首页安全播报安全快讯 › 腾讯移动安全实验室2012年1月手机病毒报告

腾讯移动安全实验室2012年1月手机病毒报告

2012-02-09

  龙年春节刚刚过去,手机病毒依然异常活跃。2012年1月,用户在春节期间使用手机的频率大幅上升,通过各种渠道下载安装软件的次数增多,制毒者或制毒机构在传播病毒过程中也紧紧抓住了这一营销契机,进行大面积的推广。由于各软件厂商在Android平台竞争异常激烈,软件应用的渠道传播为移动互联网提供了丰富的收入来源,越来越多的Android平台病毒与各类应用深度捆绑,如植入广告代码,恶意推广内容等等,开始深层次地挖掘隐形的利益价值。在2012年1月底发现的“Android.Counterclank”手机病毒就是一个非常典型的例子,在腾讯移动安全实验室后台捕获到的被“Android.Counterclank”手机病毒感染的软件就达34款之多,据行业公开的统计数据显示,该病毒感染的用户数就达500万之巨,这一恶意事件更是把Android平台病毒推向一个新的发展高潮,而这仅仅发生在新年的头一个月。

  2012年1月,基于QQ手机管家安全服务的腾讯移动安全实验室一共截获3369个手机病毒软件包,其中Android平台截获1796个,Symbian平台截获1573个。塞班病毒增长稳定,Android平台病毒迅速增长的大趋势不变。可以大胆预测的是: 2012年,因为手机病毒,Android平台将迎来不平静的一年。

   一、Android系统平台

   1.1 主要特点

  2012年1月,Android平台病毒增长进一步加速,在捕获的病毒当中,诱骗欺诈占45%的极高比例,其次是资费消耗占23%、隐私获取占18%,三者占据了Android平台病毒类型的绝大部分。Android软件应用的海量增长,各类电子市场竞争的日益激烈,软件应用的产品推广进一步带动了各类网盟支付、在线广告的发展,在商业模式尚未明朗的移动互联网行业,这些收入成为了许多互联网中小型企业赖于生存的基本保障,更成为Android平台病毒不断滋生蔓延的重要利润来源。“Android.Counterclank”手机病毒的大规模爆发可以说是一次具有里程碑意义的事件。通过在正常程序植入恶意代码,借助正常软件的外壳进行有效欺骗,偷窥和收集用户的隐私信息,向用户发送广告获利。这与上个月发现的“go360.[图标密雷]”病毒有渔区异曲同工之妙,都是在大量的正常应用软件中植入恶意代码,通过各类欺骗延期发作等方式来获取渠道信任,借助捆绑热门软件来加速传播等等。由此可以推断,未来在Android平台中带有广告盈利性质的病毒,也将会越来越多。

图1:2012年1月Android病毒类型分布图

 

  1.2 典型病毒

  以下是2012年1月在Android平台发现的一些较为典型的病毒:

  (1)a.payment.ryengine

  该病毒安装后开机自动运行,启动后在后台偷偷发送扣费短信,获取短信信息,静默下载软件等流氓行为,给用户的手机安全造成严重威胁。

  (2)a.consumption.servicr

  该病毒伪装成Google Service类软件骗取用户下载,开机自动启动,安装后无图标,病毒启动后分别从远程服务器“http://s2.m***o.com:9899/”和“http://s2.a***y.org:9899/”站点可能会下载其它恶意应用,并强制安装到用户手机,浪费用户手机流量,给用户带来一定的经济损失,并可能给用户造成严重的安全威胁。

  (3)a.remote.klservice

  该病毒安装后无图标,开机自动启动,在后台获取通话记录、短信信息、图片、录音等文件信息保存到SDcard卡下,并定时通过网络发送到远程服务器。给用户的隐私安全造成一定威胁。

  (4)a.privacy.smart.[系统快捷设置]

  该病毒经常伪装成系统组件骗取用户下载,启动后私自下载未知软件,并伴有静默安装行为,同时收集用户手机IMEI,IMSI,用户软件等信息。

  (5)a.privacy.android.counterclank

  该病毒启动后在用户不知情或者未授权的情况下,在桌面创建快捷方式,并且收集用户浏览器书签、手机制造商等信息,黑客可以通过这一 恶意软件向用户发送广告,并同时修改手机的默认浏览器主页,给用户造成一定的安全威胁。

  (6)a.fraud.dogwars

  该病毒伪装成游戏类软件,开机启动后可能在后台私自发送短信,给用户的安全造成一定的威胁。

  二、Symbian系统平台

  2.1 主要特点:

  2012年1月,Symbian平台手机病毒仍然维持较大幅度的增长,在发现的Symbian平台病毒当中,虽然技术上并没有太多创新的地方,但由于Symbian平台的市场保有量仍然非常大,病毒传播效果和生成价值还是非常明显,制毒者对Symbian平台依旧是“不离不弃”。在2012年1月份发现的手机病毒当中,诱骗欺诈、资费消耗、系统破坏的病毒类型占了绝对的比重,分别占据了34%、31%和25%的比例。诱骗欺诈成为1月份Symbian手机病毒的最多类型,诱骗欺诈在Symbian平台始终是手机病毒发展的“常态”,如借助软件“包中包”模式反复潜伏等等,尽管病毒的欺骗手段谈不上高明,但由于许多用户在手机端的防毒常识仍然缺乏,造成这类病毒很容易就骗过用户的眼睛,植根在手机中,给用户造成持续的恶意影响。资费消耗、恶意扣费类病毒加起来占了非常大的比重(39%的比例),这是因为许多病毒都获取网络通信的权限,或者发送短信、定制业务、联网下载恶意插件等等,这些病毒在没有清除的前提之下会长期地保持活跃,极有可能给用户造成非常严重的损失。系统破坏类病毒对Symbian系统的影响也是非常大,或者是破坏用户手机的安全环境,占用大量内存,造成假死等等,由于Symbian系统手机硬件配置相对较低,一旦中毒就会严重影响手机的正常使用。

