首页安全播报安全快讯 › 腾讯移动安全实验室2013年10月手机安全报告

腾讯移动安全实验室2013年10月手机安全报告

2013-11-03


报告摘要

2013年,手机病毒增势迅猛,腾讯移动安全实验室在2011年全年截获的病毒包是2.5万个。2012年全年截获的病毒包数快速增长到17.7万,是2011年截获病毒包数的近7倍。2013年,手机病毒包井喷式增长,前三季度就达到57.1万,是2012年截获病毒包总数的3.21倍,是2011年的32.48倍。

而2011年、2012年和2013年前三季度截获手机病毒包数对比,三年间病毒包数增长了31倍多。2013年前三季度为用户查出的病毒次数已经是2012年的2倍多。

2013年10月,基于腾讯手机管家服务的腾讯移动安全实验室共检测截获Android、Symbian手机病毒包总数共83414个。其中,截获的Android平台病毒包达到80671个,Symbian截获病毒报告2743个,Android系统截获的病毒包占两大平台截获病毒包总数的96.7%。

2013年10月,手机用户染毒人次呈现继续平稳增长的趋势,达到1143.8万。

2013年10月,打包党针对电子商务、银行、网购类APP疯狂二次打包,大肆植入恶意代码或广告插件,二次打包的“建设银行”APP有9个,是被二次打包次数最多的手机银行APP。二次打包的团购类应用“艺龙旅游”APP更是达到203个。而交通银行、农行掌上银行、中国银行手机银行、浦发手机银行、邮政储蓄等APP,均被病毒a.expense.googla.a感染,手机购物安全形势变得严峻。

在2013年10月,腾讯手机管家用户举报的冒充各银行支付类诈骗短信中,91.96%的冒充工商银行。其中8%是冒充中行,冒充其他银行的仅占0.04%。

2013年10月份是国庆长假阶段,市民网购比重快速上升,加之10月处于换季月份与双十一前夕的特殊时段,网购行为参与人数增长,与此同时,各种与网购支付相关的短信诈骗频发。诈骗分子围绕着市民网络购物流程从购物订单、到银行支付、到快递送货的系列环节均设置各种诈骗话术,并通过后续系列手段引诱用户掉入圈套。腾讯移动安全实验室针对2013年10月的网络购物诈骗类短信与手机银行、购物APP进行了系列监测研究。

第一章 2013年10月垃圾短信状况

截至2013年10月底,用户主动举报骚扰短信累计超过9.78亿条,2013年10月新增用户主动举报垃圾短信数为0.73亿。网购支付类诈骗短信迅速增长,成为2013年10月诈骗短信中的突出现象。2013年10月,腾讯手机管家用户举报的网购支付类诈骗短信增长了8.2倍。

在腾讯手机管家用户主动举报的垃圾短信中,广告类垃圾短信依然占据绝对的主流,占垃圾短信总数的92.15%。另外,诈骗短信、违法宣传分别占3.46%、3.32%.分别位居第二、第三。其他类占比1.07%。

2013年10月,在广告类垃圾短信中,网店电商、卖场促销、房产推销分别占据广告类内容垃圾短信占比的前三位,占比分别为38.03%、22.12%、17.27%。相比2013年第三季度,该月网店电商类垃圾短信比例高速增长26个百分点,从第三跃居第一。可以看出,双十一电商大促活动来临之际,各大网店电商的促销筹备已经拉开,针对注册用户的火热促销暗战正在打响。

在2013年10月,用户举报的诈骗类垃圾短信占据垃圾短信总量的3.46%,位居第二,总量达到2525800条。在诈骗类垃圾短信中,冒充银行支付诈骗类、网购支付诈骗类、中奖钓鱼与其他诈骗、假冒亲友房东转账比例占据诈骗类垃圾短信的内容类别的前四位,分别占诈骗类垃圾短信的比例为32.8%、25%、21.73%、15.05%。

可以看出,中奖钓鱼类诈骗短信从诈骗类短信第一下滑到第三,随着电商大战拉开帷幕,短信诈骗分子也趁网购电商季的热门趋势,集中火力炮制大量网购支付、银行支付类等诈骗短信。冒充银行支付类、网购支付类诈骗短信也因此在2013年10月迅速攀升。

1.1 2013年10月,冒充网购支付类、快递诈骗短信大幅增长

网购支付类诈骗短信在10月增长极快,并往集团诈骗方向演进。这类短信占据垃圾短信总量比例较少,但增长极快,与9月相比,2013年10月腾讯手机管家用户举报的网购支付类诈骗短信增长了8.2倍,达631,450条。在诈骗类垃圾短信中,占比达25%。

另一方面,快递诈骗类短信也开始出现。目前而言,快递诈骗短信还并未形成规模,非大型集团诈骗,但增长幅度也相当明显,与9月份用户主动举报的68,250条快递诈骗短信相比,腾讯手机管家用户在10月份主动举报快递诈骗短信数量达到136898条,涨幅达100%。这类诈骗短信都是引诱手机用户进行电话拨打的类型,且发送号码全部为普通手机号码,联系号码也是手机号码或者固话号码,而这种特征与冒充快递员的身份相符合。

