首页安全播报安全快讯 › 腾讯移动安全实验室2014第一期手机支付安全报告

腾讯移动安全实验室2014第一期手机支付安全报告

2014-04-21

  2014年手机支付安全报告


摘要

截止到2014年第一季度,第三方支付类、电商类、团购类、理财类、银行类这五大手机购物支付类APP下载量在迅猛增长。据腾讯移动安全实验室针对2014年第一季度支付类软件进行跟踪统计发现,手机支付购物类软件共有364款,其下载量占全部软件下载量的30.38%。

2011年、2012年、2013年,腾讯手机管家截获的手机病毒包分别为:25404个、177407个、763351个。2012年是2011年的6.98倍、2013年截获的手机病毒包是2011年的30倍。2014年第一季度,截获手机病毒包数143945个,感染手机病毒用户数达到4318.81万。其中,手机支付类病毒呈现突飞猛进的发展势头。

在支付购物类APP中,电商类、支付类、团购类是下载量最多的三类手机支付类应用,占支付类APP总体比分别为39.02%、38.47%、14.82%。电商类APP下载量和该类别感染的病毒包数均排名第一。掌上一号店是感染病毒包数最多的手机支付购物类APP。

从2013年至今,大量手机支付类病毒猖獗爆发,包括伪装淘宝客户端窃取用户账号密码隐私的“伪淘宝”病毒、盗取20多家手机银行账号隐私的“银行窃贼”以及感染首家建设银行APP的“洛克蛔虫”等系列高危风险的手机支付病毒均在2013年集中爆发。

腾讯移动安全实验室监测,19.74%的支付类病毒可以读取用户短信。“用户短信”的内涵可以包括用户支付交易的手机验证码,而黑客可通过验证码破解用户的支付账号,取消数字证书等设置,对支付宝交易的安全造成巨大威胁。

截止到2014年,支付类病毒监听键盘输入或者于后台监控手机用户支付账号密码输入信息的特点正在逐步明朗化,这将成为手机支付类病毒高危化演进的一个信号。

目前,短信中的钓鱼网址已成为诈骗分子入侵用户银行支付账号、窃取诈骗用户资金的关键入口,二维码支付目前已成为一个高危的支付类病毒的染毒渠道。

截止到2014年第一季度,目前出现频率最高危害最大的与网银支付相关的十大诈骗短信关键词为:航班改签、密钥升级、中行到期、密码器过期、房东出差、U盾失效、同居被查、网银升级、验证码、安全账号。

针对手机支付安全风险,腾讯手机管家推出了十大解决方案:1.查杀支付类病毒木马;2.精准识别诈骗短信与钓鱼网址;3.推安全正版联盟杜绝山寨支付网银类APP;4. 监控网络环境的安全; 5.支付环境安全监控;6.二维码安全监测;7.微信安全支付;8.找回手机,清除数据;9.短信安全监控;10.APP加固和软件锁。

第一章 手机支付购物类软件用户下载猛增

近年来,随着移动支付的进一步普及,手机用户针对手机网银类、第三方支付类、电商类、团购类、理财类这五大手机购物支付类APP的下载量在迅猛增长。据腾讯移动安全实验室针对2014年第一季度五大类手机支付类软件进行统计发现,手机支付购物类软件共有364款,其下载量占全部软件下载量的30.38%。

1.1 支付购物类软件与官方包APP下载情况分析

基于各类支付购物类软件包的下载情况分析,腾讯移动安全实验室在手机支付购物类软件包样本池中抽取119703款手机支付购物类软件包进行相关研究。腾讯移动安全实验室监测到,在支付购物类APP中,电商类、支付类、团购类是下载量最多的三类手机支付类应用,占支付类APP总体比分别为39.02%、38.47%、14.82%。

可以看出,随着目前各大电商网站纷纷进军移动互联网,各种电商类APP的布局迅速扩展,与手机用户线下生活消费强相关的电商类、支付类APP已占据绝对主流。另外,手机银行、手机理财、航空类APP的下载占比分别为:4.81%、2.8%、0.08%。

据腾讯移动安全实验室监测,在这五大类手机购物支付类软件中,每一类均有大量被二次打包的非支付购物类软件,不少手机支付购物类APP的非官方版本被植入了病毒代码,手机支付的安全风险与隐患不容忽视。

移动支付类APP的各类官方包比例情况是怎样的呢?腾讯移动安全实验室基于手机支付购物类软件包样本池中的119703款支付购物类软件包分析发现,支付购物类官方软件包有52747款,其中,电商、理财、团购类占前三位,分别占比为:43.94%、20.52%、14.30%。第三方支付、银行类、航空类分别占比12.37%、7.81%、1.05%。

1.2 手机支付购物类APP染毒情况分析

再来看手机支付类APP在官方包和二次打包、病毒感染数量上的对比。除团购类APP之外,其他各类APP的二次打包的非官方版数量均已经超过了官方版数量,而非官方包软件总数达到了66956款。

腾讯移动安全实验室统计,在这五大类手机支付购物类软件中,共有320款软件被植入恶意病毒代码。从比例来看,其中,电商类APP感染病毒的软件款数占39.69%,位居第一。其次是理财类APP和第三方支付类APP,感染病毒的软件款数比例分别占27.19%、13.44%,分别位居第二和第三。团购类、银行类、航空类APP染毒占比分别为11.25%、7.19%、1.25%。

而电商类、理财类、第三方支付类、团购类、手机银行类、航空类这五类软件,每一类感染的病毒包数依次分别为:127、87、43、36、23、4。其中,电商类APP的下载量和该类别感染的病毒包数均排名第一。

在五大类手机支付购物类APP中,每类别对应被病毒包感染最多的手机支付购物类APP分别为:掌上一号店、wind资讯、支付宝、美团网、交通银行、掌尚飞,感染病毒包数分别为:29个、13个、10个、9个、5个、2个。而掌上一号店同时也是感染病毒包数最多的手机支付购物类APP。

