首页安全播报安全快讯 › 腾讯移动安全实验室2013年第三季度手机安全报告

腾讯移动安全实验室2013年第三季度手机安全报告

2013-10-21

腾讯移动安全实验室2013年第三季度手机安全报告

报告概述

2013年第三季度,智能机市场进一步繁荣,Android系统的手机安全风险也在进一步增长。Android签名漏洞与Android网页挂马漏洞大爆发,成为标志性的两个行业大事件。

2013年第三季度,基于腾讯手机管家服务的腾讯移动安全实验室共检测截获手机病毒包总数254732个。其中,截获的Android平台病毒包达到245839个,Symbian平台截获的病毒包总数为8893个。在Android系统截获的病毒包占比96.5%。

腾讯手机管家针对Android平台与Symbian平台的查杀病毒包数、第三季度染毒手机用户数、手机病毒查杀次数,Android系统分别是Symbian系统的27.6倍、15.29倍、20.77倍。

由于Android系统的开放性,基于Android系统的各类ROM也层出不穷。2013年第三季度,高危ROM病毒“复活爬虫”入侵手机ROM,直接获取ROOT权限,并且在用户删除病毒后重启手机又反复出现,无法清除,并可通过病毒子包窃取隐私,恶意下载软件,偷跑流量,危害巨大。腾讯手机管家率先推出“复活爬虫”(apkbox)专杀工具,有效查杀并彻底清除该病毒。

截至2013年9月底,腾讯手机管家用户主动举报骚扰短信累计超过9.05亿条,2013年第三季度新增用户主动举报垃圾短信数为1.87亿。广告类垃圾短信占比93.16%。2013年第三季度,随着《中国好声音》在这个夏天再度火爆,有关《中国好声音》的诈骗垃圾短信大肆泛滥。

2013年第三季度,在Android系统,广东省手机中毒用户比例占据全国13.78%的比例,位居第一。2013年,广东省染毒手机用户已连续三个季度占据全国第一。手机染毒占全国比例位于前五的省份或直辖市依次是:广东、浙江、江苏、北京、河南。

2013年第三季度,Android系统、Symbian两大平台手机病毒感染用户总数近2789.5万人次;腾讯手机管家在Android、Symbian两大平台共为用户查杀病毒4911.06万次。

2013年第三季度,热门手机游戏纷纷遭手机病毒二次打包篡改。遭遇病毒篡改感染用户最多的十大手机游戏分别是:战神OL、格斗之王3、雷电2、疯狂赛车、会说话的汤姆猫、PopStar、鳄鱼小顽皮爱洗澡、会说话的3D猫完美版、BeatMouse、雷电2012HD。这十大遭篡改的游戏感染用户达到304.7万。

第一章  2013年第三季度手机安全概况

2013年第三季度,基于腾讯手机管家服务的腾讯移动安全实验室共检测截获Android、Symbian手机病毒包总数254732个。其中,截获的Android平台病毒包达到245839个,Android系统截获的病毒包占两大平台截获病毒包总数的96.5%。Symbian平台截获的病毒包总数为8893个。

1.1 Android病毒包数是Symbian27.6倍

可以看出,腾讯手机管家在Android平台截获的病毒包是Symbian平台的27.6倍。2013年第三季度,腾讯手机管家截获的病毒包总数环比增长16%。

在2013年第三季度,在Android、Symbian两大系统,腾讯手机管家截获的病毒总包数均呈现逐月递减趋势。在Android系统,7月截获病毒包达到90989个,达到2013年三个季度以来的最高位,之后呈现缓慢下滑趋势。8、9月份截获的病毒包虽然呈现小幅下滑,但病毒包数依然达到了79731、75119个。

2013年以来,在Android系统,单一手机病毒针对知名应用二次打包变得非常普遍,通过这种方式可以使得单个病毒包可迅速批量复制感染海量用户,为制毒者或制毒机构快速带来巨大非法利润,已成为主要的病毒渗透方式,因此,手机病毒包数虽然呈现一定下降趋势,但手机病毒普遍依赖二次打包的方式迅速传播,使得染毒手机用户数依然呈现逐月快速递增趋势。

在Symbian系统,7、8、9三个月截获的病毒包数分别为:3046个、2969个、2878个,呈现缓慢下降的趋势,这与Symbian衰落大趋势相关。

1.2 2013年第三季度手机染毒用户逐月持续增长

2013年第三季度,Android系统、Symbian两大平台手机病毒感染用户总数近2789.5万人次,环比增长达19%;其中,Android系统7、8、9三个月的感染用户数分别为809.9万、864.3万、943.9万,呈现逐月递增的趋势。在Symbian系统,2013年7月、8月、9月的手机染毒用户人次分别为:57.17万、57.76万、56.34万。

第三季度平均每月感染用户数929.8万人数,相比上一季度,平均染毒手机用户每月增长149万人次。

从Android、Symbian系统的各自的平台来看,2013年第三季度,Android系统的染毒手机总用户达到2618.2万人次,Symbian系统染毒总用户为171.2万人次,Android系统染毒总人次是Symbian系统手机染毒总人次的15.29倍。

2013年第三季度的Android手机染毒用户延续了上一季度的高用户基数染毒、逐月迅猛增长的趋势,由于每月手机染毒的用户基数大,加之在制毒者或制毒机构的逐利性驱使下,Android系统这种高速增长的态势让人担忧。

在Symbian系统,手机染毒用户呈现出平稳下滑的趋势,这与Symbian系统衰落的大趋势息息相关,制毒者或制毒机构更多的针对Android系统投放手机病毒,这也从侧面反映出Symbian系统的衰落。

1.3 2013年第三季度新增病毒包数逐月递减

2013年第三季度,腾讯手机管家在Android、Symbian两大平台共为用户查杀病毒4911.06万次,平均每月为用户查杀病毒超过1637万次,其中,Android平台的病毒查杀总次数为4685.5万次,占比达到95.4%,其中,Symbian系统病毒查杀次数仅占比4.6%。

