首页安全播报安全快讯 › 腾讯移动安全实验室2012年2月手机病毒报告

腾讯移动安全实验室2012年2月手机病毒报告

2012-03-19

     2012年2月,基于腾讯手机管家(原名QQ手机管家)安全服务的腾讯移动安全实验室一共截获3787个手机病毒软件包,其中Android平台截获2164个,Symbian平台截获1623个。Android平台病毒的增长开始加速,连续两个月超过了Symbian平台病毒的增量,隐私窃取类病毒开始成群结队出现,不断挑战用户个人信息的安全,加上Android自身权限的开放性和用户在手机端的安全保护意识相对薄弱,手机隐私泄露危机四伏。Symbian平台病毒相对上个月有小幅度增长,主要还是以资费消耗、系统破坏、诱骗欺诈为主,与上个月的病毒差异不大,目前Symbian平台病毒已经进入发展成熟的后期阶段。

     一、Android系统平台

     1.1 主要特点

     2012年2月,Android平台病毒增长继续扩大,在捕获的病毒当中,隐私获取占24%,比例最多,其次是诱骗欺诈占20%、恶意扣费占16%,资费消耗占16%,其他各类病毒比例相对均衡。随着手机移动终端的不断发展,存储在手机上的个人信息也越来越多,各类手机应用程序与用户个人隐私已经是零距离接触。隐私获取类病毒主要通过读取用户的GPS位置信息、短信内容、通话记录、联系人资料等个人信息,并上传到对应的病毒服务器。由于移动网络的无缝对接即时在线,再加上部分手机隐私内容储存数据量较小,非常容易就被病毒或恶意程序迅速传输泄露出去,给用户造成极大困扰。

图1:2012年2月Android病毒类型分布图

     1.2 典型病毒

     以下是2012年2月在Android平台发现的一些较为典型的病毒:

     (1) a.remote.lbs52loc.[隐秘追踪]

     该病毒安装后会强制开机启动,隐藏桌面图标,同时拦截特定短信,以获取用户GPS位置信息,并上传远程服务器,严重泄漏用户隐私。

     (2)a.remote.mzx.[卧底大盗]

     该软件安装后无图标开机自启动,启动后会监听手机的通话内容、发送短信并使用GPS跟踪您的行踪,同时会拦截短信内容、通话记录、邮件、手机号码等隐私内容上传到服务器,给用户的隐私安全带来严重威胁。

     (3)a.remote.pdaspy

     该软件开机自启动,配置好软件后图标消失,将隐藏在用户的手机中对短信信息、GPS定位、通话记录等隐私信息进行监控,并将这些信息上传到远程病毒服务器,给用户的个人隐私安全造成一定的威胁。

     (4)a.payment.smsspy.[短信间谍]

     该病毒安装后无图标,开机自动启动,启动后会发送扣费短信,并同时会删除短信信息和获取用户GPS位置,给用户的财产安全和个人隐私造成严重威胁。

     (5)a.system.androidbot.[Root狙击手]

     该病毒包含两个可疑的bin程序,并且利用png图片把自身进行伪装;该病毒激活后对部分机型获取root权限,一旦获取成功便静默安装内嵌的病毒子包;给用户手机带来一定的安全威胁。

     (6)a.remote.rootsmart

     该病毒伪装成系统关键程序,启动后申请授予root权限,并在后台私自下载并静默安装其它恶意应用,同时会收集短信、通话记录等隐私信息,给手机用户的安全造成较大威胁。

     (7)a.payment.fish.a

     该病毒经常伪装成正常软件诱骗用户下载,启动后私自发送扣费短信,给用户的财产安全造成一定损失。

     (8)a.consumption.androidme

     该病毒安装后无启动图标,一旦激活将会对部分号码的短信进行拦截,并且后台私自联网,消耗用户资费,给用户造成一定的经济损失。

     二、Symbian系统平台

     2.1 主要特点:

     2012年2月,Symbian平台手机病毒相对上个月有小幅度的增长,资费消耗、系统破坏“平分秋色”,都占了32%的比例,其次是诱骗欺诈,占比26%。在发现的Symbian平台病毒当中,总的流程特点可以归纳为:首先通过各种伪装方式如借助软件“包中包”模式反复潜伏,骗取用户信任。进入手机之后,病毒需要私自联网调取远程服务器指令、或上传信息或下载恶意插件并安装,造成流量费用持续消耗,又或者偷偷发送订购信息,造成手机恶意扣费。病毒在执行指令、下载安装恶意应用的过程中又给手机造成了内存的大量占用,在配置较低的Symbian系统手机造成破坏变得不稳定甚至是死机,影响正常使用。Symbian手机病毒发展越来越成熟,受到平台自身的局限,在技术上难以有更多的亮点,但仍然给大量的用户带来非常多的安全问题。

图2:2012年2月Symbian病毒类型分布图

     2.2 典型病毒:

     以下是2012年2月在Symbian平台发现的一些较为典型的病毒

     (1)s.privacy.poec

     该病毒伪装成正常软件诱骗用户安装使用,自激活后常驻后台,消耗手机内存资源;无提示获取手机联系人列表并删改手机联系人信息,严重影响手机的正常使用

     (2)s.privacy.symbianth

     该病毒安装后常驻后台私自联网下载其他恶意软件,消耗用户一定数据流量,还可能将用户手机相关配置信息上传到指定服务器,泄露用户隐私;占用大量系统资源,无法完全关闭,可能影响手机或其他软件的正常运行;还试图终止某些安全杀毒类软件进程,给用户手机安全带来一定威胁。