1.3 手机支付购物类软件典型染毒情况

在手机支付购物类软件中,腾讯移动安全实验室分析了各类型的典型APP染毒情况。

电商类APP典型病毒

在29款知名电商类APP中,唯品会、掌上一号店、麦包包、库巴家电、乐淘、凡客、国美、麦考林等知名电商的非官方版本均被资费消耗类病毒感染,可私自下载恶意软件或消耗流量资费。唯品会被病毒“银行扒手”感染,该病毒可检测是否安装安全软件决定是否运行恶意程序,后台私自发送短信,上传手机信息等,对唯品会手机APP使用者的短信验证码等手机信息构成威胁,进而影响支付安全。

第三方支付类APP典型病毒

在抽取的21款支付类APP中,淘宝充值、淘宝彩票、银联手机支付大众版、支付宝等非官方版手机客户端纷纷遭遇病毒入侵。银联支付大众版感染了支付类病毒“洛克蠕虫”,该病毒可通过二次打包的方式把恶意代码嵌入银行APP,未经用户允许私自下载软件并安装,还会安装恶意子包,进一步窃取银行账号及密码,可盗走用户账号中的资金,对银联手机支付大众版客户端的支付安全造成极大威胁。

理财类APP典型病毒

在114款理财类APP当中,和讯外汇、和讯股票、国盛证券、广发证券至强版、中金财经、等知名理财证券类非官方应用均被植入恶意代码或遭病毒山寨。其中,染毒的广发证券至强版感染用户数达到27.6万。其中,广发手机证券被扣费病毒“银行扒手”感染。

团购类APP典型病毒

在19款知名团购类APP当中,被感染的知名团购类APP包括:12580团、卖座网电影票、窝窝团、美团网、糯米团等,这些知名软件的非官方版均被植入恶意病毒。其中美团网感染病毒高达9个,是团购类APP中感染病毒最多的电商品牌。

银行类APP被感染情况

在抽取的58款银行支付类APP中,中信银行、交通银行、光大银行、农行手机银行、工行手机银行、浦发手机银行、邮储银行等手机客户端均被病毒二次打包感染。其中,中兴、广大、交通银行三款银行类手机客户端均感染了病毒“银行毒手”(a.expense.googla.a),该病毒伪装成正常网银等客户端软件,检测是否安装安全软件决定是否运行恶意程序,后台私自发送短信,屏蔽回馈信息,上传手机信息等,给手机用户的支付验证码信息等造成威胁。

可以看出,电商类、理财类、第三方支付类APP已成为病毒紧盯的感染对象,而银行类与第三方支付类APP与手机用户的银行资金、账号密码直接关联,风险相对更大,广大手机用户对于这些类别APP的下载应保持足够警惕。

第二章 手机病毒包爆发式增长 移动支付安全遭威胁

从2011年到2013年,手机病毒包呈现爆发式增长。2011年、2012年、2013年,腾讯手机管家截获的手机病毒包分别为:25404个、177407个、763351个。2012年是2011年的6.98倍、2013年截获的手机病毒包是2011年的30倍。2014年第一季度,腾讯手机管家截获的病毒包总数达到143945个,呈现持续增长趋势,其中手机支付类病毒呈现突飞猛进的发展势头。

在手机病毒包高速增长背后,是腾讯手机管家查杀病毒次数和手机用户染毒数的几何式增长。2013年,腾讯手机管家查杀病毒次数1.82亿次,是2012年3.2倍。2013年全年,手机中毒用户总数达到1.08亿,相当于广东省人口总数,约为北京市人口的5倍。2013年的手机染毒用户是2012年的3.12倍。

2014年第一季度,手机染毒用户数达到4318.81万。2014年第一季度,腾讯手机管家为用户查杀病毒次数为6871.44万,均呈现持续同比增长的趋势。

2014年第一季度,腾讯手机管家截获的病毒包总数:143945个。其中,2014年第一季度Android病毒类型占比情况为:资费消耗占35.53%、隐私获取类占比22.87%、恶意扣费占比17.25%、诱骗欺诈占比13.75%、流氓行为占比6.3%。远程控制、恶意传播、系统破坏占比分别为3.1%、1.03%、0.17%。

其中可以看到,恶意扣费占比达到17.25%,位居第三位。恶意扣费病毒包呈现增长趋势,对移动支付安全造成一定的威胁。占比达35.53%的资费消耗类病毒通过私自下载恶意应用或私发短信可对手机用户的金钱流量造成巨额消耗;占比达22.87%的隐私窃取类病毒则可以窃取到用户的敏感支付信息;而占比13.75%的诱骗欺诈类病毒可通过善于伪装的知名电商、银行客户端等诱骗用户下载从而窃取用户手机资费或者账号密码等。可以看出,多种Android病毒类型均可以对手机支付安全造成威胁。

因此,在Android病毒包数、感染用户数与腾讯手机管家查杀病毒次数成几何式增长的背后,是移动支付安全风险日趋严峻,每个手机支付用户均无法置身事外。据腾讯移动安全实验室统计显示,从2013年至今,大量手机支付类病毒猖獗爆发,包括伪装淘宝客户端窃取用户账号密码隐私的“伪淘宝”病毒、盗取20多家手机银行账号隐私的“银行悍匪”(a.rogue.bankrobber)以及感染首家建设银行APP的“洛克蠕虫”(a.expense.lockpush)等系列高危风险的手机支付病毒均在2013年集中爆发。2014年,“盗信僵尸”等转发用户手机验证码的新兴手机支付类病毒给手机用户支付安全造成严重威胁。