在Android系统,7月、8月、9月三个月,腾讯手机管家第三季度为用户查杀病毒次数分别为:1561.8万次,1441.6万次、1573万次、1670.8万次,呈现逐月递增趋势,平均每月查杀病毒次数为1561.85万次,9月是2013年第三季度Android病毒查杀次数最高月。

在Symbian系统,2013年7月、8月、9月三个月,腾讯手机管家分别为用户查杀Symbian病毒次数为77.7万次、73.9万次、73.8万次。

可以看出,第三季度,腾讯手机管家在Android系统查杀病毒次数是Symbian系统查杀次数的20.77倍。

综上所述,腾讯手机管家针对Android平台与Symbian平台的查杀病毒包数、第三季度染毒手机用户数、手机病毒查杀次数,Android系统分别是Symbian系统的27.6倍、15.29倍、20.77倍。这种悬殊的差异体现出Android系统病毒正呈现井喷趋势,Android系统已成为手机病毒的主战场。另外,在手机病毒查杀次数上,Android是Symbian的20.77倍,在三组数据对比中,病毒查杀次数的Android与Symbian对比,呈现的倍数最大,这体现出,同一病毒被多次查杀的情况正在Android涌现,手机病毒针对多个APP打包感染的情况在Android系统正在泛滥。

第二章 2013年第三季度用户举报骚扰短信累计超过9.05亿

截至2013年9月底,腾讯手机管家用户主动举报的骚扰短信累计超过9.05亿条,2013年第三季度新增用户主动举报垃圾短信数为1.87亿。垃圾短信呈现大规模泛滥的势头。腾讯移动安全实验室监测,垃圾短信也呈现出了特定的潮流倾向,针对当前娱乐热点与市民心理需求发送相关的垃圾短信的内容的倾向非常明显,花样翻新,让人防不胜防。

腾讯移动安全实验室监测,在2013年第三季度,新增了1.87亿条腾讯手机管家用户主动举报的垃圾短信,在腾讯手机管家用户主动举报的垃圾短信中,广告类垃圾短信占据绝对的主流,占垃圾短信总数的93.16%,另外,违法宣传、诈骗短信分别占3.42%、2.39%.其他类占比1.03%。可以看出,在垃圾短信的三大类的比例中,广告类垃圾短信呈现出一家独大的趋势,这与广告类垃圾短信成本低,精准达到率高紧密相关,相对而言,垃圾短信广告也处于法律法规监管的真空地带,打擦边球的相关企业越来越多,使得广告类垃圾短信长期占据着垃圾短信总量的90%以上的比例。

2.1 广告类垃圾短信占比93.16% 呈现一家独大趋势

在广告类垃圾短信中,卖场促销、房产推销、网店电商分别占据广告类内容垃圾短信占比的前三位,占比分别为44.25%、17.27%、12.03%。

在广告类垃圾短信中,卖场促销占据44.25%的比例,占广告类垃圾短信的主流。相对比其他广告宣传或推广形式而言,短信推广的成本较低,到达率与客户定位更为精准,加之各种电商价格站促销战不断,这使得他们纷纷选择广告类短信轰炸来进行宣传推广获取用户。这些因素使得卖场促销广告类的垃圾短信达到44.25%的高比例,随着房地产市场价格持续走高引发全民关注,房地产垃圾短信也跟着水涨船高。

2013年第三季度,违法类垃圾短信占据垃圾短信总数的3.42%,位居第二.在违法类垃圾短信中,高利贷、发票销售、学历买卖位居违法类垃圾短信内容占比的前三,分别占违法类垃圾短信的43.9%、20.67%、13.84%。高利贷类垃圾短信成为违法类垃圾短信的主流。

在2013年第三季度,诈骗类垃圾短信占据垃圾短信总量的2.39%,位居第三。在诈骗类垃圾短信中,中奖钓鱼、假冒亲友房东转账、手机窃听监控、冒充通知类比例占据诈骗类垃圾短信的内容类别的前四位,分别占诈骗类垃圾短信的比例为49.95%、38.18%、7.25%、4.62%。

腾讯移动安全实验室监测,中奖钓鱼类诈骗垃圾短信占比达49.95%,占据诈骗类垃圾短信内容的半壁江山,诈骗分子紧随时代娱乐潮流炮制诈骗短信内容的倾向非常明显,随着《中国好声音》第二季等热门选秀娱乐节目的开播,短信诈骗分子紧盯潮流,通过炮制大量热门娱乐中奖类诈骗短信向社会阅历浅的手机用户身上骗取钱财。

2013年以来,房东转账类诈骗短信占38.18%,这类诈骗短信曾使不少手机用户“中招”,成为诈骗分子非常青睐与常用的诈骗手段。在微博等渠道,该类诈骗短信屡屡被大量手机用户曝光,目前已经引起广大手机用户的警惕,腾讯移动安全实验室专家提醒用户,可通过安装安全软件智能拦截这类垃圾短信,免受经济损失。

2.2 冒名《中国好声音》娱乐节目诈骗短信持续泛滥

2013年第三季度,随着热门娱乐节目《中国好声音》第二季火热开播,针对《中国好声音》的诈骗短信接连来袭。腾讯手机管家后台用户举报中心检测到,许多用户通过腾讯手机管家一键举报按钮举报了大量的假冒《中国好声音》的中奖类诈骗短信。下图腾讯移动安全实验室摘选了部分典型的冒充《中国好声音》的诈骗类垃圾短信。

“恭喜!您号码已成为《中国好声音》节目幸运星。请用电脑打开zics**.com查收7.8万圆及笔记本一台。您的验证号:7688。”

“恭喜!您的手机号码已被浙江卫视《中国好声音》栏目组抽取为场外二等奖幸运观众。您将获得奖金¥8.8万元与苹果笔记本电脑一台,活动限【当天领取】详情请登陆活动官网: www.zjv**2.com 查询领取。请牢记您的验证码:【6558】【本消息由中国好声音栏目组系统发出】“