2013年10月,从用户举报的诈骗短信类型比例对比可以看出,106和95开头(伪基站)发送的诈骗短信迅速从9月的634,880条迅速暴涨到10月的1,843,834条,上涨接近3倍。普通手机号码发送数量则从9月的952,320条大幅下降到10月的681,966条。

1.2 识破冒充银行支付类诈骗关键词:U盾、密码器、U令卡等过期

据腾讯移动安全实验室监测,2013年10月,诈骗分子冒充银行的各种诈骗短信类型非常多,但假冒银行支付这一类别的诈骗短信增长极快,成为非常突出的一种类型。这类冒充银行支付类短信以谎称用户U盾、电子密码器、动态令牌、U令卡过期等包含网银支付类信息为主要特征,对用户危害与迷惑性极大。腾讯移动安全实验室将包含上述银行支付特征的诈骗类型归为冒充银行支付类诈骗短信类别,并以此作为统计维度,统计了10月份冒充银行支付类诈骗短信的比例与用户举报数据。

腾讯移动安全实验室监测,假冒银行支付类诈骗短信从9月份的160,307条到10月份的828462条,增长达5倍,在诈骗类垃圾短信中,占比达到32.8%。是10月份出现的诈骗类短信中被用户举报最多的类别,这主要源于这类冒充银行支付类诈骗短信基本都是伪基站发送,从发送端口号到模拟口吻,仿真度极高,更容易使手机用户迷惑。在攫取利润的需求下,诈骗分子增加了这类短信的发送条数。

腾讯移动安全实验室统计,在2013年10月,腾讯手机管家用户举报的冒充银行支付类的诈骗短信中,91.96%的冒充工商银行。其中8%是中行,冒充其他银行的仅占0.04%。

2013年10月份,腾讯手机管家截获的这类冒充银行支付类诈骗短信的原理是:短信中附带钓鱼网址,用户点击进入该网址之后,这种钓鱼网址的登录诈骗流程往往会引导用户输入网银账号密码或者个人身份信息,显而易见,这类信息会被诈骗分子窃取。

这类银行诈骗短信的内容有重要识别特征:即假冒工商、中国银行的客服号,谎称用户的中行U令卡、电子银行、电子密码器过期或中行动态令牌、网盾过期等,诱使用户拨打号码泄漏网银密码或登录钓鱼网站输入网银密码,用户在不知情不核对的情况下很容易落入欺诈陷阱。

而第二点,短信中钓鱼网址被诈骗分子谎称为银行网址。这类网址在域名上极具备欺骗性,以腾讯手机管家用户上报的一条显示为“1065106575195588”发送的典型的工商银行钓鱼诈骗短信为例:“尊敬的工行用户;您申请的工银密码器即将失效,请尽快登入www.icbczee.com升级,给您带来不便敬请谅解【工商银行】”,该条诈骗短信的钓鱼网址的域名对工商银行的真实域名网址www.icbc.com.cn进行了模仿,在icbc后面添加了后缀“zee”,对于不知情的手机用户而言,极具迷惑性。而在银行类诈骗短信中,在正规官网域名前后加各种前缀或后缀以假乱真迷惑用户,是诈骗分子一个重要诈骗手段。

腾讯移动安全实验室举例提醒用户,一般而言,这种冒充银行支付短信诈骗流程是:用户如若点击工行“电子密码器”过期的诈骗短信里面的链接,即跳转到一个模仿复制的“工商银行手机银行(WAP)”的网站。页面提示用户进行所谓的“电子密码器申请延期”操作,如果手机用户根据网页要求输入银行账号、密码和验证码后,页面或将显示“由于更新客户过多,请耐心等候”的循环字样。而与此同时,诈骗分子则可以通过利用已监控到的用户输入的账号和密码以及诈骗网站提示手机用户输入的验证码,随后根据该验证码将手机用户账户中的资金转出。

腾讯移动安全实验室专家提醒,工行电子密码器的有效期为5年,5年内不可能出现过期的现象。如果电子密码器将要过期,用户也只能到各营业网点的柜台进行更改。如果收到中行或工行等疑似银行诈骗短信,手机用户可即时拨打工行(95588)或者中行(95566)等相关银行热线进行咨询。用户最好安装手机管家等安全软件,拦截这类诈骗短信,用户还可以通过腾讯手机管家将诈骗短信一键举报到12321垃圾短信举报中心。

1.3 淘宝支付类网购诈骗短信浮出水面

腾讯移动安全实验室监测到,随着各商家电子商务促销大战的打响,诈骗分子针对网购群体开始大肆撒网,许多支付购物类诈骗短信被腾讯手机管家截获。

腾讯移动安全实验室监测到,2013年9月份的网购支付诈骗短信的联系号码是以固话号码为主,发展到10月份,则大部分都是400号码,诈骗分子通过模拟官方客服电话,欺骗性更强。9月份发送号码大部分都是普通手机,到10月份已经有21%为106端口发送,可以看出,诈骗分子利用伪基站群发支付类诈骗短信呈迅速泛滥之势。