第三章 手机支付类病毒攻击的形式和特征

腾讯移动安全实验室针对目前已发现的82805个手机支付类病毒的特征进行归类统计发现,支付类病毒最大特征是表现为静默联网、删除短信、发送短信、读短信、开机自启动。其中,静默联网比例高达61.09%、位居第一,静默删除短信、静默发送短信、开机自启动、读短信的病毒行为分别占比37.3%与36.51%、30.1%、19.74%。分别位居第二和第三、第四、第五。

另外,静默安装、静默卸载、监听键盘输入、静默获取root权限分别占比为5.62%、4.77%、4.52%、3.34%。这四个病毒行为可在用户不知情的情况下,可卸载掉手机端重要软件(安全软件),安装病毒子包或者监听用户键盘输入的动作或内容、获取root权限、窃取用户账号密码等隐私,可对用户造成极大危害。目前,支付类病毒感染用户总数已达到1126.75万。

腾讯移动安全实验室通过对支付类病毒进行从特征共性再进行总结分类,主要分为以下几种类型:

3.1 二次打包支付类病毒:紧盯一线电商品牌

2013年初,腾讯移动安全实验室截获了首款感染国内银行手机客户端——中国建设银行的手机支付病毒a.expense.lockpush(洛克蠕虫),该病毒通过二次打包的方式把恶意代码嵌入银行APP并私自下载软件和安装,进一步安装恶意子包,窃取银行帐号及密码,继而盗走用户账号中的资金。该病毒是典型的二次打包类支付类手机病毒。

另外,腾讯手机管家在2013年查杀的“银行鬼手”(a.expense.tgpush)、“银行扒手”(a payment googla b)、“银行毒手”(a.expense.googla.a)等病毒均属于该类。“银行鬼手”病毒的特征是,未经用户允许,后台私自下载未知软件,给用户造成资费消耗和存在流氓行为。

“银行毒手”、银行扒手”这类手机支付类病毒通过二次打包,伪装成正常软件,在后台运行恶意程序,给用户造成的危害包括个人手机信息隐私泄露,私自发送短信造成资费消耗,而用户全不知情。这类手机支付类病毒,给用户造成的危害性相对较小,但普遍针对银行类、购物类软件进行二次打包。比如在2014年2月,“银行毒手”通过二次打包伪装大量一线电商类APP,包括伪装唯品会、淘宝特卖、聚美优品等软件诱骗用户下载。而该病毒可屏蔽回馈信息,上传手机信息,而这些特征也可以指向用户手机支付确认短信,对用户的支付安全构成了一定的威胁。

3.2 高危支付病毒仿冒程序 支付账号密码危机重重

目前出现的高危支付类病毒的目的都非常明确,那就是紧盯手机支付软件与购物软件、手机银行类软件。在手机支付类APP领域,支付宝和淘宝是被支付类病毒紧盯的重点支付购物类APP。

仿冒移动支付购物类APP的支付类病毒中,2013年5月,腾讯手机管家查杀的“伪淘宝”(a.privacy.leekey.b)则是典型病毒。该病毒可通过模拟淘宝官方的用户登录页面收集用户输入的淘宝帐号密码以及支付密码,通过页面诱导用户输入,并转发淘宝的帐户与密码。

当手机用户安装“伪淘宝”木马客户端之后,在“伪淘宝”的木马客户端登录页面,用户输入用户名和密码,点击登录,就会执行发送短信的代码,将用户的账户名和密码发送到指定的手机号码13027225522,同时诱骗用户安装包名为taobao.account.safety的恶意子包,软件名称为“帐号安全服务”。当用户安装完该恶意子包后,再次点击提交会发出广播,启动恶意子包服务。

可以看出,该病毒伪装成淘宝客户端,骗取用户淘宝帐号、密码以及支付密码发送到指定的手机号码,同时诱骗用户安装恶意子包,造成用户核心隐私和资金的大规模泄漏。该病毒的存在,使得手机购物、支付安全的风险大增。

3.3 验证码成高危支付病毒窃取资金的核心环节

由以上手机支付类病毒行为统计比例可以看出,静默删除短信、静默发送短信、读短信的病毒行为分别占比37.3%与36.51%、19.74%。分别位居第二和第三、第五。可以看出短信已成为手机支付类病毒木马的重要窃取目标。

腾讯移动安全实验室专家提醒:由于支付宝等第三方支付账号的手机验证的权限高于支付宝数字证书权限,导致任何人通过支付宝捆绑的手机号都可以找回支付宝密码,删除和捆绑银行卡,进入余额宝进行转账,所以一旦手机丢失,第三方支付账号将全面沦陷。

另一方面,在手机支付的的过程中,手机验证码成为极为重要的一环。根据腾讯移动安全实验室的抽样统计,19.74%的支付类病毒可以读取用户短信。这里的“用户短信”包括用户支付交易的手机验证码,而黑客可通过验证码破解用户的支付账号。

即如果黑客能窃取到手机验证码,那么再结合窃取到的用户手机号码等隐私信息,可以取消数字证书等设置,对支付宝交易的安全造成巨大威胁。而哪些病毒在盯着手机验证码?