可以看出,这类冒充《中国好声音》的中奖类诈骗短信基本是以巨额奖金或者苹果笔记本、ipad等贵重礼品等利益进行诱惑,通过针对用户的领奖流程的真实化模拟,以及通过出示诈骗网站的备案号、《中国好声音》节目主持人、公证人的照片等一步步诱骗手机用户走入陷阱,通过系列操作流程并向用户索要手续费等方式诈骗用户钱财。腾讯移动安全实验室专家提醒用户,目前诈骗分子通过冒名知名娱乐选秀节目实施电信诈骗的频率非常高,通过借热门娱乐节目在受众中的知名度和影响力,进而以高诱惑奖金、近乎真实的模拟领奖操作流程向手机用户伸出黑手诱骗钱财。与此同时,大量冒名《快乐男声》的中奖诈骗短信被腾讯手机管家拦截以及被用户举报。以下是手机用户主动通过腾讯手机管家一键举报的冒充《快乐男声》的诈骗短信。

腾讯移动安全实验室专家提醒,手机用户对莫名接收到的当前热门娱乐节目中奖类短信应该引起高度警惕,可通过安装腾讯手机管家,开启垃圾短信智能拦截模式,拦截此类诈骗短信,用户也可以通过腾讯手机管家举报按钮一键举报到12321垃圾短信举报中心,从而避免遭受诈骗短信的欺诈风险。

第三章 2013年第三季度感染用户最多的十大手机病毒

2013年第三季度,感染用户最多的十大手机病毒感染用户达到539.2万,感染用户最多的病毒为a.expense.newginger,感染用户达到111.3万,并恶意嵌入其他软件,运行后下载恶意代码,同时获取用户的手机信息。手电筒等必备系统软件被该病毒感染。

资费消耗类病毒在感染用户最多的十大病毒达到6个,即占据60%。

感染用户最多的三大手机病毒分别为:a.expense.newginger、a.expense.dpn、a.expense.letang.a,均为资费消耗类病毒。感染用户分别达到:111.3万、80.1万、66.4万。

a.expense.dpn感染用户达到80.1万,排名第二。该病毒感染了Street BasketBall等游戏软件,启动后私自联网下载软件,静默安装推广软件,是典型的具备恶意推广特征的资费消耗类病毒,该病毒曾于2012年感染了唱吧等知名K歌软件。2013年上半年感染用户达到161.3万,是2013年上半年感染用户最多的手机病毒。如今,该病毒在第三季度在感染用户最多的十大手机病毒中排名第二,这种顽固性病毒的危害性不容忽视。

排名第三的病毒a.expense.letang.a可通过私自下载推广软件消耗流量。感染的典型软件则是TexasPoker这款知名扑克牌游戏软件。感染用户达66.4万、排名第四的病毒a.expense.91zan则通过私自下载安装包,同时私自修改用户的APN设置,给用户造成资费消耗等多重损害。

在2013年第三季度,感染用户排名前五的手机病毒均为资费消耗类病毒,私自下载推软件、私自下载安装包、私自发送短信、静默安装推广软件是2013年第三季度感染用户最多的五大资费消耗类病毒综合体现出来的典型特征。

2013年第三季度,感染用户最多的六大资费消耗类病毒表现在后台下载推广的安装包或恶意子包,推广软件的特征表现的非常明显。恶意推广已成为制毒者或制毒机构快速盈利的重要方式,但这种通过在正版软件中植入广告插件或者私自强推下载恶意软件包的病毒行为,对手机用户造成巨大的资费损失而用户却并不知情。

在2013年第三季度感染用户最多的TOP10手机病毒中,隐私窃取类病毒占据3个,即占30%的比例。他们分别是排名第6、第9、第10的a.privacy.counterclank、a.privacy.smssend、a.privacy.dlwx。值得一提的是,a.privacy.counterclank病毒感染了高仿iPhone 4s的桌面壁纸软件—iPhone 4s,对于追求iPhone手机视觉体验的Android用户而言,对这类壁纸软件应引起必要的警惕。

收集手机固件、短信信息、位置信息成为这三个隐私窃取类病毒的重要目标,而这三类隐私信息由于具备一定的商业价值,已成为隐私窃取类病毒普遍获取的第一目标隐私。

可以看出,移动互联网时代,个人隐私的商业价值彰显,而恶意推广的非法利润空间巨大,加之资费消耗类病毒的隐蔽性与恶意推广的便捷性,制毒者或制毒机构针对海量APP二次打包的高危病毒基本集中在资费消耗类与隐私获取类病毒,制毒者或制毒机构倾向针对这两类病毒的投毒意识正在加强。

第四章 2013年第三季度感染APP最多的十大手机病毒

在2013年第三季度,感染软件最多的十大手机病毒感染APP总数达到7.36万。其中,感染软件最多的手机病毒为隐私窃取类病毒a.privacy.counterclank,该病毒感染软件达到34718款,该病毒同时也是2013年第三季度感染用户最多的十大病毒之一,感染用户达到42.2万。该病毒的危害在于该病毒可创建桌面创建快捷,收集手机固件信息,给用户隐私造成安全威胁,并感染了iPhone 4s壁纸等知名软件。

排名第二、第三的手机病毒分别为:a.expense.stask、a.expense.actor.a。感染软件分别达到7654、6755款。

排名第五的病毒a.expense.newginger病毒感染了“手电筒”等必备软件。该病毒通过恶意嵌入其他软件,运行后下载恶意代码,同时获取用户的手机信息,通过大肆打包“手电筒”等必备软件有效席卷海量用户。腾讯移动安全实验室专家分析,感染“手电筒”的病毒家族正在规模化出现。手电筒作为手机用户的必备软件,日常使用率高,卸载率非常低,手机病毒针对该类软件二次打包感染可以长久捆绑用户,持续恶意下载软件或弹广告获利,目前已成为手机病毒打包感染的青睐对象。

值得一提的是,排名前十的病毒a.expense.mdk.f感染了知名软件“割绳子”等2699款软件,该病毒安装后,开机强制启动,从远端服务器私自下载恶意脚本代码,给用户造成资费消耗并存在恶意传播的行为。