2013年10月,腾讯手机管家用户举报了大量淘宝支付类诈骗短信,这类典型的支付诈骗短信内容为:“亲,您于10月14日购买的宝贝支付的货款被支付宝平台冻结.请尽快联系淘宝管理中心退款。联系电话4006336679[淘宝网]。”该诈骗短信提供的联系电话为:4006336679。而事实上,以400开头的号码仅有天猫商城客服号码:4008608608。显而易见,这是伪造的淘宝网客服电话。

可以看出,这类诈骗短信专门针对已在电子商务类网站下单的手机用户,目前,各大电子商务网站的打折促销频率大幅增长,市民的购物次数、参与人数超过平时,购物诈骗短信命中概率相对较高。许多手机用户收到短信后,往往不假思索随即拨打所谓的“客服电话”,并在"卖家"发过来的链接中填写银行卡、身份证和网银密码,诈骗分子也因此诱导用户去点击诈骗短信内提供钓鱼网址,该网页设计与支付宝页面完全一致,导致用户轻信输入帐号密码,然后被诈骗分子记录后上传到指定服务器,支付宝中的钱就被消费或者转出,帐号密码也因此被窃取,手机用户一旦轻信此类诈骗短信,往往会造成巨大的经济损失。

目前,诈骗分子手段不断翻新,迷惑性不断增强手机。用户最好安装类似腾讯手机管家之类的手机安全软件,一般而言,腾讯手机管家在开启智能拦截设置之后,可自动识别诈骗短信并实现精准拦截,避免用户遭受金钱损失。

1.4 利用伪基站群发诈骗短信成为手机用户的重大威胁

腾讯移动安全实验室专家监测到,网购支付、银行类诈骗短信多是诈骗分子通过伪基站发送。从上述冒充淘宝购物典型诈骗短信案例可以看出,发送的号码大部分是以“106”开头的服务号,而诈骗分子为何能伪造这些以106开头发送的号码呢?原因在于,诈骗分子可以利用伪基站伪造以106开头的服务号群发诈骗短信。

“伪基站”即假基站。它的设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,任意冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。通过“伪基站”可以模仿任何号码发送短信,包括400开头的号码、95等开头的各大银行客服号码、运营商以106开头的服务号等。由于伪基站短信技术特点,许多诈骗分子利用106、95服务号发送银行诈骗短信,欺骗性更强,如工行短信,号码一般为106**95588,9558800000**形式,钓鱼网址包含“icbc”字串,短信结尾也带【工商银行】、[工行]、[95588]等签名,增加了用户被骗的可能性。通过伪装成服务号,可以获得用户的信任,对诈骗分子来说,可以极大提升垃圾短信的转化效果。

伪基站(图片来源于网络)

腾讯移动安全实验室监测,正是由于利用“伪基站”可以模拟官方或者类似官方的号码发送欺诈短信,所以“伪基站”发送的欺诈短信诈骗成功几率比普通手机号码群发诈骗短信的成功率更高。利用伪基站发送诈骗短信呈快速上升势头,10月利用伪基站发送的数量是8月的11倍;8月份伪基站发送的只占27%,至10月份已达67%。

信息产业部将95开头的号码作为全国通用的特服号码来使用,其中955号段从95500到95599共100个分配给全国性的银行、保险、电力等企业使用。其中,全国各大银行的客服号码都是以“95”开头的特服号码。工商银行的号码95588为广大手机用户所熟知。而许多诈骗分子通过伪基站以95开头的号码发送诈骗短信,无疑更容易使广大用户迷惑,进而信以为真。在2013年10月,诈骗分子模拟技术更加高明,甚至开始模拟真实的银行端口号。2013年10月,腾讯手机管家用户举报了一条真实模拟95588发来的诈骗短信:“工行提示:你的电子密码器将于次日过期,请尽快登入我行网站wap.icbcr.cn进行升级,给你带来不便敬请谅解。95588.“

由于每台“伪基站”由一个发射设备和一台电脑组成,作案成本低,不受监督,并可随意设置发送号码,增加诈骗成功率;可随处移动,逃避打击。而近期由于伪基站垃圾短信频率呈现高发趋势,这类诈骗短信的高欺骗性与高仿真性,对于手机用户都是极大威胁。因此,安装一款优秀的手机安全软件,对于手机用户而言,变得必不可少。

1.5 识破快递诈骗的典型话术:包裹藏毒

而围绕着电子商务网购,诈骗分子把诈骗的环节还放在了快递这一环节。2013年10月,腾讯手机管家截获的典型的快递诈骗短信为:“13147236858,您好,您的快递已到达,因地址不详,无法送达,请速联系:13262575848(盐城邮政)”等诸如此类。

随着目前电子商务发展,2013年10月份迎来了国庆长假,另一方面,双十一光棍节在即,这段时间的网购参与人次大幅增长,各种快递延迟、网购订单失败现象也会有所发生,而这种因素却成为了诈骗分子对市民实施短信诈骗的一个契机。