2013年12月,腾讯移动安全实验室截获了一个名为a.remote.eneity(“短信盗贼”)的手机病毒,该病毒可转发手机用户短信(包括验证码短信)到指定号码,并拦截用户短信,给用户商业隐私、支付安全等带来严重威胁。

2013年末,腾讯移动安全实验室工程师检测查杀到一个针对淘宝的高危手机病毒——“盗信僵尸”(a.expense.regtaobao.a),该病毒可将中毒手机变成“肉鸡”,私自发送短信注册淘宝帐号,同时可拦截屏蔽自动回复系列支付确认短信,盗取手机支付确认验证码和手机资费,甚至威胁支付宝账户余额。2014年2月,腾讯手机管家已再次查杀到该病毒。

可见“短信盗贼”和“盗信僵尸”病毒均可以窃取手机支付验证码。“盗信僵尸”病毒的特征是监控手机支付类验证码,通过窃取验证码来配合窃取支付里的金额,而腾讯手机管家之前查杀的“短信窃贼”、“窃信鬼差”病毒都属此类。

2014年,腾讯手机管家查杀了一款名为“鬼面银贼”的支付类病毒,该病毒可伪装成银行、金融、理财等热门应用,骗取用户下载,一旦安装激活会窃取用户银行账号密码、身份证和姓名信息,同时还会私自拦截和上传用户短信(包括验证码短信)内容到指定号码。

这种支付类病毒盗取网银的手段非常明显:即转发用户短信或监控收集支付验证码,由于手机用户都捆绑了网银、支付宝等,当网银、支付宝等发生消费、支付操作的时候,都会收到短信提醒,内容涉及消费金额、账号余额、支付过程中的短信验证码等信息。而这类支付类病毒可通过拦截这些涉及到网银和支付的短信内容来窃取用户网银资金,这些病毒的存在,是用户手机支付的隐忧。

3.4 监控诱导特征成为手机支付类病毒高危化演进的一个信号

迄今为止最凶悍的监控类手机支付类病毒是腾讯手机管家查杀的“银行悍匪”(a.rogue.bankrobber),该病毒可以直接监控20多个手机银行的APP,窃取帐号、密码等信息。

下面重点详细讲解分析该病毒的特征与感染情况。

2014年1月10日, 基于腾讯手机管家产品服务的腾讯移动安全实验室截获了高危手机支付类手机病毒“银行悍匪”(a.rogue.bankrobber)。

首先,先总体了解一下a.rogue.bankrobber.[银行悍匪]的病毒特征:

“银行悍匪”病毒由母程序(简称:母包)和子程序(简称子包)组成,母包中含有恶意子包。母包通常被二次打包到热门游戏如100个任务、坦克大战中,通过游戏软件需要安装资源包等方式诱导用户安装和启动恶意子包。子包是核心的恶意程序,会进一步诱导用户激活设备管理器,获取ROOT权限,删除SU文件,安装后隐藏图标,卸载杀毒软件,监控指定Activity页面。

病毒可隐藏在后台窃取用户手机信息和短信信息,同时删除短信和私自发送短信,并且窃取用户的通话记录,还会根据短信命令控制手机,比如,开启监听短信,窃取通话记录,屏蔽回执短信,删除所有短信,并读取手机中安装的购物客户端(淘宝)和银行客户端信息。

目前,银行悍匪可窃取包括农业银行、招商银行、广发银行、兴业银行、邮储银行、南京银行、中信银行、光大银行、民生银行、浦发银行、平安银行、广州农商银行、重庆银行、中国银行、华夏银行、湖州银行、上海银行等20余家手机银行的账号密码,将其强制结束进程,同时弹出悬浮窗口骗取用户账号和密码。

目前该病毒已感染6万多用户,该木马高度模仿真正的手机银行软件,用户从软件图标上很难区分,一旦用户安装运行了“山寨手机银行”,就会被要求用户输入手机号、身份证号、银行账号、密码等信息,并把这些信息上传到黑客指定服务器,盗取了银行账号密码后,立即将用户账户里的资金转走。

在支付类病毒中,可监听键盘输入的比例已达到4.52%。在2013年,腾讯手机管家查杀的“键盘黑手”(a.privacy.keylogger)也属于典型的监控诱导类手机支付病毒,该病毒嵌入到输入法软件中,可监听用户键盘输入,上传泄露用户账户密码信息,甚至包括信用卡、网银等支付资料,并把输入内容上传到指定远端服务器,造成手机用户有关支付账号类重要隐私大规模泄露。

腾讯移动安全实验室专家预测,支付类病毒监听键盘输入或者于后台监控手机用户支付账号密码输入信息的特点正在逐步明朗化,这将成为手机支付类病毒高危化演进的一个信号。

3.5 集监控、仿冒程序、转发验证码于一身的支付病毒“鬼面银贼”

支付类病毒发展大致有这么四类特征,但与此同时,支付类病毒又有多种特征融合化发展的趋势,比如腾讯手机管家在2014年3月底查杀“鬼面银贼”病毒具备二次打包和仿冒程序的特征,仿冒的程序包括支付宝年度红包大派发、微云图集、移动掌上营业厅、中国人民银行、中国建设银行、理财管家等十余款应用。

该病毒的另一个巨大危害在于可以监听用户手机短信,并可将短信内容转发至指定手机号码。目前,很多手机用户都通过手机号注册网购账户、支付账户,并通过手机验证码登录一些网购、理财账号。

可以看出支付类病毒越来越趋向融合化发展。但由于智能化程度提升,专盯银行类APP特性,意味着用户去电子市场下载银行类APP则极可能下载到“仿冒”的银行APP,由此会触发进入黑客操控的支付流程。

由此可以知道,手机支付类病毒从二次打包、仿冒程序、验证码转发、监控诱导一步步深入窃取用户支付隐私,并逐步走向单个支付类病毒多种特征融合的趋势,2014年,手机支付安全问题与形势正变得更加严峻。

第四章 二维码与手机支付

腾讯移动安全实验室专家监测分析,“盗信僵尸“、“伪淘宝”等高危支付类病毒主要是被制毒者或制毒机构上传到网络硬盘,生成二维码,并将相关的二维码图片在网站及论坛传播诱骗用户下载,目前许多手机用户见码就扫,这种方式无疑增加了感染病毒的几率。

4.1 二维码——支付类病毒关键传播渠道

另一方面,刷二维码变得越来越普遍,并成为许多手机用户的习惯,通过二维码传播恶意程序的比例从2012年以来就已经迅速增长,由于许多二维码扫码工具并没有有恶意网址识别与拦截的能力,这就给了手机病毒极大的传播空间。

二维码支付渠道目前已成为一个感染高危手机支付类病毒的染毒渠道,但是高危并不意味着没有解决办法或者鼓励用户完全杜绝使用二维码支付,因为二维码支付毕竟是未来发展趋势,而手机用户可以安装腾讯手机管家,通过针对在线恶意网址、支付环境的扫描与检测来避免二维码扫描渠道染毒。

由于在第三方支付的过程中,验证短信是非常关键的一个环节,也是非常重要的手机支付隐私信息,因此也成为诈骗分子或者制毒者、制毒机构紧盯的目标。由于,二维码是支付类病毒极为容易流通的应用场景,而二维码渠道也因此成为高危的染毒渠道,诈骗分子或者制毒者是如何利用二维码渠道来诈骗钱财的呢?

