶意扣费病毒暗扣资费精准获利已成为潜在趋势。,对此现象,第三方支付行业、手机电商行业、手机安全行业与用户都应引起足够的关注和警惕。

第六章 2013年上半年手机病毒类型比例分析

6.1 2013年上半年Android手机病毒类型比例

      2013年上半年,Android病毒行为类型比例统计中,资费消耗类病毒行为一直是主流,占据43.90%的比例;隐私获取占比24.06%,诱骗欺诈类病毒行为占据12.65%;恶意扣费11.01%,恶意传播占比3.87%,远程控制、系统破坏、流氓行为分别占比3.61%、0.61%、0.29%。

      资费消耗类病毒目前已成为最为普遍的手机病毒行为,这类病毒一般未经用户允许在后台私自下载软件与推广软件,消耗用户资费,或者私自建立恶意应用安装快捷方式,消耗用户资费。与此同时,今年短期内瞬间爆发的云端指令广告类病毒也会在知名软件中强推广告的方式消耗用户资费流量。许多隐私窃取类病毒也往往存在严重的资费消耗行为,因此造成了资费消耗类病毒长期居高不下。

      2013年上半年,占24.06%的隐私窃取类病毒往往通过启动恶意服务,私自发送短信,同时监控短信收件箱,转发用户短信信息到指定手机号码,给用户造成隐私泄露。目前已发展到可嵌入到输入法软件中,监听用户键盘输入,并把输入内容上传到指定远端服务器,给用户造成隐私泄露。比如“键盘黑手”病毒。

      制毒者或制毒机构迫于攫取利润的刚性需求与本性,恶意扣费类病毒迅速发展并逐渐稳定,发展成多种扣费方式,自我防御与自我保护机制越来越强。比如可伪装成关键程序,诱导用户下载,在后台定期发送扣费短信,并且无法卸载。比如“系统杀手”,该病毒被内置到ROM中,具备系统最高权限,无法通过正常途径卸载,并可阻止指定安全软件安装,这类恶意扣费类病毒的危害在逐步增大。

      2013年上半年,恶意传播类病毒异军突起。”推荐密贼“与”鬼推墙“病毒是该类病毒的典型代表,该类病毒通过在后台监控知名软件的运行,通过在这些知名软件界面中强行显示广告等病毒行为来推广传播广告,获取广告分成和利润,并间接损耗知名软件的品牌声誉,对移动互联网行业和用户都造成了巨大影响。

 

6.2 2013年上半年Symbian系统手机中毒比例

      2013年上半年,Symbian系统病毒行为比例中,继续呈现出以资费消耗类、诱骗欺诈、系统破坏类病毒为主,呈现三分天下的格局。其中,资费消耗类手机病毒占比30.23%、诱骗欺诈类占比25.32%、系统破坏类占比21.35%、恶意扣费类、隐私获取类病毒分别占比9.17%、9.05%;远程控制、流氓行为、恶意传播类病毒分别占比2.34%、1.74%、0.8%。

      2013年上半年,Symbian平台,手机病毒行为趋向于多元化,扣费类病毒往往含有资费消耗、隐私读取的特征,甚至包含的扣费的病毒行为,这类病毒一般都自启后私自联网消耗数据流量,占用短信端口,私自发送短信,订购高额的SP收费业务;甚至还会获取用户手机imei、imsi等手机固件信息;比如s.payment.hotstv病毒。

      在Symbian系统,手机病毒擅长伪装,病毒往往会伪装成知名杀毒软件或者通话辅助类软件,潜藏于后台获取用户隐私信息或者在用户毫不知情之下扣取话费。

      无提示私自发短信,在用户毫不知情的情况下订购SP收费业务一直是Symbian系统扣费类病毒的主流特征。另外,系统破坏类病毒占据稳定的比例一直是Symbian平台病毒的一大特点。Symbian平台的系统破坏类病毒往往会开机自启后常驻后台运行,无法手动将其卸载,占用大量系统资源,影响手机和其他软件的正常运行。而试图破坏手机中安全杀毒软件、占用大量系统资源也是Symbian系统手机病毒区别于Android系统的典型特征。