对于这类快递诈骗案例,腾讯移动安全实验室专家提醒,在快递包裹诈骗中,基本都会涉及到“地址不详、无法派送“等关键词,并留下联系电话。诈骗分子其目的就是诱骗事主打电话,通过各种手段套取手机用户的银行账号、家庭住址等信息。或者诈骗分子会通过谎称手机用户的快递包裹藏有毒品,要求手机用户缴纳保证金等方式诈骗用户钱财。甚至通过获取事主地址并将其骗下楼,实施抢劫甚至绑架等案例也并不鲜见,其社会危害性十分严重。

  腾讯移动安全实验室专家提醒:首先,不要向任何陌生号码转账。只要把握住不给陌生人转账,就会尽可能减少被骗钱的可能性,这包括银行账号、支付宝等各类网购支付工具。

其次,不轻信任何涉及资金的陌生人短信。QQ上只要发送涉及资金的信息,都会提醒用户防骗,同样短信上如果涉及到资金,又是陌生号码不要轻易相信。

同时,用户可以下载安装专业手机安全软件,比如腾讯手机管家就可以精准拦截各类诈骗短信,用户通过腾讯手机管家的云端拦截功能以及关键字拦截可实现98%的高拦截率。

腾讯手机管家还与顺丰速运、申通(上海)、宅急送、易迅、中通、国通(上海)等国内多家快递公司联合推出快递收派员电话提醒服务,只要这些快递员拨打用户手机,腾讯手机管家都会提醒这是快递收派员电话,很大程度上减少了快递诈骗的发生。

1.6 如何识别冒充银行诈骗短信的钓鱼网址?

据腾讯移动安全实验室监测,在2013年10月,腾讯移动安全实验室通过抽样,从腾讯手机管家用户举报的诈骗短信中,抽出92558条冒充银行支付类的诈骗短信作为样本,发现除了极少量引诱回拨电话(37条),其余全部都使用钓鱼网址。即在冒充银行支付类的诈骗短信当中,几乎都包含有钓鱼网址。

在抽样中含有钓鱼网址的92521条银行诈骗短信里面,包含3631个不同的网址,平均每25条含钓鱼网址的银行支付类诈骗短信,就有一条短信含相同的钓鱼网址。可以看出,诈骗分子通过炮制一定量的银行支付类诈骗短信与钓鱼欺诈网址之后,即针对广大手机用户进行大批量短信群发。腾讯移动安全实验室统计,在2013年10月,腾讯手机管家用户举报的冒充各银行支付类的诈骗短信中,91.96%的冒充工商银行。

据腾讯移动安全实验室分析,工商银行之所以成为诈骗分子紧盯冒充的大户,在于工商银行占据国内最多的储蓄用户,针对工行炮制诈骗短信,可以面对海量的储蓄用户群,提高群发短信的命中率和精准率。

从钓鱼网址可以看出,冒充工商银行的钓鱼网址基本上行都带有“icbc”等工商银行标识性的域名字母,但钓鱼网址却在这几个字母域名上加了字母前缀或后缀。因此使得这些网址与工行手机的官网域名十分相似,市民稍不留神就会信以为真。

而仿冒中行的钓鱼网址,基本上也是带有boc的前缀或者后缀的域名。而众所周知,http://www.boc.cn/是中国银行的域名,冒充中国域名的钓鱼网址基本都是通过baccboc.com或boc6.com、bcocac等方式加字母、数字前后缀甚至将boc倒过来写的方法迷惑用户,以假乱真。而手机用户点击这些网址会直接跳转至相关的诈骗页面,一旦输入相关网银支付账号,或者按照相关操作流程为诈骗分子汇入网银,无疑就会落入诈骗分子设下的陷阱。腾讯移动安全实验室专家提醒,手机用户手机安装腾讯手机管家可以有效的甄别钓鱼类恶意网址,如果访问的网址是"钓鱼"等恶意网址,会立即弹窗提醒"你正在访问盗号网址,建议你停止访问并马上进行查杀",手机用户因此可免受经济诈骗等损失。

第二章 打包党瞄准电子商务购物、支付APP大肆打包篡改获利

腾讯移动安全实验室统计发现,国内越来越多的手机购物软件被手机病毒制造者二次打包,然后重新上传至第三方应用商店,用户难以辨别。而二次打包则是打包党通过盗版他人的APP,在APP中插入广告或窃取用户隐私、吸费等代码,并进行重新打包签名的行为。针对目前二次打包泛滥的现状,腾讯旗下电子市场应用宝采用了与腾讯手机管家联合认证病毒检测合作与官方正版认证的机制来引导用户下载官方正版APP。目前,国内部分电子市场与手机安全厂商建立了查杀机制合作,但总体而言,目前部分中小型电子市场或手机论坛并没有检测认证,这给打包党、制毒者或制毒机构提供了可乘之机.