4.2 诈骗分子或者制毒者如何利用二维码渠道来诈骗钱财?

在验证短信窃取中,快捷支付所需要的条件是:姓名、身份证号、银行卡号、手机病毒转发动态校验码。而黑客盗取账号资金的必要条件是:用户姓名、银行卡号、身份证号一致,中毒手机号与第三方账号绑定的手机号一致的时候。诈骗分子与制毒者或制毒机构是如何拿到这些信息,从而为窃取账户资金创造条件的呢?

腾讯移动安全实验室分析:受害者的验证短信被诈骗分子窃取场景往往出现在网络购物的过程中。诈骗者可通过即时通讯找到目标用户,进而通过捏造身份(淘宝卖家等),通过利益诱惑来骗取用户信任,关键的环节是通过骗取用户扫描二维码进行购物支付,手机用户扫描之后即会感染病毒。

之后黑客可直接套取目标用户信息,简洁利用手机病毒或钓鱼网站等诱骗用户填写个人信息后传递给诈骗者。如“姓名、身份证号、手机号”等信息,进而手机病毒会监听转发目标用户手机短信给诈骗者,特别是各类支付平台“动态校正码”短信,其次是利用网络各类支付平台特别是第三方支付平台盗取目标用户支付账号的或者快捷支付账号的银行卡。在这方面,诈骗者冒用目标用户身份验证开通新第三方支付平台账号,绑定目标用户的银行卡账户到快捷支付中,然后进行支付或转账等操作,目标指向银行卡内余额。所有的用户隐私信息条件具备之后,进而便可以盗取手机用户的余额资费。

第五章 手机漏洞与手机安全支付

2014年,手机支付安全的状况越加不容乐观。而Android系统漏洞却加剧了这一现状。2014年2月18日,国内漏洞报告平台乌云发布紧急预警称,淘宝和支付宝认证被爆存在安全缺陷,黑客可以简单利用该漏洞登陆他人淘宝/支付宝账号进行操作,目前不清楚是否影响余额宝等业务。而本节将重点盘点对移动支付安全造成较大威胁的相关Android手机漏洞。

1.MasterKey漏洞。2013年7月底,国家互联网应急中心发布信息,Android操作系统存在一个签名验证绕过的高危漏洞即Masterkey漏洞(Android签名漏洞)。正常情况下,每个Android应用程序都会有一个数字签名,来保证应用程序在发行过程中不被篡改,但黑客可以在不破坏正常APP程序和签名证书的情况下,向正常APP中植入恶意程序,并利用正常APP的签名证书逃避Android系统签名验证。而利用该签名漏洞的扣费木马可寄生于正常APP中, 进而针对捆绑手机用户进行恶意扣费,并向用户联系人发送恶意软件下载推荐短信,在Android系统中,MasterKey漏洞是最为常见的一个,黑客们可以通过这个漏洞绕过系统认证安装手机病毒或恶意软件,进一步操控用户的Android系统及他们的设备。因此Android签名漏洞对移动支付安全性的威胁在于,黑客可以利用这个漏洞,对正版手机购物、第三方支付、银行、电商类等手机客户端进行篡改,植入恶意程序,而篡改之后的程序的数字签名不发生改变,对手机支付购物类的账号密码与资金造成严重威胁。

2.Android挂马漏洞2013年9月,在乌云漏洞平台,被曝出多款Android应用出现严重手机挂马漏洞现象。黑客通过受漏洞影响的应用或短信、聊天消息发送一个网址,只要用户点击网友发过来的挂马链接,都有可能中招。接着手机就会自动执行黑客指令,出现被安装恶意扣费软件、向好友发送欺诈短信、通讯录和短信被窃取等严重后果国内几大知名的手机浏览器APP等都受此漏洞影响。乌云漏洞平台提醒各大浏览器厂商尽快修复更新,并提醒Android手机用户警惕中招。截至目前,包括手机QQ浏览器、猎豹浏览器等最新版本浏览器已经修复该漏洞。

3.短信欺诈漏洞2012年11月,美国北卡罗来纳州州立大学发现Android平台“短信欺诈”(Smishing)漏洞,短信欺诈漏洞的特点是,不需要获取发送短信的权限就可以直接给本机发送欺诈短信。即黑客可以通过该漏洞轻松破解并模拟手机中任意号码给你打电话和发短信,且由于利用短信欺诈漏洞发送这种诈骗短信几乎没有通信成本,会造成大量类似网银升级、东莞被抓、密码器过期等诈骗短信泛滥,另外还可以诱使手机用户登录钓鱼网站,进而窃取银行账号、密码等资金。另一方面,恶意软件也利用短信欺诈漏洞,获取用户联系人等隐私权限,向用户发送欺诈短信,获取非法收入。
短信欺诈漏洞与Android挂马漏洞都会诱使机主点击或登录挂马网址或钓鱼网址,进而窃取短信、银行账号和通讯录等强隐私,而这些隐私都与用户的银行账户资金紧密相关。