可以看出,热门游戏软件(割绳子、iPhone4S壁纸)、装机必备APP(手电筒等)等类型的软件装机量高,日均下载量大,病毒针对这些热门软件或游戏二次打包大批量感染手机用户的趋势依旧非常明显,在2013年第三季度感染软件最多的十大手机病毒中,资费消耗类病毒占据了9个,即高达90%。可以看出,资费消耗类病毒正在呈现迅速泛滥之势,而这些资费消耗类病毒大多体现出了私自向多个号码发送短信或私自下载安装包恶意推广的行径,来消耗用户资费,体现出目的性非常明确的逐利倾向。

第五章 2013年第三季度被病毒篡改感染用户最多的十大应用

2013年第三季度,被病毒包篡改感染用户最多的十大应用分别是:易便签、精品推荐、Maxthon Browser、酷我音乐、美眉热播、Mobile Video、手电筒、天气通、易购、成人必备。这十大遭病毒篡改的应用软件感染用户超过208.9万人次。

遭手机病毒二次打包病毒感染最多用户的手机应用类APP是“易便签”。作为一款管理每天日程的便签软件,由于其实用性与便利性,也成为许多上班族的必备软件之一。由于这类软件媒体关注度低、安装用户量相对也较多,稳定性好,成为手机病毒紧盯的目标。2013年第三季度,易便签遭3150个病毒包篡改、感染用户超过33.9万,而遭遇感染的典型病毒有a.privacy.fakelight.b等隐私窃取类病毒。便签类软件作为日常管理类软件,往往会遭遇隐私窃取类病毒感染。

美眉热播和成人必备成为手机病毒热衷打包的对象,分别遭遇9450、7200个病毒包打包篡改,感染用户分别达到18.46万和16.1万,排名第5和第10.

感染美眉热播的病毒有a.payment.moonplayer、a.expense.mdk.za等9450个病毒包席卷打包感染,而a.payment.moonplayer病毒以情色内容引诱用户安装,启动后私自下载其他安装包,并发送短信订阅服务,并实施恶意扣费等病毒行为,造成用户多重损失。

感染成人必备的病毒包括a.payment.ms.b、a.privacy.counterclank等7200个病毒包。a.payment.ms.b病毒会自动在后台随机向指定的SP端口号发送扣费短信,同时屏蔽SP商的确认短信;另外,病毒会把云端指令的操作记录发送到指定的手机号,造成手机用户遭遇扣费与隐私泄漏的双重损失。

美眉热播与成人必备这类暗含情色类倾向的APP往往成为许多宅男在各大APP下载渠道搜寻的目标和手机内必备APP之一。更多的情况是,美眉热播、成人必备等诱惑性APP往往会被手机病毒二次打包之后,上传到手机论坛等审核机制并不完善的APP下载渠道供手机用户下载,手机用户遭受感染的机率非常大。

另外,“手电筒”在遭受病毒二次打包感染用户数TOP10名单中位列第七,遭遇5040个病毒打包感染,感染用户超过17万。

在2013年第三季度,手电筒成为许多高危病毒的重点感染对象,甚至,感染手电筒的病毒家族正在规模化出现。a.expense.g3app.a、a.expense.g3app.b、a.expense.g3app.c、a.expense.g3app.d病毒家族席卷感染了“手电筒”;另外,a.payment.MMarketPay.b.[伪画皮2]、a.spread.fogo.a、a.payment.dxkf以及第三季度感染用户最多的病毒a.expense.newginger纷纷针对“手电筒”APP植入恶意代码感染吸金。

腾讯移动安全实验室专家分析,手电筒作为手机用户的必备软件,针对该类软件二次打包的感染可以长久捆绑用户,持续恶意下载软件或弹广告获利,也成为手机病毒争相篡改依附吸金的对象。这也是制毒者或制毒机构通过研究用户的软件使用习惯、用户心理而做出的病毒投放策略。

值得一提的是,在2013年第三季度,在被病毒篡改打包的TOP10应用之外,知名应用Google play频繁被新型病毒盯上,伪装或篡改后,诱骗用户安装,这类新型病毒呈现出了更加令人防不胜防的病毒攻击方式。Google play在2013年第三季度被新型病毒“短信屠夫”a.expense.fakegooglegame盯上,成为该病毒伪装与篡改的目标。该病毒伪装成Google Play之后,普通用户难以辨别真假,病毒启动后可读取用户通讯录,窃取用户手机联系人信息,同时在用户不知情下私自发送短信,并且拦截所有短信,让用户手机无法收到任何信息。这对用户的危害在于,往往使得用户错失许多重要的短信而不知情,给用户的经济生活造成重要干扰和破坏。目前有超过12.65万用户被”短信屠夫“感染,腾讯手机管家已支持对该病毒首家查杀。

除”短信屠夫“之外,在2013年第三季度,多款伪装Google Play的Android病毒被腾讯手机管家截获,包括a.fraud.kakaobe(毒信飓风)、“短信群魔”病毒。

腾讯手机管家于2013年9月底截获的a.fraud.kakaobe(毒信飓风)以包含“uet http://happy.kakao**.com”、http://samsung.kbs**.com或“start http://198.148.81.*等恶意网址内容、链接的形式借助群发垃圾短信传播,用户一旦点击该恶意网址,就会自动下载安装病毒木马程序,下载的木马通过伪装成Googleplay的图标,并命名为“play ???”,用户难以识别真假。接着木马病毒读取手机通讯录上所有联系人,并遍历群发带有上述恶意网址的短信进一步恶意扩散。

该木马还会通过其病毒子包窃取用户联系人信息、短信上传至指定服务器,给用户造成隐私泄露危险。目前,有15.36万Android用户遭遇”毒性飓风“手机病毒感染。

“短信群魔”a.expense.KRKakePK)可伪装成Google Play,一旦用户手机感染该病毒就会从远端接收指令并群发短信,甚至可能导致DDOS攻击行为,让用户手机瘫痪。可以看出,伪装Android系统的Google Play的系列病毒通过制造系列不正常的短信行为,窃取用户隐私,对用户手机造成系列破坏,攻击行为的危害性正在加剧,手机用户应引起足够的警惕,可通过腾讯手机管家等安全软件查杀此类病毒。

