首页安全播报安全快讯 › 腾讯移动安全实验室2013年8月手机安全报告

腾讯移动安全实验室2013年8月手机安全报告

2013-09-17

2

       报告前言

       2013年8月,基于腾讯手机管家产品服务的腾讯移动安全实验室共截获病毒包82700个,其中截获的Android病毒包为79731个,占比达96.4%。截获的Symbian病毒包数为2969个。2013年8月,腾讯手机管家为用户查杀病毒次数达到1647万次。2013年8月,手机中毒的用户数达到922万。

       2013年8月,Android签名漏洞病毒大爆发成为行业大事件。

2013年8月,热门游戏成为“吸金诱饵”,“地铁跑酷”等知名游戏软件遭遇海量打包感染。当前新兴流行的热门游戏“疯狂猜歌”被手机病毒(a.fraud.langthing)二次打包感染,该病毒智能化程度非常高,会私自发短信、卸载杀毒软件、删除短信、监听短信、拨打电话等做出系列连贯病毒行为。

2013年8月,手机病毒盯上手机端相亲红娘APP,腾讯移动安全实验室截获一款名为a.fraud.fksoftupdate的Android手机病毒,该病毒感染了6款红娘相亲类应用。单身男女下载此类APP比例相对更高,更容易掉入陷阱。

2013年8月, Rom病毒再次大爆发。在2013年8月,ROM内置占据手机染毒渠道比例上升到15%。8月比较典型的ROM病毒为腾讯手机管家率先截获a.system.apkbox(“复活爬虫”),该病毒可在安装时绕过授权管理软件监控,直接获取ROOT权限,并且在用户删除病毒后重启手机又反复出现,无法清除。


2013年8月,在Android系统,占据全国染毒比例位居前五的省份分别为广东、浙江、江苏、北京、河南,染毒比例分别为13.99%、8.30%、6.33%、5.51%、5.02%。

第一章 2013年8月感染用户最多的十大手机病毒

2013年8月,感染用户最多的十大手机病毒感染用户总数超过157.8万。平均每个排名前十的手机木马感染用户超过15.7万。

感染用户排名前三的病毒是分别为a.expense.newginger、a.expense.dpn、a.expense.letang.a,感染用户数分别达到:38.2万、27.2万、24万,均为资费消耗类病毒。静默安装推广软件、私自下载推广软件是这类手机木马病毒普遍的特征。可以看出,在这类病毒木马急剧增长的背后,是恶意打包党在商业利益的驱使下,利用目前网盟推广的付费机制去不断牟取私利,造成该类手机木马病毒长期居高不下。

2013年8月, a.expense.newginger病毒感染用户达到38.2万,排名第一。该病毒可恶意嵌入其他软件,运行后下载恶意代码,同时获取用户的手机信息,给用户的信息安全造成威胁。鳄鱼小顽皮爱洗澡、手电筒、会说话的汤姆猫等知名软件纷纷遭遇该病毒的袭击。

2013年8月,感染用户数超过27.2万、排名第二的手机病毒a.expense.dpn是顽固性非常强的资费消耗类病毒。该病毒于2012年感染了唱吧等知名K歌软件。2013年上半年感染用户达到161.3万,是2013年上半年感染用户最多的手机病毒,曾感染天气通和三国大富翁等知名APP。如今,该病毒卷土重来,再次感染了唱吧、天气通等知名软件。

a.expense.dpn也是典型的恶意推广类病毒,针对唱吧等知名软件二次打包,可私自联网下载软件,静默安装推广软件。该病毒针对几款知名APP捆绑打包的针对性非常强,背后的商业意图也非常明显。病毒制作者通过偷偷在后台私自下载恶意推广软件包,通过这种方式,按照每个用户被推广的软件来计费,从广告联盟平台非法获取推广费用。

排名第五的为“伪MM画皮”是自2012之后频繁出现的高危病毒,该病毒的扣费方式十分新颖,可以在用户下载软件的时候,通过模拟扣费接口,屏蔽运营商回执短信,疯狂扣取用户资费。吸费、模拟、伪装手段非常先进。目前,在2013年8月,该病毒二次打包感染了人民币存款利息计算器、3G信号增强器、一键锁屏等工具应用类软件,感染用户数达13.1万,暗自扣取大量用户资费,而手机用户对此并不知情。

在感染用户最多的十大手机病毒当中,隐私获取类病毒占据40%,资费消耗类占40%。恶意扣费、诱骗欺诈类病毒各占10%。可以看出,获取手机固件信息、短信信息,位置信息是排名前十的隐私窃取类病毒读取的重要隐私项目。而对于这些制毒者或制毒机构而言,这三类隐私无疑具备商业价值。而8月感染用户最多的手机木马a.expense.newginger也具备隐私窃取的特征,随着隐私价值日益彰显,隐私窃取类病毒木马呈现稳定的增长趋势。