第六章 诈骗短信、骚扰电话与手机支付风险

截止到2014年第一季度,腾讯手机管家垃圾短累计举报数接近12.29亿条。

其中,在2014年第一季度,广告类垃圾短信占比82.09%、诈骗类垃圾短信占比10.57%、违法类垃圾短信占比3.01%、其他类占比4.34%。

截止到2014年第一季度,腾讯手机管家骚扰电话累计标记总次数为1.48亿次。其中,在2014年第一季度用户标记的骚扰电话类型中,广告推销为20.79%、诈骗电话为18.99%、房产中介占比为16.3%、保险理财为14.69%、标记为其他类型的占比29.23%。

腾讯移动安全实验室监控到,诈骗分子除了通过诈骗骚扰电话诱导手机用户进行银行转账之外,主要还是通过发送带钓鱼网址或恶意木马程序下载链接的诈骗短信,这些恶意钓鱼网址往往会诱导用户登录恶意诈骗网址等,引导用户进行购物支付,中奖钓鱼类诈骗在近年来已呈现多发趋势。另外,2013年下半年以来,全国多地的诈骗分子纷纷利用伪基站技术进行诈骗,由于伪基站可以模拟任意手机号码进行诈骗短信发送,手机用户难辨真假,利用伪基站技术的诈骗短信给用户带来的危害也大幅提升。

(注:图片来源于网络)

腾讯移动安全实验室针对2013年以来截至2014年第一季的诈骗短信进行关键词汇总统计发现,目前出现频率最高危害最大的与网银支付相关的十大诈骗短信关键词为:航班改签、密钥升级、中行到期、密码器过期、房东出差、U盾失效、同居被查、网银升级、验证码、安全账号。

其中,在网银支付类诈骗短信中,诈骗分子还可以利用伪基站可冒充各大银行的客服号码进行诈骗。在各大银行钓鱼网址中,工商银行钓鱼网址占比达到95.32%、位居第一。中国银行为4.25%、邮储银行占比0.29%、农业银行占比0.14%。

据腾讯移动安全实验室分析,工商银行之所以成为诈骗分子紧盯冒充的大户,在于工商银行占据国内最多的储蓄用户,针对工商银行炮制诈骗短信,可以面对海量的储蓄用户群,提高命中率和精准率,因此工商银行已成为诈骗分子偏爱的银行。

6.1 含钓鱼网址的网银诈骗类重点案例分析

而诈骗分子利用冒充银行发送含钓鱼网址的诈骗短信,这其中又有哪些诈骗短信表现形式?腾讯移动安全实验室对冒充支付网银类诈骗短信进行了案例总结。

网银升级、U盾失效类诈骗

这类钓鱼诈骗的典型案例为:“尊敬的工行用户您好:您申请的电子密码器将于次日过期,请尽快登入我行网址wap.95588id.com升级更新。给您带来不便敬请谅解。工商银行。”或者“尊敬的用户:您的中银e盾于次日失效,请即时登陆我行维护网站www.boetk.com进行更新,给您带来不便敬请谅解!【中国银行】”等。

银行钓鱼诈骗短信解密:诈骗短信的钓鱼网址的域名往往会针对工商银行的真实域名网址www.icbc.com.cn进行模仿,在icbc后面添加后缀或前缀,或者类似www.95588id.com,在网址中模仿工行的客户电话并加前缀或后缀,对于不知情的手机用户而言,极具迷惑性。

用户若点击该类钓鱼网址即会跳转到一个模仿复制的“工商银行手机银行(WAP)”的网站。页面提示用户进行所谓的“电子密码器申请延期”操作,如果手机用户根据网页要求输入银行账号、密码和验证码后,页面可能显示“由于更新客户过多,请耐心等候”的循环字样,之后用户就会发现网银已被盗刷。用户输入的账号和密码以及诈骗网站提示手机用户输入的验证码,都可以被诈骗分子在后台监控到,诈骗分子可根据该验证码将手机用户账户中的资金转出。

腾讯手机管家提醒:验证码、银行账号、密码是手机支付极为重要的隐私,切忌不可泄露,不要点击短信中链接与网址,而银行不会通过邮件、短信、电话等方式,以系统升级或身份认证工具过期激活等为由要求客户到指定的网页修改网银密码或者身份验证。

社保诈骗

您好:您是社保补贴第五批人员,你的补贴金是3600元。速与社保局联系电话:18344533343

热门节目中奖诈骗

案例:恭喜您被湖南卫视《我是歌手》栏目抽为获奖号码,获得9.8万元及苹果電脑一台,请登录www.wsgs23.net查收验证码5688

腾讯手机管家提醒:切忌点击这类诈骗短信留下钓鱼网址,会诱导要求用户输入QQ帐号、身份证号、手机号、银行卡帐号等信息,导致用户隐私泄露,还可能被恶意转账。

在以上典型的钓鱼诈骗短信中,钓鱼网址是一个入侵用户银行支付安全的关键入口。而用户若点击这些钓鱼网址,会面临以下几种结果:用户进入假冒银行的钓鱼网址,该钓鱼诈骗页面会诱导要求用户进行网银升级的相关操作并输入银行卡账号密码,或者诱导用户进入一个中奖的诈骗页面网址,诱导用户输入相关验证码,等用户输入银行账号、密码进入打款操作,交付相关税后扣款与手续费、保证金,即已落入诈骗分子陷阱。

6.2 如何识别冒充银行诈骗短信的钓鱼网址?