第六章 2013年第三季度遭病毒篡改感染用户最多的十大游戏

在Android平台,热门手机游戏的用户集中化的趋势非常明显,少数热门游戏的用户量非常大,而手游开发者与手机游戏玩家往往对手机安全风险感知不足,缺乏防御措施,在这种背景下,许多知名游戏纷纷遭手机病毒二次打包篡改。2013年第三季度,遭遇病毒篡改感染用户最多的十大手机游戏分别是:战神OL、格斗之王3、雷电2、疯狂赛车、会说话的汤姆猫、PopStar、鳄鱼小顽皮爱洗澡、会说话的3D猫完美版、BeatMouse、雷电2012HD。这十大遭篡改的游戏感染用户超过325万。

感染用户和遭篡改次数最多的游戏是战神OL,感染用户超过62万。感染该游戏的典型病毒有a.expense.letang.a、a.rogue.centero.[鬼推墙]、a.expense.tgpush等,a.expense.letang.a、a.expense.tgpush病毒均可于后台私自下载推广软件,给用户造成资费消耗。“鬼推墙”曾针对植物大战僵尸、应用汇、应用宝、天涯社区等几十款知名应用进行二次打包,强行在这些知名应用界面显示广告,2013年第三季度,“战神OL”这款知名游戏也未能幸免。若下载到被“鬼推墙”、a.expense.tgpush等病毒二次打包感染后的“战神OL”,手机用户将会遭遇被强推广告,私自下载软件等各种病毒行为的风险。

另外,排名从第二到第五的游戏分别是:格斗之王、雷电2、疯狂赛车、会说话的汤姆猫。分别感染用户达到55.1万、45.5万、34.6万、25.9万。这四大游戏分别被10890个、5310个、5850个、1350个病毒包二次打包植入恶意软件。

“格斗之王3”被病毒a.privacy.popsp.m、a.privacy.popsp.n、A.privacy.popsp.k、a.privacy.popsp.g等3个病毒家族入侵,被a.expense.aiplay.c.[扫码巫毒]等超过3159个病毒二次打包感染,a.privacy.popsp.m病毒家族通过打包捆绑并恶意推送其他应用;“扫码巫毒“则通过联网下载软件,并静默安装下载的软件,均造成用户巨额的资费消耗。

这些知名的手机游戏长期占据各大APP下载中心的推荐榜单,安装用户非常大,针对知名游戏植入恶意插件成为手机病毒的惯用操作手法,而往往用户却并不知情。

会说话的汤姆猫、鳄鱼小顽皮爱洗澡等知名游戏已成为手机病毒打包的“常客”。这两款热门游戏在2013年第三季度被发现有1350个和1440个病毒包,感染用户数分别达到25.9万、22.7万。会说话的汤姆猫被a.fraud.go360病毒家族以及2013年第三季度感染用户最多的病毒a.expense.newginger等1350个病毒纷纷二次打包感染。

值得一提的是Fruit Ninja(水果忍者),该游戏作为近几年的知名的热门游戏,却被1440个病毒包感染,包括a.rogue.kuaidian360.[推荐密贼]、a.expense.lockpush.[洛克蠕虫]、a.privacy.kkpush.[盗Q密探]、a.payment.fakeGame等许多高危手机病毒纷纷盯上该游戏大肆入侵,“推荐密贼”可私自占用第三方知名应用界面,强行显示推广广告信息;“洛克蠕虫”可私自下载安装软件;“盗Q密探”会尝试盗取用户好友的QQ号码,以及用户使用QQ音乐听过的音乐名称,会窃取用户手机联系人,通话记录;a.payment.fakeGame则会私自扣费。即用户若下载到被病毒打包的Fruit Ninja(水果忍者),用户可能遭遇手机内知名应用被强行显示推广广告、或被私自下载推广软件、被扣费、遭遇QQ号码、手机联系人、通话记录被窃取等多重安全风险,可以看出,制度者或制毒机构的针对热门游戏大量二次打包感染的策略并没有改变,手机用户应该引起足够的重视。

第七章 2013年第三季度染毒用户省份分布区域

2013年第三季度,在Android系统,广东省手机中毒用户比例排名全国第一,占据全13.78%的比例。在Android系统,前十大中毒省份排名与染毒手机用户占全国的比例依次是:广东(13.78%)、浙江(8.47%)、江苏(6.51%)、北京(5.57%)、河南(4.89%)、四川(4.43%)、福建(4.15%)、山东(3.64%)、辽宁(3.57%)、广西(3.55%)。排名前十的省份感染总比例达到58.55%。

从第三季度感染列表看出,广东依然是恶意软件大量聚集的重灾区。2013年以来,广东连续三个季度居于手机染毒用户排名第一的省份。

在Android系统,总体上,广东省手机染毒比例一直趋向于高比例的稳定状态。排名第二、第三的浙江与江苏两省的病毒感染比例还在持续上升。2013年第三季度,浙江、江苏两省的Android染毒手机用户占全国比例达到8.47%、6.51%。

腾讯移动安全实验室分析,长江中下游流域一带水货手机市场繁荣,江南一带的Android手机刷机用户、新增用户、手机游戏玩家、一人多机等现象均呈现增长趋势,推动了江浙两省手机染毒比例的持续上升。

北京是Android手机用户海量聚集的城市,Android智能机市场、刷机用户、电子市场各种APP下载用户众多,呈现全面繁荣景象,这在某种程度上使得用户的染毒机率大幅提升,单单北京一市的第三季度手机染毒占全国比例就达到了5.57%。

河南省作为发展中的人口大省,人口多、Android用户比例高,但手机用户安全意识相对薄弱,这使得河南省也成为Android手机染毒大省,2013年第三季度,河南省手机染毒比例达到4.89%。

四川、福建、山东、辽宁、广西等中西部省份Android手机染毒占比进入前十,这五省经济发展正在提速,水货手机出货量、用户购买量、日刷机用户量、山寨手机拥有人群都在大幅增长,这些因素推动手机染毒比例增长。