二、2013年8月感染APP最多的十大手机病毒

2013年8月,感染APP最多的十大手机病毒共感染APP达到304890款。其中,

在感染APP最多的十大手机病毒中,资费消耗类病毒有6个,即占比60%,隐私获取类病毒占比30%。

在2013年8月感染APP最多的手机病毒为隐私窃取类病毒a.privacy.counterclank。该病毒感染APP达到7.4万款,包括Network、test、live wallpaper、3D PhotoLive Wallpaper、Plants vs Zombies 2等系统软件或工具类软件。该病毒可通过创建桌面快捷方式,上传用户浏览器书签,收集手机固件信息,基于手机固件在隐私利益链的价值,通过打包系统类软件,获取用户手机信息的隐私获取类病毒呈现迅猛发展之势。

排名前三的病毒感染APP均已经超过4万款APP。它们分别为:a.privacy.counterclank、a.expense.tgpush、a.expense.actor.a。

2013年8月,感染APP排名第二、第三的手机病毒a.expense.tgpush、a.expense.actor.a均为资费消耗类病毒,未经用户允许,私自下载软件、私自发送短信消耗流量资费是最大的特征。启新游戏世界、连连看等各种趣味小游戏纷纷遭遇a.expense.tgpush二次打包感染。

病毒产生多个变种、病毒家族不断涌现,成群发展并席卷打包海量APP成为8月感染APP排名前十的手机病毒非常显著的特征。可以看出,排名前十的手机病毒有2对病毒家族,他们分别为:排名第四、第五、第九和第十的a.expense.fakeinstall.ze、a.expense.fakeinstall.zn、a.expense.fakeinstall.zf和a.expense.fakeinstall.zc病毒;排名第六和第七的a.privacy.popsp.g和a.privacy.popsp.i病毒。

排名第四的病毒a.expense.fakeinstall.ze为资费消耗类病毒,运行后会向多个号码发送短信,给用户造成资费消耗,并会诱导用户下载安装其他恶意软件。如前所述,感染APP数量第四的病毒a.expense.fakeinstall.ze有3个变种,并分别位居8月感染APP数量最多的病毒第五、第九、第十位,形成了庞大的病毒家族。该病毒家族感染APP总数量超过了9.4万款,为8月感染APP数量最多的病毒家族。该病毒家族感染了重要工具类软件:GooglePlay、FlashPlayer。可见手机病毒在商业利益的驱使下,不断形成变种发展成为手机病毒家族,并重点盯上谷歌电子市场,flashplay等重要必备工具类软件进行二次打包批量感染,有预谋的长期绑定这类软件成稳定吸金利润来源。

棋牌、影音类软件正在成为手机病毒新的重点感染APP种类。a.payment.kmcharge感染了3G手机电影安装程序、手机视频播放器安装程序等影音类APP。而a.privacy.Popsp.i感染了国内常见安装频率非常高的斗地主、中国象棋等棋牌类游戏,a.privacy.popsp.g则与a.privacy.Popsp.i是同一个隐私窃取类病毒家族,两者互为病毒变种,上传用户手机固件信息成为重要特征。其中,斗地主已成为病毒打包感染的非常频繁的高危APP,尤其值得手机用户重视。

三、8月Android系统病毒特征比例

在2013年8月, Android病毒行为类型比例统计中,资费消耗类病毒行为占据46.09%的比例;隐私获取占比13.98%,诱骗欺诈类病毒行为占比12.33%,恶意扣费类病毒行为占比10.6%,恶意传播占比10.4%,流氓行为占比5.01%,远程控制占比1.07%、系统破坏占比0.52%。

资费消耗类病毒占比达到46.09%。资费消耗类病毒依然占据着最大的比例。许多手机病毒附带恶意推广的特征,恶意下载推广子包,在这方面消耗流量巨大,而恶意推广类病毒在8月继续泛滥,这类病毒开机强制启动,打包捆绑并恶意推送其他应用是典型特征,给用户造成资费消耗。感染当前热门游戏“疯狂猜歌”的病毒a.fraud.langthing则是典型的恶意推广类病毒。该病毒包含病毒子包,激活病毒子包后会发送短信到指定号码,并会申请设备管理器权限使病毒子包无法卸载,给用户造成多重损失。另外,恶意扣费、隐私获取、恶意传播类病毒往往附带多种特征,导致资费消耗类病毒一直居高不下。

占比达13.98%的隐私获取类病毒逐渐趋于稳定化。该类病毒可伪装成热门或系统软件,偏向于窃取用户通话录音、地理位置、短信信息、用户联系人等系列社交类隐私信息,典型的隐私获取类病毒是a.remote.fakeBluetooth,该病毒安装后会私自发送短信、卸载杀毒软件、删除短信信息、监听短信、拨打电话、读取联系人、监听通话,通过高智能化的系列连续的幕后操作,将手机用户的社交类隐私几乎一网打尽。