据腾讯移动安全实验室监测,在2013年10月,腾讯移动安全实验室通过抽样,从腾讯手机管家用户举报的诈骗短信中,抽出92558条冒充银行支付类的诈骗短信作为样本,发现除了极少量引诱回拨电话(37条),其余全部都使用钓鱼网址。即在冒充银行支付类的诈骗短信当中,几乎都包含有钓鱼网址。

在抽样中含有钓鱼网址的92521条银行诈骗短信里面,包含3631个不同的网址,平均每25条含钓鱼网址的银行支付类诈骗短信,就有一条短信含相同的钓鱼网址。下图是冒充银行的电信钓鱼网址样本。

从钓鱼网址可以看出,冒充工商银行的钓鱼网址基本上行都带有“icbc”等工商银行标识性的域名字母,但钓鱼网址却在这几个字母域名上加了字母前缀或后缀。因此使得这些网址与工行手机的官网域名十分相似,市民稍不留神就会信以为真。

而仿冒中行的钓鱼网址,基本上也是带有boc的前缀或者后缀的域名。而众所周知,http://www.boc.cn/是中国银行的域名,冒充中国域名的钓鱼网址基本都是通过baccboc.com或boc6.com、bcocac等方式加字母、数字前后缀甚至将boc倒过来写的方法迷惑用户,以假乱真。

手机用户点击这些网址会直接跳转至相关的诈骗页面,一旦输入相关网银支付账号,或者按照相关操作流程为诈骗分子汇入网银,就会落入诈骗分子设下的陷阱。腾讯移动安全实验室专家提醒,手机用户安装腾讯手机管家可以有效的甄别钓鱼类恶意网址并停止访问,用户因此可免受经济诈骗等损失。

腾讯移动安全实验室专家提醒,即使是银行客服发来的短信,涉及到更新网银、转账等任何操作,都应该回拨银行客服电话核实后再进行操作,以防“假基站”伪造银行客服号码发送诈骗短信。而近期腾讯手机管家用户举报的银行诈骗短信很多都是“假基站”伪造银行客服号码发出,这值得用户提高警惕。

第七章 移动支付安全解决方案

针对手机支付类病毒进一步涌现的现状,腾讯手机管家已经从病毒查杀、短信、网络环境、支付安全环境监控、钓鱼网址拦截、为合作银行提供安全支付模块等定制服务以及微信支付安全、产业链安全认证体系等多方面建立了立体化的解决方案与确保用户安全支付的防御体系。

7.1 病毒木马查杀

腾讯手机管家病毒查杀功能可以针对系统漏洞、恶意软件、隐患软件、支付风险、盗号风险等,在用户遭遇手机病毒、恶意程序等威胁时,可进行全面的病毒查杀和一键有效清除手机病毒,引导用户卸载、清理相关病毒软件。

7.2 拦截诈骗短信、钓鱼网址和“天下无贼”反诈骗联盟

诈骗短信与钓鱼:这种诈骗的技术含量最低,但却是现在用户遇到最多,且最容易遭受损失的诈骗手段,手机在这里起了诈骗通道的作用。而腾讯手机管家可以智能识别诈与拦截诈骗短信,识别诈骗电话。

另一方面,在2013年12月26日,腾讯联合广东省公安厅、中国互联网协会、银监局、银行协会、三大运营商、世纪佳缘、去哪网等政府组织、企业共同发起了国内首个“天下无贼”反信息诈骗联盟,向日益猖獗的信息诈骗产业链发起全面反击。通过动员全社会力量,通过标记诈骗电话和短信、数据共享、案件侦破受理及安全防范教育等深度合作,打造一个“网络+社交”的反诈骗信息网络,改变了过往打击信息诈骗单兵作战、各自为政的现状。

反信息诈骗联盟的成立作为整合产业链的力量共同打击诈骗短信的试水案例,基于腾讯手机管家的诈骗举报功能,可以将诈骗线索及数据与警方共享,极大提升侦破骗局的机率。与此同时,针对诈骗中“资金转移”这一核心环节,警方联合银行系统可以做到及时帮助民众冻结操作,避免或减少被骗损失,未来还将针对骗子建立银行账号黑名单机会。通过各链条联动极大提升了打击诈骗团伙的有效性,该联盟可对诈骗产业链形成极大的威慑力。

另外,手机用户手机可安装腾讯手机管家有效的甄别钓鱼类恶意网址,如果访问的网址是"钓鱼"等恶意网址,会立即弹窗提醒:“你正在访问盗号网址,建议你停止访问并马上进行查杀",手机用户因此可免受经济诈骗等损失。

7.3 安全正版联盟:杜绝山寨支付网银类APP

腾讯手机管家在2012年建立了腾讯移动安全正版联盟,针对合作的电子市场,腾讯手机管家提供安全检测接口、输出技术,为各支付类软件、电子市场、ROM厂商调用接口嵌入检测代码,即可检测反馈是否为官方安装包或是否安全。对于二次打包的恶意软件,可杜绝启动。对于官方正版软件,标记为“正版”,使用户更放心地下载。腾讯手机管家通过检测网银客户端是否遭到了第三方恶意注入或篡改,以确保手机网银客户端为官方出品。

另外,腾讯手机管家还首家打造成立了“腾讯ROM安全联盟”,据悉,目前国内最大的刷机ROM市场——刷机精灵、甜椒刷机等已均已成为“腾讯ROM安全联盟”成员,并已建立ROM联盟检测认证合作。

ROM安全联盟可以针对所有合作的刷机厂商提供手机管家的安全接口,在刷机厂商的ROM资源下载区,所有上架的ROM包均已通过“腾讯ROM安全联盟”认证并拥有认证标识,手机用户通过该渠道刷机均可以确保下载安全的ROM,确保用户刷机安全指数大幅提升之余,也为合作刷机厂商提供了安全的品牌标识。

7.4 网络环境的安全监控

腾讯手机管家深度集成的网络安全监控模块可支持对手机网络环境进行监控和扫描,判定网络环境的风险状况,自动感知判定网络环境的变化,并进行相关的软件启动检测,可对WiFi网络环境的安全性、包括WiFi钓鱼的存在或隐患进行检测,并检测WiFi密码设置状况、DNS等遭遇篡改情况进行后台风险判定与扫描。一旦检测发现问题,腾讯手机管家会立即提醒用户风险状况,提醒用户留意恶意病毒的相关行为风险,确保用户在使用支付类网银类软件的安全性。