     (3)s.privacy.signalserver

     该病毒伪装成诺基亚插件,诱导用户下载安装,非官方版本,而是被其他恶意者篡改过的盗版软件,无图标生成;自激活后常驻后台私自联网,可能给用户带来一定流量损失,还有可能在联网的同时泄露用户手机相关配置信息;占用大量系统资源,可能影响手机或其他软件的正常运行。

     (4)s.privacy.netuuguide

     该病毒以网址导航服务类软件“***助手”为名,诱导用户下载安装,非官方版本,而是被其他恶意者篡改过的盗版软件,自激活后常驻后台私自联网,可能泄露用户手机相关配置信息,消耗用户手机一定数据流量;私自修改用户手机桌面快捷方式,占用大量系统资源,无法完全关闭,可能影响手机或其他软件的正常运行。

     (5)s.payment.anvisak.a.[伪杀毒吸费中心]

     该病毒以“杀毒中心”为名诱导用户下载安装,实际无任何杀毒功效,安装后提示手机存在3个病毒BIT.***Plug【盗号木马】,FC.Dow***【恶意扣费】,Sha***Srv【隐私窃取】,需用户支付**元的费用来进行病毒清理,用户一旦确认,病毒便会在后台自动点播SP收费业务,同时屏蔽运营商发送的收费提示短信,给用户带来严重经济损失。

     (6)s.payment. superupdate.[系统辅助包]

     该病毒常伪装成手机系统组件,诱使用户下载安装,无任何图标,自激活后私自联网下载其他恶意软件,消耗用户手机一定数据流量;私自发送短信并屏蔽运营商的反馈信息,有可能在用户毫不知情的情况下订购高额的SP收费业务,给用户带来一定经济损失;无法完全关闭,占用大量系统资源,无法手动删除,可能影响手机或其他软件的正常运行。

     (7)s.payment.sysinbestsafe

     该病毒安装后开机自启,无法完全退出,占用手机内存,可能使手机或者软件无法使用;且在没有提示联网的情况下自动联接网络,消耗流量,给用户带来一定的经济损失;同时该病毒静默安装几款恶意插件,可能给用户手机带来一定的安全威胁。

     三、传播渠道来源分布

     2012年2月,根据腾讯移动安全实验室后台病毒渠道分布的数据分析:电子市场成为病毒来源的最主要渠道,由于各种电子市场用户基数非常大,制毒者或制毒机构往往铤而走险,借助修改的正常软件顺利通过正常审核,待软件安装到用户手机之后,再借助软件版本更新使手机染上病毒并偷偷驻留在手机后台。其次手机论坛是传播二次修改程序的最佳途径,借助论坛附件、网盘存储等提供用户直接下载,通过各类打包形式绕开安全检测,利用用户迫切体验稀缺软件资源的心理,使用户直接染毒又或二次升级产品附带病毒。热门软件游戏捆绑病毒也是比较常见也是比较有直接效果的传播方式。

     手机病毒主要传播来源比例:

     1. 电子市场:通过一些没有接入安全检测的电子市场进行传播,占37%;

     2. 手机论坛:通过上传论坛附件或提供下载网络硬盘下载地址方式,占21%;

     3. 手机资源站:通过录入或开设手机下载WEB/WAP资源站点,提供直接的软件下载地址,占16%;

     4. 软件捆绑:热门软件尤其是游戏软件经常包含病毒或者远程下载,占12%;

     5. ROM系统内置:rom制作者因为利益的驱动在rom里预装病毒软件,占8%;

     6. 微博、博客:通过发博客、微博附带下载地址链接,占1%;

     7. 其他:互联网任何形式的自助发布渠道或合作平台,占5%。

图3:2012年2月手机病毒各传播渠道来源比例

     四、专家支招与建议

     建议手机用户需要下载软件的时候,选择口碑不错、评价比较好或者是打分比较高的软件,对于一些知名软件尽可能到其官方网站下载,不要轻易下载安装来历不明的陌生软件;用户还可以到腾讯应用中心、腾讯手机管家自带“软件游戏”功能中下载,或者使用QQ电脑管家的手机管理功能,直接在电脑免费下载上万款手机软件,这些应用都经过腾讯手机管家的安全认证,可以有效保证应用的安全。

     同时在手机端安装如腾讯手机管家一类专业的手机安全软件,及时升级病毒库,定期扫描查杀,可以避免手机中毒等问题而造成的严重损失。关注@腾讯移动安全实验室的腾讯微博,可掌握最新的手机安全资讯。

     腾讯手机管家官方网站:http://msm.qq.com

     腾讯手机管家腾讯微博:http://t.qq.com/qqsecure

     腾讯手机管家新浪微博:http://weibo.com/qqmanager

     腾讯移动安全实验室官方微博:http://t.qq.com/QQSecurityLab

 

安全快讯 更多

手机勒索病毒第一案破获

手机勒索病毒第一案破获

2017-06-13
勒索病毒修复工具再升级

勒索病毒修复工具再升级

2017-06-05
Judy感染超3600万手机

Judy感染超3600万手机

2017-06-02

安全视频 更多

小管说安全(1)——前任疑云

2017-05-23

腾讯手机管家协助佛山公安破获校讯通手机病毒大案

2016-07-19

手机管家安全专家解读网购诈骗新陷阱

2015-11-25