首页 > 安全实验室 > 安全快讯 > 腾讯移动安全实验室2011年10月手机病毒报告

腾讯移动安全实验室2011年10月手机病毒报告

2011-11-04 16:47:06

        2011年10月,基于QQ手机管家安全服务的腾讯移动安全实验室一共截获手机病毒数543个,其中Symbian平台截获病毒数89个,Android平台截获病毒数454个。本月发现的Android病毒数量增加幅度非常大,说明制毒者或机构已经开始转向Android平台,预计未来Android平台的病毒增长趋势会更加明显。

        一、Symbian系统平台

        1.1 主要特点:

        2011年10月,Symbian平台手机病毒的增长相对于过去几个月的增长都较为平直,表明Symbian平台的病毒增长已经步入稳定增长阶段。发现的手机病毒当中,主要以诱骗欺诈、资费消耗、系统破坏为主,分别占据了29%、25%和21%的比例。诱骗欺诈仍然是Symbian手机病毒的最主要类型。

 

图1:2011年10月Symbian病毒类型分布图

 

        1.2 典型病毒:

        以下是本月在Symbian平台发现的一些较为典型的病毒

        (1)病毒名:Themeengine.[魔法连环套]

        病毒特点:该病毒以“魔法桌面”为名,诱导用户下载安装,病毒运行后在后台自动静默安装两款恶意插件“Ovi***re”和“Buy***rder”,该恶意插件会在后台私自联网,并下载安装其他恶意软件,其中个别软件伪装成手机杀毒安全软件,并通过诱导更新病毒库特征的方式误导用户付费,给用户带来严重经济损失。

        (2)病毒名:cnsw.[窃听机器人]

        病毒特点:该病毒是在一款具有监听功能的软件,安装激活后能被远程手机进行指令操控,按指令把手机里的通话记录、短信、位置等隐私内容并发送到指定号码。此外,该病毒还按指令进行通话录音,极大地侵犯了用户的隐私。

        (3)病毒名: Themeinstallhelper.a

        病毒特点:该病毒经常捆绑在手机主题软件中,安装后无提示自动联网下载恶意插件“The***stall”并后台静默安装;同时弹出收费提示框,诱导用户点击扣费,一旦确认后病毒便会向端口号106***08发送业务定制短信,业务资费为*元,给用户带来严重的经济损失。

        (4)病毒名:KMC.[伪通话录音]

        病毒特点:该病毒捆绑正常应用诱导用户下载安装,安装完成后没有启动图标,一旦激活便开机自启,同时静默安装l*y**.sis程序,不但占用手机内存,给用户正常使用手机带来一定的影响,同时静默安装的程序还可能给用户带来一定的安全隐患。

        (5)病毒名: falseOviStore.[伪Ovi商店变种]

        病毒特点:该病毒以知名的诺基亚手机网店客户端“Ovi商店”为名,诱使用户下载安装,并非官方版本,而是被其他恶意者篡改过的盗版软件;无任何图标生成,无提示自联网静默安装多款无法手动删除的恶意插件,消耗用户数据流量;占用大量系统资源,无法完全关闭,严重影响手机和其他软件的正常运行;无提示私自修改用户手机设置,同时还试图破坏手机中的杀毒软件,使得用户手机可能处于不设防状态,在后续病毒侵入过程中蒙受更大的损失。

        二、Android系统平台

        2.1 主要特点

        2011年10月,Android平台病毒增长趋势明显,Android平台已经逐渐成为手机病毒频频爆发的高危平台,可以预测的是随着Android系统智能终端用户基数的越来越大,病毒危害涉及的广度也将会越来越大。在发现的病毒当中,许多都采取了远程更新下载病毒插件等恶意捆绑方式,Android平台病毒最显著的特征便是持续的流量资费消耗,并占据了各病毒类型第一位置,比例高达34%,除此之外,诱骗欺诈占22%、隐私获取占21%、恶意扣费占16%,都占据非常大的比例。

 

图2:2011年10月Android病毒类型分布图

        2.2 典型病毒

        以下是本月在Android平台发现的一些较为典型的病毒

        (1)病毒名:dg.a.[系统杀手]

        病毒特点:该病毒被内置到ROM内,具有系统最高权限,不但不能通过正常途径卸载,而且能够阻止指定安全软件被安装,同时发送大量的扣费短信并删除指定号码发送的短信,给用户带来严重的经济损失。

        (2)病毒名:i22hk.[云指令推手]

        病毒特点:该病毒一旦激活便自动后台上传IMEI、IMSI等信息到http://www.***.hk并获取云端指令控制用户手机,屏蔽指定号码发送的短信,同时会修改浏览器书签以及联网下载未知程序,对用户手机安全造成严重威胁。

        (3)病毒名:fabrbot

        病毒特点:该病毒捆绑正常软件诱导用户安装,安装主程序后启动,提示升级,用户一确认升级便安装了该病毒子包com.an***id.ba***y,但该apk没有图标,同时读取通信录等私密信息,并且向特定号码发短信,不但造成用户隐私泄露,同时还会给用户的手机带来严重安全隐患。

        (4)病毒名:kituri.tools

病毒特点:该病毒以游戏的名义诱导用户下载安装,安装后于后台私自发送短信,开机自启动后会启动一个定时任务,上传用户隐私信息到指定服务器上,并且恶意拦截回执短信,不但泄漏用户隐私,更有可能会给用户造成严重的经济损失。

        (5)病毒名:ms

        病毒特点:该病毒注入到正常的应用诱导用户下载使用,自动激活后在后台随机向指定的SP端口号发送扣费短信,同时屏蔽SP商的确认短信,可能会给用户造成严重的经济损失;该病毒服务器地址为:http://223.*.*.176/**/trs ,病毒会把云端指令的操作记录发送到指定的手机号,泄漏用户隐私,具有严重的安全隐患。

        三、传播来源

        2011年10月份手机病毒传播已经开始转移到草根传播为主,据病毒来源数据监测显示,短信群发传播方式在本月出现的频次较少。而随着各电子市场都陆陆续续开始接入相关的安全杀毒厂商检测服务,各病毒已经逐步被挡在电子市场门口而无法进入,但是电子市场目前仍然是发现病毒的最主要来源方式之一。制毒机构也开始采取更多样化的传播手段来扩大病毒的用户量。特别是ROM内置病毒出现了一些新变化,如通过暗藏的恶意逻辑偷偷伪造新建未读短信、彩信、WAP-PUSH、系统提示等 方式引导用户下载等方式来传播新病毒等。

        1. 手机论坛:通过上传论坛附件或提供下载网络硬盘下载地址方式;

        2. 手机资源站:通过录入或开设手机下载WEB/WAP资源站点,提供直接的软件下载地址;

        3. 电子市场:通过一些没有接入安全检测的电子市场进行传播;

        4. ROM系统内置:rom制作者因为利益的驱动在rom里预装病毒软件;

        5. 软件捆绑:热门软件尤其是游戏软件经常包含病毒或者远程下载;

        6. 微博、博客:通过发博微博附带下载地址链接;

        7. 其他:互联网任何形式的自助发布渠道和平台。

图3:2011年10月手机病毒主要传播来源比例

        目前病毒的主要来源还是手机社区占29%、手机资源下载站点占22%、电子市场占18%,ROM系统内置和软件捆绑所占比例在本月开始逐步增加,并有可能成为未来手机病毒增长的爆发区。