7.5 支付环境的安全监控

许多团购、支付类、电商、理财类应用被二次打包内置恶意代码和病毒,存在窃取用户银行帐号密码,转发用户短信、读取用户通讯录等隐私风险,因此如何确保手机支付环境安全非常重要。而安装了腾讯手机管家的用户,在安装手机支付类应用软件时,腾讯手机管家会提醒用户该安装包是否为官方发布的版本。

腾讯手机管家先锋版支持对银行类、电商、团购、第三方支付类App等进行严格支付环境安全检测。比如,打开一款非官方版的招商银行App,手机管家会在检测后提示用户"存在账号被窃取、财产遭受损失”等风险,建议立即清除,而打开官方版招商银行的时候则提示用户"支付环境安全",用户可以放心使用网银。此外,在打开淘宝、拍拍、支付宝、财付通等网购支付类应用的时候,均会进行支付环境安全检测,确保为手机用户构建安全的支付环境。

7.6 二维码安全检测

二维码本身并无病毒,而二维码所包含的网址链接、应用安装包可能存在钓鱼、挂马、内置病毒或恶意代码,从而导致用户手机中毒,并对手机支付构成威胁。

为了帮助用户安全扫码,腾讯手机管家率先与知名二维码扫描工具灵动快拍、我查查等合作推出安全扫码功能,确保用户在使用这些工具扫码的时候,对二维码包含的网址和应用进行安全检测。

在腾讯手机管家的实用工具栏里面,通过添加安全扫码的功能模块之后,用户在通过微信扫一扫或其他扫码工具扫描二维码的时候,腾讯手机管家均已在后台开启安全扫码防御功能,均可以确保用户安全扫描二维码。

7.7 微信支付安全

新版管家全新打造“微信安全”模块,为微信提供支付、登录、隐私等全方位安全保护,此前的版本也具备“微信安全”功能,支持针对微信聊天中的恶意网址进行拦截,查杀危害微信的恶意插件与病毒。腾讯手机管家安卓4.6版则再次升级了“微信安全”,并与微信5.1版本中“我的帐号”的“手机安全防护”进行入口对接,全面扫描微信支付、登录环境、账号安全以及隐私泄露问题,为手机用户微信支付的安全保驾护航。

7.8 找回手机 清除数据

手机用户通过腾讯手机管家开启了手机防盗功能之后,如果手机丢失或者被盗,当丢失的手机被更换SIM时,会立即将更换后的号码发短信给用户设置的紧急联系人与用户QQ邮箱,提醒用户手机若被盗,请登录http://m.qq.com/anti_theft/ 进行远程控制。通过该网址,用户可以远程“手机锁定”、“手机定位”、“清空手机数据”。通过锁定手机,对方将无法开机,通过获得的手机号码,找回丢失手机,同时也可以通过该手机号码进行远程定位,将手机所在位置告知警察,帮助找回手机。很多用户手机中还有重要联系人、私密照片视频等,而腾讯手机管家手机防盗功能中,一个重要功能就是可以通过“远程清空手机数据”完成清理手机中安装的重要软件与数据,包括支付宝、淘宝、微信、手机银行等重要与支付类隐私相关的APP,防止手机用户重要网银账号、密码等信息泄露,确保支付宝、网银资金、用户手机通讯录、短信等隐私安全,避免手机用户遭遇连串损失。

7.9 短信安全监控

目前用户通过第三方支付、银行类应用在进行的电子商务活动中,短信验证码都是最后的安全防线,一旦用户的支付验证短信被恶意程序获取,手机支付用户的安全堤防会全面溃败,会直接导致银行支付账号财产被窃取,造成严重的金钱损失。

目前,针对短信验证码的安全问题,腾讯手机管家的短信安全监控功能可以监控用户接收到的短信,并判断是否为官方短信,有效识别伪基站或者其他冒充的银行支付类短信,对用户进行诈骗提示并有效拦截。可对银行、支付类相关短信进行监控,避免被转发等风险,并通过支付安全模块对短信进行加密,恶意程序与第三方应用均无法直接获取调用该信息,从而有效保护Android短信验证码,确保用户安全读取验证码并安全完成手机支付。

7.10 APP加固和软件锁

腾讯可以提供平台,针对合作厂商提供的APP进行加固,加固后,可以防反编译,以防止病毒针对正版软件二次打包。

另外,腾讯手机管家除了可以锁定文件、隐私信息外,软件也可以上锁。手机用户可通过实用工具栏开启软件锁,在软件列表中选择要添加的软件,比如微信、淘宝、支付宝、手机银行等客户端等等,勾选即可添加。此后,每次进入该软件时都需要输入私密保护密码,其他人无法看到这些软件中的内容,也就是说,为手机支付账号上了一道安全锁。

腾讯手机管家官方网站:http://m.qq.com

腾讯手机管家腾讯微博:http://t.qq.com/qqsecure

腾讯手机管家新浪微博:http://weibo.com/txmanager

腾讯移动安全实验室官方微博:http://t.qq.com/QQSecurityLab

腾讯移动安全实验室 2014年4月16日



安全快讯 更多

蓝牙协议爆严重安全漏洞

蓝牙协议爆严重安全漏洞

2017-09-13
首个Android DDoS恶意程序

首个Android DDoS恶意程序

2017-08-29
勒索病毒生成工具横行

勒索病毒生成工具横行

2017-08-16

安全视频 更多

腾讯手机管家产品经理笑唱安全报告

2017-08-16

腾讯手机管家微信小程序可一键识别诈骗电话啦!

2017-08-02

小管说安全(2)——红包炸弹

2017-07-24