在Symbian系统,第三季度染毒比例依然是广东省高居第一,达到9.32%。染毒占全国的比例排名前五的省份依次是广东、四川、山东、河南、辽宁。比例分别为:9.32%、7.12%、6.4%、6.16%、5.49%。

 Symbian系统正在持续衰落之中,在一、二线城市与沿海发达省份,Symbian系统的染毒比例相对而言正在持续下降,制毒者针对Symbian系统的投毒区域进一步偏向四川、山东、河南等中西部忠实手机用户聚集省份,中毒手机用户也逐渐向中部城市与中西部发展省份转移,在2013全年,Symbian系统呈现持续的衰落的趋势。

第八章 2012~2013年:Android系统漏洞大盘点

2012~2013年,Android智能机用户迅速发展,制毒者或制毒机构也盯上了这块诱人的蛋糕,截至目前,针对Android系统漏洞的病毒攻击方式与手段更加诡异,发展日渐成熟,成为手机安全的重要威胁。制毒者或者制毒机构可利用Android系统漏洞向用户手机发动多次大规模袭击。腾讯移动安全实验室基于各种漏洞的危害系数,针对2012年~2013年的高危漏洞病毒进行了如下总结盘点。

1.Android网页挂马漏洞

危险指数:

2013年9月,在乌云漏洞平台,被曝出多款Android应用出现严重手机挂马漏洞现象。当用户打开该挂马网页后,黑客即可远程操控手机窃取隐私发送欺诈短信。即该漏洞被称之为“Android网页挂马漏洞”,该漏洞会导致大量应用成为黑客管道。

据悉,此次被曝光的部分Android应用存在挂马漏洞,只要用户点击网友发过来的挂马链接,都有可能中招。接着手机就会自动执行黑客指令,出现被安装恶意扣费软件、向好友发送欺诈短信、通讯录和短信被窃取等严重后果。

9月6日,乌云漏洞平台官方微博发布提醒,Android应用挂马漏洞比想象中更严重,国内几大知名的手机浏览器APP等都受此漏洞影响。乌云漏洞平台提醒各大浏览器厂商尽快修复更新,并提醒Android手机用户警惕中招。截至目前,包括手机QQ浏览器、猎豹浏览器等最新版本浏览器已经修复该漏洞。

有手机安全厂商也被曝出存在严重漏洞。通过此漏洞,可以绕过机主验证使用、前置拍照、删除数据、远程定位等六大功能,使自己的手机变身为“偷窥神器”。漏洞披露者表示,漏洞一旦被利用,在机主毫不知情的情况下,手机应用的六大安全功能就会摇身一变成为“偷窥恶魔”,其中前置拍照可自动启动拍摄,远程锁屏也可成为恶搞工具,响铃警报可半夜惊魂,删除数据及远程定位,更可成为遥控、监视等犯罪工具。

由于该漏洞病毒席卷侵袭手机安全软件和浏览器等Android手机必备应用,漏洞危及超过90%的Android手机,其高系数的风险性应引起广大手机用户的重视。

腾讯移动安全实验室提醒广大手机用户:目前在各应用内应谨慎或避免点击陌生可疑链接,特别是未修复漏洞的手机浏览器类应用。腾讯手机管家支持对微信聊天内容、手机QQ浏览器中的恶意网址进行精准拦截。手机用户应该安装腾讯手机管家等手机安全软件,确保手机有效避免恶意网址的攻击。

2.Android签名漏洞

危险指数:

2013年7月初,国外安全公司曝光Android签名系统漏洞Master key,并称全球99%的Android设备都有感染风险,腾讯手机管家当时及时发布Android签名漏洞(Master key)专杀工具,并针对两大Android签名漏洞实现了封堵。

2013年7月底,国家互联网应急中心发布信息,Android操作系统存在一个签名验证绕过的高危漏洞即Master key漏洞。正常情况下,每个Android应用程序都会有一个数字签名,来保证应用程序在发行过程中不被篡改,但黑客可以在不破坏正常APP程序和签名证书的情况下,向正常APP中植入恶意程序,并利用正常APP的签名证书逃避Android系统签名验证。而利用该签名漏洞的扣费木马可寄生于正常APP中, 进而针对捆绑手机用户进行恶意扣费,并向用户联系人发送恶意软件下载推荐短信,一系列扣费操作十分智能化。

而国家互联网应急中心也监测到,一个名为Skullkey的扣费木马(即Android签名漏洞木马)即开始在安卓平台上的正常APP中疯狂传播。2013年7月,仅在第三方应用市场“安丰市场”中就存在6644个被植入Skullkey扣费木马的恶意APP(手机应用软件)。

2013年7月,腾讯移动安全实验室迅速针对该签名漏洞的感染的知名APP进行查杀统计,监测到找你妹、导航犬、百合网、天翼宽带等大量知名软件纷纷被利用该漏洞的扣费木马a.system.masterkey感染。腾讯手机管家Android 4.2新版迅速升级了全新的查杀引擎,并发布了针对a.system.masterkey的专杀工具,已针对利用该漏洞的扣费木马a.system.masterkey实现了全面查杀。腾讯手机管家用户可通过以下路径下载Master key漏洞修复工具:腾讯手机管家软件游戏—软件——软件分类—专杀工具。确保自身经济利益不受扣费木马侵害。腾讯手机管家也针对“腾讯移动安全联盟”内的合作电子市场在线检测并下线了相关病毒包,有效避免了更多用户遭受经济或者安全损失。

Android签名漏洞在2013年7月引发了整个手机安全行业的关注,成为2013年重大的系统漏洞安全事件。

3.短信欺诈漏洞

危险指数:

2012年11月,美国北卡罗来纳州州立大学发现Android平台“短信欺诈”(Smishing)漏洞,包括谷歌 Galaxy Nexus、Nexus S、HTC One X、HTC Inspire、小米 MI-One 和三星 Galaxy S3 等机型测试后,这一漏洞已被证实在上述机型中存在。谷歌之后承认该漏洞可以允许应用在 Android 平台上进行短信伪装,且在所有版本的 Android 软件中都存在这一漏洞。