图2:2012年1月Symbian病毒类型分布图

 

  2.2 典型病毒:

以下是2012年1月在Symbian平台发现的一些较为典型的病毒

  (1)s. consumption. datastart

  该病毒捆绑主题类软件以“桌面**”名义诱导用户安装,一旦激活便后台自动链接网络,消耗用户资费,给用户带来一定经济损失;同时,该病毒可能会卸载某些安全类程序,让手机处于不设防状态,可能给用户带来进一步损害。

  (2)s.payment.notesend

  该病毒以市面实用工具(如:**闹钟,**来电)名义诱导用户下载安装,激活后会向指定号码:106*****3发送短信定制SP服务并伴有后台联网行为,消耗用户资费,不但给用户造成一定的经济损失,同时可能造成成用户手机信息的泄露。

  (3)s. consumption.swhelp

  该病毒捆绑主题类软件诱导安装,安装完成后以“nokia_helper”名义冒充手机系统程序驻留用户手机,一旦激活便后台无提示链接网络,消耗用户资费,给用户带来一定的经济损失。

  (4)s. consumption.Privatevideo

  该病毒以“**视频”名义诱导用户下载安装,安装后无启动图标,激活后边后台无提示链接网络,消耗用户资费,给用户带来一定的经济损失;联网成功后边下载其它恶意程序后台静默安装,一旦安装失败,便不停弹出安装提示,不但给用户的手机造成进一步的安全威胁,而且用户手机内存,给用户正常使用手机带来一定影响。

  (5)s. consumption.phogd

  该病毒激活后边便后台无提示自动联网,消耗用户资费,给用户带来一定的经济损失;同时该病毒开机自启,无法完全关闭,占用手机内存,可能造成手机假死,给用户正常使用手机带来一定的影响。

  (6)s. consumption.acceleration.c.[伪手机加速]

  该病毒激活后无提示自动连接网络,消耗资费,给用户带来一定的经济损失;同时该病毒无法完全关闭,占用手机内存,给正常使用带来一定的影响;使用该病毒软件扫描提示手机内存在病毒程序,清除后再次扫描,所谓的病毒程序依然存在,欺骗误导用户使用。

  三、传播渠道来源分布

  根据2012年1月腾讯移动安全实验室后台病毒渠道分布的数据分析显示,电子市场,手机论坛和手机资源站仍然是病毒传播的重要渠道。云更新、云指令等技术的广泛利用,使病毒的潜伏能力越来越强,而病毒发作的时间又可以灵活掌握在制毒者的远程幕后,通过特定的更新与升级可以随时切换病毒程序的状态:由无毒变成有毒再换成无毒都可以通过远程更新实现。由此可见,病毒在各式各样的渠道的传播逐渐变得与正常应用软件的传播无异,待累积到一定的用户规模,在病毒后台设置对应的广告推送下载,甚至是推送新病毒,那么病毒产生的黑色传播利益就会在短时间内迅速扩大,成为其源源不断的收入来源。

  手机病毒主要传播来源比例:

  1. 电子市场:通过一些没有接入安全检测的电子市场进行传播,占28%;

  2. 手机论坛:通过上传论坛附件或提供下载网络硬盘下载地址方式,占25%;

  3. 手机资源站:通过录入或开设手机下载WEB/WAP资源站点,提供直接的软件下载地址,占24%;

  4. 软件捆绑:热门软件尤其是游戏软件经常包含病毒或者远程下载,占13%;

  5. ROM系统内置:rom制作者因为利益的驱动在rom里预装病毒软件,占7%;

  6. 微博、博客:通过发博客、微博附带下载地址链接,占1%;

  7. 其他:互联网任何形式的自助发布渠道和平台,占2%。

 

图3:2012年1月手机病毒各传播渠道来源比例

 

  四、专家支招与建议

   病毒的伪装能力变化万千,单凭肉眼判断识别已经变得越来越困难,多种新技术的结合运用更让病毒如同隐形。建议手机用户需要下载软件的时候,选择口碑不错、评价比较好或者是打分比较高的软件,对于一些知名软件尽可能到其官方网站下载,不要轻易下载安装来历不明的陌生软件;用户还可以到腾讯应用中心、QQ手机管家自带“软件游戏”功能中下载,或者使用QQ电脑管家的手机管理功能,直接在电脑免费下载上万款手机软件,这些应用都经过QQ手机管家的安全认证,可以有效保证应用的安全。

  同时在手机端安装如QQ手机管家一类专业的手机安全软件,及时升级病毒库,定期扫描查杀,可以避免手机中毒等问题而造成的严重损失。关注@腾讯移动安全实验室的腾讯微博,可掌握最新的手机安全资讯。

  QQ手机管家官方网站:http://msm.qq.com

  QQ手机管家腾讯微博:http://t.qq.com/qqsecure

  QQ手机管家新浪微博:http://weibo.com/qqmanager

  腾讯移动安全实验室官方微博:http://t.qq.com/QQSecurityLab

安全快讯 更多

Lipizzan间谍软件

Lipizzan间谍软件

2017-07-28
CopyCat肆虐全球

CopyCat肆虐全球

2017-07-07
腾讯手管详解勒索新手段

腾讯手管详解勒索新手段

2017-06-30

安全视频 更多

小管说安全(2)——红包炸弹

2017-07-24

小管说安全(1)——前任疑云

2017-05-23

腾讯手机管家协助佛山公安破获校讯通手机病毒大案

2016-07-19