目前,手机购物逐步成为新兴的购物方式,也正在成为购物的今后的潮流和方向,但手机支付安全成为阻碍手机用户使用手机购物的重要因素。随着双十一光棍节即将来临,电商大战或将火热开打。而手机购物或将成为今年部分手机用户秒杀抢购的重要手段。手机病毒也追随电商支付潮流,开始紧盯支付网银电商等类别的APP,大肆二次打包篡改,对手机用户造成扣费、窃取隐私、消耗流量等多种伤害。腾讯移动安全实验室也因此针对10月份的银行、支付、电商、团购类四大类APP进行了统计和分析。

腾讯移动安全实验室针对手机用户最多的手机银行客户端进行了统计,统计发现,国内工商银行、农业银行、交通银行、建设银行等都非官方银行类APP有被二次打包并染毒的情况。

2.1 大量非官方知名手机银行APP遭二次打包篡改

腾讯移动安全实验室检测出了排名前十遭遇二次打包的非官方手机银行。其中,遭遇二次打包次数排名前五的银行APP名称分别是:建设手机银行、招商银行、工行手机银行、农行掌上银行、交通银行。其中,发现了9个被二次打包的“建设银行”,“建设银行”也是被二次打包次数最多的手机银行APP。在其中,有三个“建设银行”APP被打包植入病毒代码。并感染用户达到1081人次。

有7个非官方“招商银行”APP被打包党二次打包篡改,二次打包植入病毒代码有3个APP,病毒包感染用户达到4772人次,在银行类APP病毒包中,被病毒篡改的“招商银行”感染用户次数最多。

而在感染非官方的“建设手机银行”和“招商银行”的病毒包中,都含有病毒a.gray.listres。该病毒带有较多的流氓行为,被许多用户投诉。而感染“招商银行”的病毒包a.gray.ooqqxx,可以私自下载未知安装包,消耗用户流量,给用户造成资费消耗。

建设银行再次被高危手机支付类病毒“洛克蠕虫”感染,该APP被制毒者通过二次打包的方式把“洛克蠕虫”恶意代码嵌入银行APP,未经用户允许私自下载软件并安装,还会安装恶意子包,进一步窃取银行账号及密码,继而盗走用户账号中的资金。该病毒在2013年年初被腾讯手机管家首家查杀,由于直接窃取银行账号密码,危害极大,成为手机支付用户的重大威胁。手机用户应对非官方渠道下载的银行类APP引起高度警惕并安装手机安全软件定时查杀病毒。

而交通银行、农行掌上银行、中国银行手机银行、浦发手机银行、邮政储蓄等APP,均被病毒a.expense.googla.a(“银行毒手”)感染,该病毒伪装成正常软件,检测是否用户是否安装安全软件决定是否运行恶意程序,后台私自发送短信,屏蔽回馈信息,上传手机信息等,给用户造成自费消耗和隐私泄露。可以看出,目前手机病毒智能化程度提高,已经具备对用户的手机安全软件的检测能力。手机用户安装安全软件则可防止病毒入侵银行APP和病毒触发的相关风险。

2.2 病毒专盯知名手机支付APP打包篡改趋势明显

腾讯移动安全实验室监测到,许多知名支付类APP也遭遇二次打包,被二次打包次数最多的手机支付类APP排名前十的非官方支付类APP分别为沃支付、支付宝钱包、中国电信翼支付、银联互联网手机支付、财付通、360支付保镖、乐刷、银联手机支付收银台、钱方QPOS、中国移动手机支付。

151个沃支付APP遭遇二次打包,而其中并没有病毒包。这表明,许多打包党为长期捆绑用户,而不仅仅依赖植入病毒包,往往也通过二次打包植入广告插件等,通过推广广告实现稳定盈利,而通过二次打包植入广告插件推送广告往往风险更低。

支付宝钱包被二次打包的APP样本数达到40个。其中,病毒包达到5个,感染用户2422人次。是遭病毒包感染用户最多的支付类APP。

支付宝钱包感染了病毒a.remote.i22hk.d,该病毒安装后,自动上传IMEI、IMSI等信息,并获取云端指令控制用户手机,同时会修改浏览器书签以及联网下载未知程序。

可以看出,随着手机支付逐渐普及,支付类APP的下载量随之大增。打包党开始在国内的应用商店寻找一些排行高和下载量大的支付类应用进行反编译或破解,接着植入自己的吸费代码,然后打包上传到电子市场,进行恶意扣费盈利。

二次打包软件数排名第三的支付类APP—中国电信天翼支付(11个APP被二次打包)也被a.expense.googla.a(“银行毒手”)感染,该病毒会检测是否安装安全软件决定是否运行恶意程序,后台私自发送短信,屏蔽回馈信息,上传手机信息等,给用户造成自费消耗和隐私泄露。可以看出,该病毒专盯银行、支付类应用进行二次打包感染的趋势与目的性非常明显。

银联互联网手机支付和中国移动手机支付APP分别有11个和2个非官方包被二次打包,排名第四和第十,并同时被病毒包a.gray.listres入侵,如上可知,该病毒也大肆入侵建设银行和招商银行的APP。可以看出,入侵银行、支付类的APP的病毒趋同化的现象很明显。可以看出,背后打包党或制毒者往往专盯银行支付类APP进行二次打包,统一批量植入同一类型化的病毒来攫取利润。

2.3 团购类APP被海量打包,风险暗藏

随时随地的手机团购,逐渐成为一种潮流。如今遭遇到二次打包的APP当中,团购类APP也未能幸免。2013年10月,腾讯移动安全实验室检测出来的遭遇二次打包排名前十的手机团购APP分别为:艺龙旅行、美团团购、拉手团购、团800团购大全、糯米团购、猫眼电影、携程旅行、360团购、团800电影票、QQ电影票。

