首页安全播报安全快讯 › 腾讯移动安全实验室2012年3月手机病毒报告

腾讯移动安全实验室2012年3月手机病毒报告

2012-04-13

        2012年3月,基于腾讯手机管家安全产品服务的腾讯移动安全实验室一共截获4727个手机病毒软件包,其中Android平台截获2942个,Symbian平台截获1785个。Android智能手机市场的蓬勃发展推动了Android用户量的快速激增,这进一步刺激了制毒者或制毒机构在该平台的病毒开发投入,导致Andriod平台病毒呈持续爆发式增长,用户在手机终端的个人信息安全遭受前所未有的威胁。

        总体来看,2012年3月,Android平台病毒增长数量与速度依然远高于Symbian平台。资费消耗类病毒成为Andriod平台3月份的主要病毒类型。一款名为mobi.[魔比扣费]的病毒在Android平台疯狂传播,目前已感染50万用户;“定位扣费”病毒仍然潜伏在各种渠道疯狂传播;另外,多个伪装成知名手机浏览器的Android手机病毒已经感染了数万用户,并呈现大规模爆发的传播增长趋势。

        Symbian平台病毒相对上个月有小幅度增长,主要还是以资费消耗、系统破坏、诱骗欺诈为主,与上个月的截获到的病毒差异不大,目前Symbian平台病毒已经进入稳定发展的成熟阶段,在技术和形式上比较类似。

        一、Android系统平台

         2012年3月,Android平台病毒增长成持续增势发展,在捕获的病毒当中,资费消耗类占38%,比例最多;其次是恶意扣费占22%、隐私获取占14%,系统破坏占13%,其他各类病毒共占据13%的比例。

        Android平台的开放与热门,众多应用开发者纷纷涌入这一平台,大量制毒者和制毒机构也不例外,但伴随手机安全软件的病毒检测与查杀能力越来越强,手机病毒伪装能力与手段也变得更加高明。伪装类病毒一直将会是制毒者、制毒机构永恒的“创作”主题,Android系统平台已经发展成伪装类病毒的重大疫区。许多手机病毒常伪装成普通应用软件或系统补丁,诱骗用户下载安装后,通过不断自动联网且向外发送带有病毒链接的彩信和短信,消耗用户资费和流量,破坏系统程序;与此同时,手机病毒还通过获取手机的root最高权限,自动下载安装恶意软件造成用户的资费消耗;而恶意扣费类病毒通过联系远程服务器获取发送地址偷偷发送短信订购业务扣取用户资费;也通过热门软件捆绑病毒打包,借热门软件优秀的口碑和庞大的受众群体大肆吸费;另外,恶意扣费、远程控制、隐私获取类病毒往往都伴着流量资费的消耗,这也是3月资费消耗类病毒占据高比例的原因。

        Android病毒

        a.payment.gpssms.[定位扣费]

        该病毒伪装成正常软件骗取用户安装,一旦激活后会根据地理位置来发送扣费短信,并屏蔽运营商的确认短信,用户根本无法察觉这一扣费行为,给用户的财产安全造成了威胁。

        a.payment.fakegooglemap.[伪谷歌地图]

        该病毒伪装成Google Map骗取用户安装,安装后无图标,会在后台发送短信、拦截短信,读取通信录,给用户的手机安全和隐私造成一定的威胁。

        a.consumption.fakePatch.[伪系统补丁]

        该病毒伪装成系统补丁骗取用户安装,无图标自启动,在后台下载多款推荐软件,同时申请ROOT权限成功后静默安装下载下来的软件,给用户的手机造成一定的威胁。

        a.consumption.googlesms.a

        该病毒携带恶意子安装包,启动后会自获取手机的root权限,并静默安装病毒子包,同时私自发送短信,消耗用户资费,可能会给用户手机造成一定的威胁。

        a.consumption.fakealSalah.[恶推流氓]

        该病毒伪装成“AlSalah”软件,开机自启动,一旦激活会从配置文件里读取推广列表并且随机选取列表里的链接,向手机里全部的联系人发送包含该链接的推广短信,可能造成用户的手机资费消耗。

        a.privacy.safesys.b.[root破坏王]

        该病毒通常伪装成某些热门小型应用,在使用过程中会弹出root权限授予请求。如果被授予了root权限,则在后台下载其它恶意程序并静默安装,给用户手机安全造成威胁。

        a.payment.mobi.c.[魔比扣费]

        该病毒一旦被激活,则会在后台私自从raw目录中读取sms.cfg文件获取发送地址,并偷偷发送扣费短信,使用户不觉察的情况下遭受经济损失。

        a.privacy. eula

        该病毒安装后,启动无图标,私自收集用户手机内的照片并发送到远端指定网址http://fy**kit.dk/photoCopy,同时收集用户IMEI等硬件设备信息,导致用户隐私泄漏。