      Symbian系统处于衰落之中,制毒者或制毒机构也在持续降低针对Symbian系统投放手机病毒的权重,Symbian平台持续衰落的趋势还在持续延续。

第七章 2013年上半年手机染毒省份区域分布

      在2013年上半年,十大中毒手机用户最多的省份和比例依次分别为为广东、浙江、江苏、四川、河南、北京、辽宁、福建、山东、湖南。

      2013年上半年,广东省毫无悬念的排名第一,占比达13.3%,感染人数达到576.1万,超过2012年广东省全年感染用户总数。2013年上半年,排名前十的省份或直辖市的手机用户染毒占全国的比例达到60.3%,感染用户排名前十的省份感染人数超过2602万,超过了2012年全年排名前十的手机用户染毒人次。

      2013年上半年,染毒手机比例占全国排名前五的省份分别是广东、浙江、江苏、四川、河南。中毒手机用户人次占全国比例分别为:13.3%、7.2%、6.7%、5%、4.7%。五省的染毒用户占全国的总比例为:36.9%。与2012年相比,前五省的感染用户占全国的比例有所下降,恶意软件的分布地区由集中化向均衡化和分散化发展。与2012年的对比可以知道,2013年上半年手机中毒大省由北向南转移的趋势非常明显。

      但在总体上,环渤海经济圈、长三角经济圈、珠三角经济圈是染毒手机集聚地区。在这三个经济发达地区,2013年上半年,当地水货手机出货量、出售量、新增Android手机用户数量、Android手机用户基数等均十分庞大,相对而言,在这三个地区的Android手机,染毒的几率与数量均超过中西部欠发达地区。

      但另一方面,手机中毒省份疫情进一步向中部经济快速发展省份推进,河南、四川两省进入前五,山东、湖南、广西三个中部省份均以占据全国3.7%、3.6%、3.4%的比例进入第八、第九、第十。随着中部省份民众经济收入提升,Android新兴智能机用户正快速增长,另外,换机大潮也在河南、四川、广西等中部省份集中出现,促成了众多手机用户从Symbian平台向Android平台的转化。

      另外,水货手机市场也拓展到中西部,中部河南、山东、湖南等省的智能机用户的换机速度与用户总量也在快速更新数据,这些地区的电子市场、手机论坛用户群日渐成型并逐渐活跃,刷机用户增长,刷机染毒和手机论坛染毒在这些省份日渐成为突出现象。另外,中部尤其是西部地区的智能机用户手机安全意识稍滞后于北上广等地区用户,使用手机安全软件防御意识偏低,手机中毒的几率相对较高。

      手机病毒或恶意软件向中部新兴省份用户群扩散,北京、上海等发达地区的染毒比例也逐渐降低,比例分别为4.6%和2.6%,排名分别为第6和第17.

      资深黑客正在进一步优化各省份的病毒传播渠道,最大限度的从手机用户身上攫取非法利润,另一方面,Symbian中毒手机用户逐渐向三四线城市与中西部发展省份持续转移。Symbian系统持续衰落趋势在进一步持续。

 

第八章 2013年上半年2大手机安全事件

8.1 “推荐密贼”病毒爆发

      2013年4月21日,腾讯移动安全实验室专家监测到一款名叫“推荐密贼”的云指令控制恶意广告的病毒,该病毒可以在Android系统第三方知名应用的指定页面上强行显示推广广告信息。据腾讯移动安全实验室监测,微信、微博、QQ浏览器、腾讯新闻、百度搜索、hao123导航、安卓优化大师等知名品牌应用均被感染。“推荐密贼”病毒会自动检测是否含有微信、微博、腾讯新闻、百度搜索等知名应用,并针对这些知名应用投放广告,在特定的应用界面(如微信的聊天界面)利用云端指令控制广告显示。

      该病毒感染了包括“铁拳3D”等在内的300多款应用,据外部市场下载公开的数据显示,感染用户数最多的二次打包病毒应用 “铁拳3D”游戏的下载量就达28万,受到该病毒影响的用户数超66万,而且影响的用户也越来越多。