其中,233个艺龙旅游APP被二次打包,排名第一。而其中,腾讯移动安全实验室拦截了高达203个的被嵌入病毒的艺龙旅游的APP,二次打包含病毒的比例达到87.12%。艺龙旅游APP也是电商团购、银行支付四大类中被二次打包篡改成病毒包最多的APP。这203个被篡改的艺龙旅游病毒包感染用户达到34741人次。

作为每日特价旅游APP,艺龙旅游支持全国650个城市30000多家酒店预订. 酒店团购也非常火热。而打包党或制毒者基于获取旅游客户隐私的需求,针对该APP大肆二次打包,植入病毒代码。感染艺龙旅游APP的典型病毒有 a.privacy.enginewings,该病毒启动后会私自窃取系统信息、手机号码等隐私信息,并会私自发送短信,而打包党集中针对艺龙旅游APP批量植入病毒代码,可以更加精准获取高端客户的隐私信息,借此精准推送广告或者贩卖旅游客户隐私牟利。

另外,美团团购、拉手团购等国内一线知名团购APP遭二次打包的样本数分别达到140个和111个,分列第二、第三。美团团购、拉手团购作为国内普及化与知名度很高的两个团购类APP,自然也成为手机病毒二次打包篡改的目标,在美团与拉手团购APP被二次打包的非官方软件中,分别含有8个和3个病毒包。而其中的8个美团团购染毒APP感染用户达到70332人次,是感染用户最多的被二次打包植入病毒的团购类APP。其中,感染了美团团购APP的典型病毒有a.payment.MMarketPay.b.[伪画皮2], 该病毒能通过偷偷切换APN为CMWAP,然后后台模拟点击中国移动MobileMarket的扣费接口并验证,并拦截扣费的回执短信,让用户不知不觉被扣费。

另外,被二次打包的次数排名第五的“团800”手机APP被隐私窃取类病毒a.privacy.strategy.a感染,该病毒一旦激活便会驻后台手机联系人、短信、通话记录等用户隐私上传到制定服务器,严重侵害用户隐私。

糯米团购APP则被另一隐私窃取类病毒a.privacy.FrozenBubble感染,该病毒启动后会私自发送短信、拦截用户短信,窃取用户的短信信息,对用户手机隐私造成巨大的威胁。众所周知,手机用户在团购类APP团购商品下单预付费之后,团购网站便会发到消费者手机上一条包含独特号码的信息,消费者持该信息可实现团购的打折消费。而目前,隐私获取类信息却热衷于收集用户的短信等隐私,这类团购验证确认信息或将面临一定的泄漏危险。

腾讯移动安全实验室专家提醒,市民在通过手机团购时,最好安装开启腾讯手机管家等手机安全软件,防止恶意软件窃取银行支付或团购等短信发来的确认信息。

2.4 知名电子商务APP遭打包党觊觎

手机购物普及或将成为今后的大方向,因此电商类APP也不可避免的遭遇打包党觊觎并成为其二次打包的目标对象。经腾讯移动安全实验室检测,遭二次打包次数排名前十的电商APP分别是京东、当当网、淘宝、乐淘、1号店、中粮我买网、凡客诚品手机版、天猫、QQ网购、乐蜂网。

京东被打包的软件样本数达到266个,排名第一。在266个被打包的软件样本中,有29个京东APP被病毒打包篡改。其中的典型病毒是a.remote.i22hk.d。该病毒的特征是,自动上传IMEI、IMSI等信息,并获取云端指令控制用户手机,同时会修改浏览器书签以及联网下载未知程序。该病毒在2012年Android十大高危病毒中排名第三,2013年仍然活跃在各大手机论坛,紧盯京东等热门APP打包篡改。

当当网被二次打包的软件样本有111个,排名第二,该APP也遭病毒a.expense.googla.b(“银行扒手“)感染。该病毒席卷了银行、航空等领域的APP,具有极强的伪装性,并能检测用户是否安装安全软件决定是否运行恶意程序,后台启动私自发送短信,屏蔽回馈信息,上传手机信息等,给用户造成资费消耗和隐私泄露的双重损害。

遭手机病毒二次打包篡改次数最多的非官方电子商务APP则是1号店。其次是京东、淘宝,而命名为“京东”、“淘宝”的非官方的APP分别有29、13个软件包遭病毒感染。

可见,装机量最多、时下最热门、新兴崛起的购物APP是打包党、制毒者或制毒机构判断是否大批量进行二次打包植入病毒代码的三个重要标准,符合其中一个则可能会成为制毒者或制毒机构、打包党青睐的打包篡改对象。而1号店、京东、淘宝的病毒包感染用户分别达到54632个、22305个、14843个,感染用户分别位居第一、第二、第三。可以看出,打包党针对装机量最多、最热门、新兴崛起的购物APP二次打包可以快速感染海量手机用户,符合制毒者或制毒机构利润最大化的需求。