不需要获取发送短信的权限就可以直接给本机发送欺诈短信是短信欺诈漏洞的最大特点。即黑客可以通过该漏洞轻松破解并模拟手机中任意号码给你打电话和发短信。可导致个人财产的巨额损失。恶意软件也利用短信欺诈漏洞,获取用户联系人等隐私权限,向用户发送欺诈短信,获取非法收入。

腾讯手机管家迅速反应,在2012年11月中旬,推出了Android腾讯手机管家V3.88版本有效修补了该漏洞,并推出“短信欺诈漏洞”专杀工具有效全面查杀该漏洞病毒。2012年,腾讯手机管家查杀曝光了超550款短信欺诈病毒。由于该漏洞病毒影响到几乎所有的Android用户,引发手机安全行业、央视等国内权威媒体和大量Android手机用户的关注,该漏洞病毒的爆发成为2012年度重大手机安全事件之一。

4.S4云备份漏洞

危险指数:

该漏洞源于三星S4的“云备份”组件没有校验数据发送者的身份,导致应用程序可以在不申请发送短信和存取短信权限的情况下,可以任意地向任何号码发送任何内容的短信。本漏洞被恶意程序利用后,可在机主不知情的情况下,会偷偷地向通讯录中的联系人群发送诈骗短信,造成用户或联系人各种经济损失,可能导致手机用户遭受恶意扣费或者诱骗欺诈。

腾讯手机管家早前已经发布了S4云备份漏洞补丁,手机用户可以通过路径:腾讯手机管家软件游戏—软件——软件分类—专杀工具,进而可下载S4云备份漏洞补丁,有效堵截该漏洞,三星手机用户可通过后续的官方系统升级来修复此漏洞。

5.Android账户漏洞

危险指数:

许多Android手机用户已经用过谷歌一键认证的快捷键。用户只需轻点这个便捷的小按钮,无需输入密码,用户便可以登录到谷歌的各种服务网站。然而这种方便的操作目前已经面临风险。2013年8月,Android再次曝出新漏洞,该漏洞可以被恶意软件利用来盗取通过谷歌一键认证存放在手机上的账号登录令牌,用于登录其他谷歌服务。据IDG News报道,Tripwire研究员Craig Young在洛杉矶参加黑帽大会的时候演示了这一漏洞。另外,其他可以在手机上登录的应用软件也会有同样被盗取登录令牌的危险。腾讯移动安全实验室专家提醒,Android手机用户可以通过后续的官方系统升级来修复该漏洞。

6.设备授权漏洞

危险指数:

该漏洞能被恶意程序利用来申请授权,一旦申请授权成功,即难以通过一般的方式来卸载或删除此程序。针对该漏洞病毒,腾讯移动安全实验室专家提醒,Android手机用户可以通过后续的官方系统升级来修复该漏洞。

盘点总结:从2012年到2013年第三季度,许多Android系统漏洞被相继曝出,而系统漏洞曝出之后,往往后续会有大量漏洞病毒入侵。与此同时可以看出,从短信欺诈漏洞病毒入侵到Android签名漏洞病毒在许多电子市场爆发,发展到Android网页挂马漏洞病毒席卷各大知名APP,可以看出,漏洞病毒的攻击呈现出连贯性和继承性的特点,越来越倾向于攻击海量知名APP,借此捆绑感染海量手机用户,隐蔽性与智能化程度逐渐加强。另外,针对手机用户联系人发送欺诈短信,恶意扣费几乎成为高危漏洞病毒比较普遍的特征。目前,Android系统漏洞病毒的攻击性与危害性进一步加强,Android手机用户可以下载腾讯手机管家等手机安全软件,封堵或修复Android系统高危漏洞,确保手机资费、流量和隐私等各方面的利益不受损失。

第九章 第三季度两大手机平台病毒类型特征比例

9.1 第三季度Android系统病毒特征比例

2013年第三季度,Android病毒行为类型比例统计中,资费消耗类病毒行为占比45%;隐私获取占比16%,诱骗欺诈类占比10%,恶意扣费类占与恶意传播类病毒均占9%的比例,流氓行为类占比5%,远程控制类与系统破坏类也均占3%的比例。

2013年第三季度,Android系统资费消耗类病毒占比高达45%的比例,这类病毒可极大满足制毒者或制毒机构攫取利润的需求,大多附带恶意推广的特征,一般未经用户允许在后台私自下载软件与推广软件,消耗用户资费。如“手电杀”病毒,感染了大量的手电筒类应用,捆绑恶意插件,下载恶意代码,私自下载推广应用,同时推送广告,集多种病毒行为于一体,无声无息间给用户造成了多种损失。

高达16%的隐私获取类病毒在Android系统的病毒类型中持重要位置,腾讯手机管家在这一季度首家查杀的“窃私骷髅”就是典型的隐私获取类病毒,可偷偷上传用户通话录音、地理位置、短信信息、彩信信息、用户联系人到指定远端服务器,造成用户隐私泄露。不仅如此,隐私获取类病毒不断发展不断呈现出新的特征,抓取的隐私类型越来越趋于多样化,危害性越来越高。

恶意扣费类病毒所占的比例基本呈现了比较稳定的趋势,这类病毒通过后台私自发送短信订购SP业务,同时恶意拦截运营商回执短信,在用户完全不知情的情况下扣取用户资费。这类扣费病毒在形成一定的运作模式的同时也开始逐渐与恶意传播类病毒、诱骗欺诈类病毒行为结合,发展出了新的攻击模式。

总体来说, Android病毒目前的智能化程度正越来越高,病毒行为也在已有的行为基础上不断衍生出新的特点,对于普通用户来说,病毒的危害性正越来越大、防范难度也越来越高。

9.2 第三季度Symbian系统病毒特征比例

2013年第三季度,Symbian系统病毒行为以资费消耗、诱骗欺诈、系统破坏、恶意扣费等八大类型主,其中,资费消耗类病毒行为以26.79%的占比位居第一;系统破坏类和诱骗欺诈类病毒行为占比持续稳定在一个较高水平,分别为25.78%和23.84%;恶意扣费类病毒行为占比10.15%;隐私获取类病毒行为占比9.98%;恶意传播类、远程控制类与流氓行为类病毒行为分别占比1.77%、1.05%与0.64%。