      云端指令类病毒类型在2012年就已经多次出现,但日前出现的“推荐密贼”病毒无疑在伪装性与云端控制的技术能力方面均已大大提升,腾讯手机管家通过动态检测技术,及时首家捕捉了该病毒。

      据了解,由于百度、腾讯、新浪等知名应用拥有海量用户群,该病毒通过监测这些知名应用的进程和窗口并投放恶意广告,影响了整个移动互联网行业的一线知名APP品牌形象,使有海量用户遭受病毒感染,引发了媒体与手机安全行业的集体预警,成为2013年上半年重大手机安全事件之一。

8.2 “权限杀手”病毒快速突袭用户手机

      2013年第一季度,腾讯手机管家查杀了一款高危病毒“权限杀手”,该病毒通过刷机包植入用户手机中,将Bluekey、Sndconsole 、Xinitd三个文件分别隐藏在系统目录下。这三个病毒程序各有明确的分工,分别负责防卸载、启动恶意程序、实施恶意行为,构成了严密的防查杀逻辑,具有很强的反卸载能力,“权限杀手”病毒通过水货刷机等渠道提前内置到10万余部安卓手机中。该病毒内置在ROM中,获取系统最高权限,并通过监控删除其他软件获取Root所使用的superuser.apk和su文件,从而禁止其他应用获取Root权限来删除自己,能很好地保护自己不被查杀。

      可以看出,权限杀手病毒在防查杀、反卸载、病毒程序分工协助上的智能化程度大大提升,引发了行业和用户的强烈关注。面对“权限杀手”病毒强大的反卸载能力,腾讯手机管家与趋势科技联合同步发布了“权限杀手”专杀工具,可以精准的检测手机是否存在“权限杀手”病毒,并根据具体情况给出有效的解决方案。

      2013年上半年ROM渠道病毒来源达到13%。手机刷机量、水货手机市场保有量进一步高涨,不法水货厂商与恶意开发者合作内置恶意软件等因素推动ROM渠道成为高危病毒来源,“权限杀手”病毒成为ROM病毒快速升级换代的一个典型案例,引发了行业与用户的关注,成为2013年上半年重大手机安全事件。

第九章 2013年上半年手机病毒传播渠道分析

      2013年上半年,手机病毒或恶意软件的渠道来源进一步分散化与多元化,电子市场与手机论坛以高比例占据主要渠道的趋势与布局在逐步减弱。

      如图所示,电子市场、手机论坛分别位列渠道来源的第一、第二,占比分别为21%、20%。手机资源站、捆绑传播比例持平,均占比16%。ROM内置、网盘传播与二维码传播分别占比13%、8%与6%。

      2013年上半年,国内第三方电子市场越来越多,电子市场作为用户最主要的应用下载来源和手机应用市场主要的分发渠道,制毒者或者制毒机构紧盯该渠道大肆投放病毒成为常态,因此电子市场也是手机用户染毒最多的渠道,随着越来越多的手机安全软件商家开始为应用商店、电子市场提供底层病毒查杀引擎并建立病毒查杀合作,致使主流电子市场针对病毒和恶意软件的检测率和查杀率相对有所提高,相对2012年全年27%的比例,2013年上半年电子市场染毒占比进一步降低至21%。

      2013年上半年,随着国内智能机市场进一步增长,众多热门机型推出新款,利润驱使并推动水货手机市场增长,水货手机销售市场空前繁荣,少数恶意软件开发者与部分水货商通过结成利益联盟,在水货手机ROM内置恶意软件,导致ROM渠道病毒感染用户数大幅增长,ROM内置渠道的传播正涌现出“权限杀手”等大量高危病毒,ROM传播的比例达到13%。

      恶意软件制作者或传播者通过网盘捆绑论坛提供下载链接的传播达到8%,手机论坛欠缺审核规范的应用下载环境,使得传播者通过“美女色情”等字眼包装诱惑用户下载,加之在手机论坛相对宽松的审核机制下,网盘传播的病毒感染比例一直趋于稳定,值得手机用户和手机安全行业引起足够的关注。