第三章 2013年10月Android手机病毒类型比例

在2013年10月,Android病毒行为类型比例统计中,资费消耗类病毒行为占比49%;隐私获取与恶意扣费类分别占比12%,诱骗欺诈类占比11%;流氓行为与恶意传播类病毒均占7%的比例,远程控制类与系统破坏类分别均占1%的比例。

占比达49%的资费消耗类病毒大多附带恶意推广的特征,未经用户允许在后台私自下载软件与推广软件,消耗用户资费。比如腾讯手机管家率先查杀的“伪91助手”(a.expense.longjiang),该病毒安装后会提示用户更新,然后下载多款其他手机应用,这些应用同样被二次打包了另一Android病毒(a.expense.zxtd),会带来严重的恶意扣费问题。在扣费类、恶意传播、隐私窃取类等病毒类型中,基本都附带资费消耗的特征,这导致资费消耗类病毒长期居高不下。

占比12%的隐私获取类病毒呈现出多元化的发展特征。腾讯移动安全实验室在2013年10月再次截获一组涉及窃取用户通话、短信记录、位置信息等重要隐私信息的Android手机病毒,包括子端病毒程序和父端病毒程序。子端病毒程序a.privacy.babyspy.【窥私肉虫】伪装成“短信”系统程序,收集用户隐私信息并偷偷上传。而通过另外一部手机安装的父端病毒程序a.remote.babyspy.【窃私教父】可直接查看子端窃取到的隐私信息。窃取隐私手段与方式的智能化程度正在提升,手机用户的隐私安全面临更加严峻的风险。

隐私恶意扣费类病毒所占的比例与特征发展都呈现出比较稳定的趋势,但该类病毒往往同时带有恶意传播、隐私窃取的特征,发展出了新的攻击模式。另外,Android病毒的伪装能力大大增强,许多病毒热衷于伪装成情色类App诱骗用户下载安装,然后实施恶意扣费、偷偷联网、强推广告、下载应用、窃取隐私等,Android手机病毒特征多元化的趋势正在进一步发展,Android系统的手机安全形势堪忧。

第四章 2013年10月Symbian病毒类型比例

2013年第三季度,在Symbian系统病毒行为中,资费消耗类病毒行为以29%的占比位居第一;系统破坏类和诱骗欺诈类病毒行为占比持续稳定在一个较高水平,均占22%的比例;恶意扣费类病毒行为占比12%;隐私获取类病毒行为占比10%;流氓行为、恶意传播和远程控制分别占比2%、2%与1%。

Symbian系统手机病毒行为更加均衡化合多元化。资费消耗与系统破坏类病毒发展稳定,在Symbian系统,系统破坏类病毒长期占有相当大的比例,成为Symbian病毒中一个较为典型的特征。此类病毒往往开机自启后常驻后台运行,无法手动将其卸载,占用大量系统资源,可能影响手机和其他软件的正常运行。

此外,一些Symbian病毒还可通过伪装成知名杀毒软件,诱骗安装、消耗用户资费流量,同时占用手机系统资源,多元化特征明显。典型Symbian病毒systemmaster以“系统清理大师”为名,诱导用户下载安装,安装后自启动进行联网,消耗手机上网流量;同时自动安装恶意插件“systemplug”到用户手机,占用手机系统资源,给用户正常使用手机带来一定影响。 但总的来说,制毒者或制毒机构针对Symbian系统投放手机病毒的权重在持续降低,Symbian平台持续衰落的趋势仍不可避免。

第五章 2013年10月手机染毒区域省份比例

2013年10月,在Android系统,广东省手机中毒用户比例排名全国第一,占据全13.59%的比例。在Android系统,前十大中毒省份排名与染毒手机用户占全国的比例依次是:广东(13.59%)、浙江(8.06%)、江苏(6.21%)、北京(5.59%)、河南(5.20%)、四川(4.36%)、福建(4.41%)、广西(3.77%)、山东省(3.57%)、河北(3.62%)。排名前十的省份感染总比例达到58.37%。

2013年10月,广东依然是Android恶意软件安装用户聚集的重灾区。2013年以来,广东连续10个月居于手机染毒用户排名第一的省份。

腾讯移动安全实验室分析,目前,手机染毒各省份的比例呈现出一种比较稳定的状态,在广东、江浙地区、北京等Android手机用户聚集区,由于刷机产业发达,水货手机供销货渠道畅通,在利润的驱动下,制毒者或制毒机构与打包党更容易与少量水货手机厂商、非法移动广告商形成利益同盟与黑色产业链,通过利益分成,大量水货手机中被植入恶意软件或者恶意广告插件。另外,各种打包党通过篡改知名APP上传到各大APP下载中心供用户下载,移动互联网产业发达,Android智能手机用户多的地区因此染毒比例较高。广东、北京、江浙地区等经济发达地区成为重灾区。

另外,在Android系统,河南、四川、福建、广西、山东等经济发展省份的染毒手机用户正在快速增长。这种增长趋势基本与当地经济发展状况、平均Android手机拥有比率呈正相关趋势。