恶意传播类病毒呈现快速发展的趋势,达到10.4%;恶意扣费类病毒也高达10.6%。定制SP业务是恶意扣费病毒的典型特征。总体来说,在目前,占比最大的资费消耗类病毒恶意推广的特征进一步明显,典型表现在后台下载推广的安装包或恶意子包,推广软件的特征进一步明显。

四、Symbian系统病毒特征比例

2013年8月,在Symbian系统病毒行为比例中,依然是以资费消耗、诱骗欺诈、系统破坏为主的格局。其中,资费消耗类手机病毒占比30.58%,位居第一。诱骗欺诈类占比27.03%,系统破坏类占比22.21%,恶意扣费类占比10.07%,隐私获取类占比7.89%,远程控制类占比1.36%,流氓行为类占比0.52%,恶意传播类占比0.34%。

Symbian系统中的位居第一的资费消耗类病毒有着显著的特征,病毒被安装后往往无提示私自联网偷偷消耗用户的流量。同时,Symbian系统手机病毒行为还有着多元化的特色,资费消耗类病毒往往还同时具备着其他病毒行为特征。如仍活跃在Symbian系统的病毒s.expense.systemplugin.d,该病毒常捆绑在其他应用中,无启动图标,自启后私自联网,消耗用户数据流量并且无法手动卸载,占用大量系统资源,可能影响手机和其他软件的正常使用,兼具资费消耗与系统破坏的特征。

典型的恶意扣费类病毒往往通过无提示私自联网,占用短信端口,私自发送短信订购SP收费业务造成用户资费损失。除此之外,其他如诱骗安装、隐私读取、擅长伪装等各类病毒的一贯典型特征均活跃在Symbian的舞台。但从总体的趋势上来看,Symbian系统被投放的病毒量日渐降低,Symbian系统的衰落趋势仍在持续延续。

五、8月各省份区域手机染毒比例

2013年8月,感染Android手机病毒或恶意软件最多的十大省份或直辖市分别是广东、浙江、江苏、北京、河南、四川、福建、广西、山东、河北。

在Android系统,广东省以13.99%的比例继续高居第一,环比呈现小幅增长趋势。Android系统占据全国染毒比例分别位居前五的省份为广东、浙江、江苏、北京、河南,染毒比例分别为13.99%、8.30%、6.33%、5.51%、5.02%。

在Android系统,手机染毒区域呈现出环渤海、长三角、珠三角经济辐射区域为染毒重灾区。可以看出制毒者或制毒机构以经济导向划定手机病毒重点投放渠道和区域。三大发达经济区域成手机病毒或恶意软件高发地带.在北上广以及经济辐射地区,Android智能机用户量大,移动Wifi网络覆盖普及率更高,手机用户免流量下载APP和使用APP的几率更高,也是造成手机染毒机率大幅提升的客观原因。

广东、河南、四川三个省份均为人口大省,这三省份的染毒比例分别占全国第一、第五、第六,并呈现基本稳定的特征,这也体现出手机染毒与省份人口分布与经济发展趋势呈现出了一定的一致性。

四川、福建、广西、山东、河北、辽宁、湖南等省份是遭遇手机病毒感染的第二梯队省份,呈现稳定的比例分布趋势。其中,四川、福建两省手机染毒占全国比例分别为4.32%、4.23%。这两省目前的水货手机进销渠道日渐完善,水货手机泛滥,少数不法水货商基于商业目的,人为植入恶意软件,用于收集用户隐私或推广软件,导致Rom病毒一定程度增长,Android智能机市场逐渐兴盛,但智能机用户安全意识有待提升。

在Symbian系统,感染手机占全国比例前五的省份分别是广东、四川、山东、河南、河北,比例分别为8.34%、8.01%、7.25%、7.02%、6.06%。相对Android系统,Symbian系统染毒重心更偏向于中西部省份。四川、山东、河南、河北等中西部经济发展省份Symbian染毒用户占全国比例非常突出。

随着Symbian系统衰落趋势进一步加剧,Symbian进一步边缘化,在经济发达地区,Symbian逐步退出了历史舞台。Symbian忠实用户大多聚集在中西部发展省份和地区,造成了中西部省份Symbian染毒比例高于沿海发达地区。

六、2013年8月传播渠道分析

目前,国内外电子市场收录应用呈现出数量越来越多、规模越来越大的趋势,由于这些电子市场的开放性和便捷性,电子市场俨然成为手机用户下载游戏、软件工具等应用最主流的渠道,与此同时,这也是感染病毒的最大风险渠道。根据8月最新数据显示,电子市场病毒来源占比最高,为23%。绝大部分手机病毒都是在应用软件安全审核上线之前被检测发现,电子市场作为最大的APP下载和病毒来源渠道,安全风险值得重视,目前各大手机安全厂商已加强了对主流电子市场的安全检测。