      相对2012年,2013年上半年二维码染毒的比例迅速攀升,达到6%。16%的手机病毒通过捆绑热门软件传播成为非常明显的特征,而通过二次打包篡改热门手机游戏进行感染传播是2013年上半年来十分普遍的现象。

第十章 2013年上半年手机安全特征与趋势分析

10.1 手机支付类病毒快速发展 网银风险大增

      2012年腾讯手机管家曝光的支付类病毒新宙斯木马肆虐,通过拦截用户的银行确认短信盗走了470万美元。2013年初,腾讯移动安全实验室截获了手机支付病毒a.expense.lockpush洛克蠕虫,该病毒首次感染了国内银行手机客户端——中国建设银行的,到5月,腾讯手机管家查杀了“伪淘宝”,该病毒可通过模拟淘宝官方的用户登录页面收集用户输入的淘宝帐号密码以及支付密码;6月份,腾讯手机管家又首家查杀了“键盘黑手”等支付类手机病毒,该病毒通过感染输入法软件,记录用户的信用卡、网银以及各种账户密码信息。手机支付类病毒迅速发展的趋势非常明显,并呈现出多个特征。随着移动支付在2013年进一步发展普及,病毒制作者或制毒机构针对Android平台的资源和病毒研发投入正在加大,制度者或制毒机构针对读取用户银行卡、信用卡以及账单支付信息的攫取进一步猖獗,手机用户的支付安全风险增大。

10.2 恶意广告类病毒泛滥 “牛皮癣”抹黑知名品牌形象

      云端恶意广告指令类病毒在2013年上半年以来得以迅速蔓延,损害了广大手机用户利益。2013年4月21日,腾讯移动安全实验室监测并查杀了一款名叫“推荐密贼”的云指令控制恶意广告的病毒,该病毒可以在微信、微博、QQ浏览器、腾讯新闻、百度搜索、hao123导航、安卓优化大师等Android系统第三方知名应用的指定页面上强行显示广告信息。众多一线知名品牌APP应用均被感染。

      继“推荐密贼”之后, 一款名为“鬼推墙”(a.rogue.centero)的病毒在6月18日又开始感染UC浏览器、天涯社区、植物大战僵尸、应用汇等知名应用,该病毒会对上述知名软件二次打包植入恶意广告代码,再通过云端控制指令针对微信、手机QQ、人人网、YouTube等知名软件大肆强制推送广告,造成海量用户被感染。

     其中“推荐密贼”会针对安卓优化大师首页、腾讯新闻、新浪微博、百度等手机客户端首页以及微信的会话界面投放“精品推荐”浮窗广告。“鬼推墙”病毒主要针对微信的联系人详情界面下方、微信朋友圈页面下方、百度搜索页面、ZAKER首页下方等进行强行推送浮窗广告。

      “推荐密贼”与“鬼推墙”两个病毒的共同点在于,制毒者或制毒机构针对知名软件(微信、微博、腾讯新闻、百度搜索、天涯社区等)指定页面强行显示的浮窗广告。不仅消耗手机流量,均让用户误认为浮窗广告是出自该知名应用自家投放的广告。对这些知名应用的品牌与用户体验造成了双重的伤害。“推荐密贼“与”鬼推墙“彰显出移动互联网广告行业的困境,部分APP开发商急于盈利的需求,通过与病毒制作者或制毒机构建立合作,发展成非法利益联盟。这类恶意传播类病毒具备可快速复制、变种能力强、恶意广告推送方式多元化的特征,加上有利可图,这种”投影广告“类病毒有着进一步扩散的趋势。手机用户应有安全感知,学会通过腾讯手机管家清理手机上的“牛皮癣”,确保手机安全清静。