与Android系统不一样的是,Symbian系统的系统破坏类病毒在第三季度占有相当大的比例,此类病毒往往开机自启后常驻后台运行,无法手动将其卸载,占用大量系统资源,可能影响手机和其他软件的正常运行。

Symbian系统手机病毒也呈现出了病毒行为多元化的特征。如扣费类病毒除包含扣费行为外,往往还含有隐私读取的特征,这类病毒一般都自启后私自联网消耗数据流量,占用短信端口,私自发送短信,订购高额的SP收费业务;进一步还会获取用户手机imei、imsi等手机固件信息;这也导致隐私获取类病毒行为占据了不小的比例。

此外,伪装成知名杀毒软件或通话辅助类软件,诱骗安装、私自联网等典型病毒行为在第三季度的Symbian病毒中仍旧在延续。但总的来说,制毒者或制毒机构针对Symbian系统投放手机病毒的权重在持续降低,Symbian平台持续衰落的趋势仍不可避免。

第十章 第三季度手机病毒传播渠道分析

2013年第三季度,手机病毒来源渠道继续呈现出分散化与多元化的特性,电子市场与手机论坛依然占据相对第一与第二的比例,各病毒来源渠道分布比例更加均衡化。如图所示,电子市场病毒来源占比22%,手机论坛占比19%,软件捆绑占比17%,手机资源站占比16%,ROM内置占比15%,二维码占比7%,网盘传播占比4%。

2013年第三季度,电子市场病毒来源占比以22%,占据第一的位置。这一季度,Android系统签名漏洞病毒大肆来袭,电子市场成为制毒者瞄准的投毒中心地带,这一度导致电子市场的染毒比例呈现出一定的上升趋势,而各大手机安全厂商及时加强对主流电子市场的安全检测,一定程度上控制了电子市场病毒肆虐传播的趋势。

水货手机市场持续增长,使得ROM内置来源的病毒也水涨船高。对比上半年的13%,这一季度进一步增长到15%,也涌现出了“复活爬虫”这样的高危病毒。部分不法水货厂商以及恶意开发者通过在水货渠道内置恶意软件牟取利润,而ROM渠道的隐蔽性所造成的查杀难度也对安全厂商的查杀病毒的能力提出了新的要求。

目前,软件捆绑传播的比例也进一步趋高,同一款游戏类或工具类应用,往往被植入恶意代码二次打包篡改多个病毒软件版本。而类似这种病毒捆绑知名软件,借助知名软件的名气打包传播,造成的批量感染用户也越来越多,软件捆绑已达到17%的比例。而作为一个新兴的病毒来源渠道,二维码渠道也一直保持着一定的增长趋势。第三季度,二维码传播渠道来源依然高达7%的比例。

第十一章 专家建议

随着Android手机安全形势变得复杂,手机用户提升手机安全意识非常重要,移动安全实验室专家对手机用户做出如下建议。

手机用户应通过正规安全的渠道下载官方版支付、工具、游戏等各类手机APP,比如可在腾讯手机管家“软件游戏”下载应用,可确保绿色安全。

随着二维码的流行,目前已成为增长最快的染毒渠道,风险进一步增大,手机用户不要见码就扫,最好安装具备二维码恶意网址拦截的手机安全软件进行防护,或者安装带有安全识别的二维码工具进行二维码扫描,如此可降低二维码染毒风险。

提升安全意识,对手机资费的异常情况保持敏感度。目前许多游戏软件遭二次打包篡改,暗含扣费代码或广告插件。许多恶意推广、资费消耗类病毒往往会在后台私自下载安装包,消耗用户资费流量,此手机用户应该对于流量资费的消耗保持敏感度,一旦发现异常,可通过腾讯手机管家有效查杀病毒或开启广告拦截功能,有效拦截banner广告。

从正规的渠道购买手机或刷ROM包。在目前,许多水货手机往往在出货前就已经刷机或者内置了各种流氓软件,而这些刷入或内置入ROM的恶意软件包一般很难用常规手段卸载或清除,新买的手机应及时下载腾讯手机管家,获取Root权限,及时查杀ROM病毒与最新流行病毒。

目前,国外安全公司曝光Android签名系统漏洞Master key,一款利用Android超级签名漏洞的扣费木马a.system.masterkey(“冒牌天煞”)感染了数千款知名应用,目前,腾讯手机管家4.2新版迅速升级了全新的查杀引擎,并发布了专杀工具,已全面封堵该漏洞,并利用该漏洞的扣费木马“冒牌天煞”实现了全面查杀。手机用户可下载腾讯手机管家最新版,全面查杀该病毒,确保不被隐形扣费等困扰,避免盲目遭受经济损失。

目前而言,用户还可以关注@腾讯移动安全实验室、@腾讯手机管家的官方微博以及相关的手机病毒恶意程序曝光资讯”行动,对手机安全资讯做到全面把握和掌控,安享移动互联网生活。

腾讯手机管家官方网站:m.qq.com 腾讯手机管家腾讯微博:http://t.qq.com/qqsecure

腾讯手机管家新浪微博:http://weibo.com/txmanager

腾讯移动安全实验室官方微博:http://t.qq.com/QQSecurityLab

2013年10月11日

版权声明:本报告中凡注明来源于“腾讯移动安全实验室”等一切图表数据及研究分析结论均属于腾讯公司版权所有,如需转载或摘编,敬请注明出处。



安全快讯 更多

BadMedia木马家族

BadMedia木马家族

2017-11-14
双11网购诈骗安全报告

双11网购诈骗安全报告

2017-11-10
2017Q3手机安全报告

2017Q3手机安全报告

2017-11-06

安全视频 更多

小管说安全(3)——谣言有毒

2017-10-24

腾讯手机管家产品经理笑唱安全报告

2017-08-16

腾讯手机管家微信小程序可一键识别诈骗电话啦!

2017-08-02