手机论坛以社区的形式聚集了海量的手机用户,手机论坛病毒来源占比稍低于电子市场,达20%,位居第二。在手机论坛,针对用户的上传审核机制依然不完善,经过二次打包被篡改成恶意软件、手机木马的手机游戏、工具等应用快速批量感染了海量用户。受此影响,网盘传播也成为病毒传播渠道之一,占比达3%。

8月作为手机销售的一个旺季,市场上水货手机出货量大增,少数恶意软件厂商利用此机会通过对水货渠道的内置恶意软件非法营利,同时,黑色刷机产业链通过刷机渠道植入第三方恶意ROM包,使得ROM内置病毒来源占比进一步上升,达到15%。腾讯手机管家于8月首查杀的“复活爬虫”就是典型的ROM病毒。ROM渠道的安全风险不容忽视。

此外,二维码渠道病毒传播势头依然强劲,比例达到8%。正是由于二维码迅速普及成为新的潮流,使得二维码成为制毒者或制毒机构青睐的传播途径之一,一些二维码当中被暗藏恶意软件下载或恶意网址严重影响着用户的手机安全。

2013年8月, 软件捆绑和手机资源站依然是主要的病毒传播渠道,分别占比16%和15%。通过二次打包植入恶意代码捆绑知名热门软件感染海量用户,选择用户聚集的手机资源站投放病毒都已成为制毒者或制毒机构的惯用手段。

七、专家建议

随着Android手机安全形势变得复杂,手机用户提升手机安全意识非常重要,移动安全实验室专家对手机用户做出如下建议。

1.手机用户应通过正规安全的渠道下载官方版支付、工具、游戏等各类手机APP,比如可在腾讯手机管家“软件游戏”下载应用,均经过手机安全厂商安全检测,可确保绿色安全。

2.手机用户不要见码就刷。随着二维码的流行,目前已成为增长最快的染毒渠道,风险进一步增大,手机用户最好安装具备二维码恶意网址拦截功能的手机安全软件进行防护,或者安装带有安全识别的二维码工具进行二维码扫描,如此可降低二维码染毒风险。

3.提升安全意识,对手机资费的异常情况保持敏感度。目前许多游戏软件遭二次打包篡改,暗含扣费代码或广告插件。许多恶意推广、资费消耗类病毒往往会在后台私自下载安装包,消耗用户资费流量,因此手机用户应该对于流量资费的消耗保持敏感度,一旦发现异常,可通过腾讯手机管家有效查杀病毒或开启广告拦截功能,有效拦截各类恶意广告。

4.从正规的渠道购买手机或刷ROM包。在目前,许多水货手机往往在出货前就已经刷机或者内置了各种流氓软件,而这些刷入或内置入ROM的恶意软件包一般很难用常规手段卸载或清除,新买的手机应及时下载腾讯手机管家一类的手机安全软件,获取Root权限,及时查杀ROM病毒与最新流行病毒。

5.综合来说,建议手机用户养成使用安全软件来保护手机安全的良好习惯。手机用户可下载安装如腾讯手机管家一类的手机安全软件定期给手机进行体检和病毒查杀,并及时更新病毒库。针对最新流行肆虐危害较大并且难以清除的病毒或者漏洞可下载专杀工具及时查杀或修复。

目前而言,用户还可以关注@腾讯移动安全实验室、@腾讯手机管家的官方微博以及相关的“恶意软件曝光”行动,对手机安全资讯做到全面把握和掌控,安享移动互联网生活。

腾讯手机管家官方网站:http://msm.qq.com

腾讯手机管家腾讯微博:http://t.qq.com/qqsecure

腾讯手机管家新浪微博:http://weibo.com/qqmanager

腾讯移动安全实验室官方微博:http://t.qq.com/QQSecurityLab

2013年9月12日

版权声明:本报告中凡注明来源于“腾讯移动安全实验室”等一切图表数据及研究分析结论均属于腾讯公司版权所有,如需转载或摘编,敬请注明出处。



安全快讯 更多

Lipizzan间谍软件

Lipizzan间谍软件

2017-07-28
CopyCat肆虐全球

CopyCat肆虐全球

2017-07-07
腾讯手管详解勒索新手段

腾讯手管详解勒索新手段

2017-06-30

安全视频 更多

小管说安全(2)——红包炸弹

2017-07-24

小管说安全(1)——前任疑云

2017-05-23

腾讯手机管家协助佛山公安破获校讯通手机病毒大案

2016-07-19