10.3 手机游戏遭批量二次打包 加强审核成当务之急

      据腾讯移动安全实验室,病毒紧盯游戏二次打包篡改感染成为一种趋势。“打包党”针对手机游戏二次打包篡改,一般通过植入病毒代码或者广告插件的方式来攫取利润。据腾讯移动安全实验室5月监测,包含了广告插件的手机游戏软件包数达到44.3%的比例。含广告插件最多的游戏“死亡飞车2011”,含广告插件的软件达到了4834款。

      打包病毒的手机游戏以消耗流量与扣取资费为目的。比如“游戏杀手”(a.expense.afoynq)感染了包括了极限方程式赛车、黄金矿工、消灭星星、跑酷功夫熊猫、极限摩托等3279款游戏软件。一旦激活,便会从远程服务器下载其他软件,偷跑手机流量,可能会给玩家造成了严重的资费消耗。

      迫于短时营收压力,部分游戏 APP开发商、打包党会与移动广告平台签署协议,在应用中内置广告代码,甚至是直接嵌入恶意广告代码,借助移动广告分成来实现快速盈利变现之目的。这也是遭遇篡改的手机游戏大肆泛滥的最重要原因。

      随着目前热门游戏迅速的更新换代快,手机用户对游戏尝鲜心理需求驱动下,该渠道成为手机病毒传播的重要载体,通过将热门游戏二次打包批量传播可迅速有效感染海量手机用户,内置吸费代码或消耗用户资费,给用户造成经济上的损失,对于手机游戏市场的监管与规范,各大电子市场应加强审核的力度,防御山寨软件刻不容缓,进一步杜绝山寨软件或被病毒打包的恶意软件成为移动安全市场的威胁,无疑是当务之急。

第十一章 专家建议

      随着Android手机安全形势变得复杂,手机用户提升手机安全意识非常重要,移动安全实验室专家对手机用户做出如下建议。

      1.手机用户应通过正规安全的渠道下载官方版支付、购物类手机客户端比如在腾讯手机管家“软件游戏”下载应用,可确保绿色安全。随着二维码的流行和染毒风险增大,手机用户不要见码就扫,最好安装具备二维码恶意网址拦截的手机安全软件进行防护,比如带有安全识别的二维码工具,可降低二维码染毒风险。

      2.提升安全意识,对手机异常情况保持敏感度。用户不要点击收到的不明短信链接。随着套取用户网银账号与密码等信息的钓鱼网站也进一步增长,为避免遭受钓鱼网址等风险,手机用户可以安装腾讯手机管家开启恶意网址检测,避免钓鱼网址的攻击欺诈。

      3.目前针对知名软件的“投影广告”泛滥,若手机用户发现在手机内知名应用内含有莫名的浮窗广告,则说明手机可能已感染“投影广告”类手机病毒,手机用户可以下载腾讯手机管家更新病毒库,精准查杀该病毒。

      4.从正规的渠道购买手机或刷ROM包。在目前,许多水货手机往往在出货前就已经刷机或者内置了各种流氓软件,而这些刷入或内置入ROM的恶意软件包一般很难用常规手段卸载或清除,新买的手机应及时下载腾讯手机管家,获取Root权限,及时查杀ROM病毒与最新流行病毒。

      5.目前许多游戏软件遭二次打包篡改,暗含扣费代码或广告插件,因此手机用户应该对于流量资费的消耗保持敏感度,一旦发现异常,可通过腾讯手机管家有效查杀病毒或开启广告拦截功能,有效拦截banner广告。

      目前而言,用户还可以关注@腾讯移动安全实验室、@腾讯手机管家的官方微博以及相关的“恶意软件曝光”行动,对手机安全资讯做到全面把握和掌控,安享移动互联网生活。

      腾讯手机管家官方网站:http://msm.qq.com

      腾讯手机管家腾讯微博:http://t.qq.com/qqsecure

      腾讯手机管家新浪微博:http://weibo.com/qqmanager

      腾讯移动安全实验室官方微博:http://t.qq.com/QQSecurityLab

      版权声明:本报告中凡注明来源于“腾讯移动安全实验室”等一切图表数据及研究分析结论均属于腾讯公司版权所有,如需转载或摘编,敬请注明出处。

      2013年7月30日

      腾讯移动安全实验室