在Symbian系统,2013年10月,广东省依然是手机染毒占全国的比例最高的省份,达到9.62%。染毒占全国的比例排名前五的省份依次是广东、四川、山东、河南、辽宁。比例分别为:9.62%、6.64%、6.32%、6.09%、5.35%。Symbian系统染毒重心偏向于中部经济发展省份的趋势越来越明显。其中,四川、山东、河南、辽宁四省成为今年长期以来的Symbian手机染毒大省,在这些地区,Android手机用户逐渐快速普及,但许多Symbian手机忠实用户也一定程度上依然存在。随着Symbian系统的进一步边缘化,Symbian正在逐步退出历史舞台。

第六章 2013年10月手机病毒渠道来源比例

2013年10月,在手机病毒来源渠道方面,第三方电子市场和手机论坛渠道是恶意软件传播的主要途径。第三方电子市场的病毒来源渠道依然占比最高,达到23%。手机论坛占比为20%,位居第二大病毒来源渠道,相对第三季度,10月份的手机论坛渠道病毒比例稍有降低。目前而言,手机论坛下载APP的用户属性方面,资深手机玩家占据一定比例,随着手机安全观念的普及,用户对手机论坛的恶意软件有一定的警惕性与嗅觉。但手机论坛作为手机玩家的重点聚集地,染毒比例长期居高不下。

各大电子市场是用户下载APP的主力市场,也是手机APP被篡改打包病毒的主要风险渠道。电子市场的风险值引起了各大商家的重视,目前许多知名电子市场已经接入了手机安全厂商的安全检测。

软件捆绑传播长期居于高比例,在2013年10月达到18%,在病毒来源渠道中位居第三。制毒者或制毒机构通过植入恶意代码或者恶意广告插件捆绑知名软件二次打包可以迅速感染广大手机用户。目前,软件捆绑已成为主要的病毒来源渠道。

ROM内置渠道成为手机染毒的重要渠道。部分不良水货商,以及部分互联网上的第三方ROM制作者基于黑色利益链分工,将病毒刷到手机的ROM。目前刷机日渐用户增多,部分刷机平台缺乏ROM的安全检测机制,ROM中毒比例在10月份快速攀升到12%。另一方面,二维码染毒比例依旧在缓慢增长,在2013年10月,用户二维码染毒比例达到7%。

第七章 专家建议

目前,Android手机安全形势变得更加复杂,手机用户应逐步提升手机安全意识,腾讯移动安全实验室专家对手机用户做出如下建议:

双十一网购季来临,手机用户对于密码器过期类、网购支付货款被冻结、快递地址不详等与网银支付、网络购物相关的诈骗短信应果断举报并开启腾讯手机管家骚扰拦截,有效拦截诈骗类垃圾短信。

在11月的电商网购狂欢季节,大量打包党跟随手机用户对网购支付APP流行趋势,针对各类电商购物类APP篡改二次打包植入病毒代码或广告插件变得频繁,手机用户应通过正规安全的渠道下载官方版支付、电商等各类手机APP,比如可在腾讯手机管家“软件游戏”下载应用,可确保绿色安全。

3.刷机用户应注重ROM安全。许多水货手机出货前就已经刷机或者内置了各种流氓软件,而这些刷入或内置入ROM的恶意软件包一般很难用常规手段卸载或清除,新买的手机应及时下载腾讯手机管家,获取Root权限,并在安全渠道刷ROM包。目前在国内,腾讯手机管家首家发起成立了腾讯ROM安全联盟,凡是加入该ROM联盟内的刷机厂商上线的ROM包,均已通过“腾讯ROM安全联盟”检测并可确保绝对安全。有刷机需求的用户可选择已加入腾讯ROM联盟内的厂商甜椒刷机、刷机精灵下载安全纯净的ROM。

随着二维码的流行,目前已成为增长最快的染毒渠道,风险进一步增大,手机用户不要见码就扫,最好安装具备二维码恶意网址拦截的手机安全软件进行防护,或者安装带有安全识别的二维码工具进行二维码扫描,如此可降低二维码染毒风险。

5.目前而言,用户还可以关注@腾讯移动安全实验室、@腾讯手机管家的官方微博以及相关的“恶意软件曝光”行动,对手机安全资讯做到全面把握和掌控,安享移动互联网生活。

腾讯手机管家官方网站:http://m.qq.com

腾讯手机管家腾讯微博:http://t.qq.com/qqsecure

腾讯手机管家新浪微博:http://weibo.com/txmanager

腾讯移动安全实验室官方微博:http://t.qq.com/QQSecurityLab

2013年11月4日

版权声明:本报告中凡注明来源于“腾讯移动安全实验室”等一切图表数据及研究分析结论均属于腾讯公司版权所有,如需转载或摘编,敬请注明出处。



安全快讯 更多

手机勒索病毒第一案破获

手机勒索病毒第一案破获

2017-06-13
勒索病毒修复工具再升级

勒索病毒修复工具再升级

2017-06-05
Judy感染超3600万手机

Judy感染超3600万手机

2017-06-02

安全视频 更多

小管说安全(1)——前任疑云

2017-05-23

腾讯手机管家协助佛山公安破获校讯通手机病毒大案

2016-07-19

手机管家安全专家解读网购诈骗新陷阱

2015-11-25