         二、Symbian系统平台

        由于Symbian系统的逐渐衰落,大量制毒者或制毒机构转移至价值更高的Android平台,但Symbian系统平台依旧占据国内众多手机用户,对制毒者而言,病毒传播所产生的利润价值还是非常明显,制毒者对Symbian平台并未放弃。因此各类手机病毒依旧在平稳增长,2012年3月份,在Symbian系统平台的发现病毒当中,相对上个月仍有小幅度的增长,“资费消耗、系统破坏、诱骗欺诈”三分天下,分别占据33%、30%、26%的比例。资费消耗与恶意扣费类病毒加起来的比重高达38%,而这些病毒主要是通过获取网络通信的权限,占用短信端口并发送扣费短信或者定制SP业务、联网下载恶意插件等来造成用户资费的大量消耗。占据30%的系统破坏类病毒对Symbian用户有着重大的影响,因为目前手机病毒的活跃度高,对于配置相对较低的Symbian系统而言,一旦中毒,将会占用大量系统内存,造成假死等,严重破坏手机的安全环境。3月份塞班手机病毒总的流程特点可以归纳为:通过各种伪装方式伪装成正常应用程序,病毒一旦激活就会常驻后台无提示私自联网下载其他恶意插件,消耗用户数据流量,而联网的同时可能泄露用户手机imei,imsi等隐私信息;在下载安装恶意插件或恶意软件的过程中,占用大量系统资源,无法关闭与删除,影响手机与其他软件的正常运行,并试图终止手机安全杀毒软件类软件进程,破坏系统的稳定性与个人信息的安全。

            s.consumption.minimapguide.[伪E都市地图]

            该病毒伪装知名的地图导航软件,诱导用户下载安装,自激活后常驻后台私自联网;无法完全关闭,占用大量系统资源,可能影响手机或其他软件的正常运行。

            s.consumption.eyushikong.[短信粉碎机]

            该病毒伪装短信处理软件,诱导用户下载安装,自激活后常驻后台私自联网;同时,试图终止某些安全软件进程,可能给用户手机安全带来一定威胁。

            s .consumption.imidaemon.[伪艾米视频聊天]

        该病毒伪装成知名的视频聊天软件诱导用户下载安装,自激活后私自联网静默安装其他恶意插件,并常驻后台占用系统资源,可能影响手机的正常使用。

            s.payment.simast

            该病毒会无提示自动联网,消耗用户大量套餐流量,还会不定期发送短信订购SP收费业务,可能给用户造成一定的经济损失。

            s.payment.graacceler

            该病毒以“图形加速器”为伪装,自激活后无图标显示;无提示联网下载其他恶意程序;占用短信端口并发送扣费短信;妨碍杀毒软件的运行,可能导致手机无法正常使用。

            s.privacy.e3dgdisplay.[伪手机酷秀]

            该病毒以“手机酷秀”为名,诱导用户下载安装,非官方版本,而是被其他恶意者篡改过的盗版软件自激活后常驻后台私自联网,静默安装其他恶意插件,可能给用户带来一定流量损失,还有可能联网时泄露用户手机配置信息等;占用大量系统资源,无法手动删除,可能影响手机或其他软件的正常运行。

 

        三、传播渠道来源分布

 

        随着云更新、云指令技术的进一步广泛应用,手机病毒的推送方式与伪装能力变得更加先进与多样化,通过制毒者的远程幕后操作,不少手机病毒通过伪装正常软件来躲避电子市场、手机资源站、手机论坛的审核。比如伪装成知名软件破解版,或者伪装正常软件、系统补丁等诱导用户下载安装,待形成用户规模之后,通过云更新技术立刻切换成病毒程序状态,暗扣手机费或者破坏系统程序。

        根据2012年3月腾讯移动安全实验室后台病毒渠道的数据分析显示,手机资源站、电子市场和手机论坛依然是3月份手机病毒传播的最主要来源。目前腾讯手机管家正在联合手机终端厂商、运营商、开发商、杀毒软件商等产业链上下游对手机病毒各个渠道进行监控与查杀,打造移动安全生态系统,以求为用户创造一个更为绿色安全的移动终端环境。相对于上个月,3月的电子市场的病毒传播稍微有所下降,在电子市场,不少手机病毒通过各类打包形式想方设法绕开安全系统的检测而被腾讯移动安全实验室截获,但手机病毒各渠道的整体传播却变得更加活跃。这一个月来,手机论坛的病毒传播增势明显,通过与稀缺资源的捆绑,不少手机病毒潜伏在手机论坛借助论坛附件、网盘存储等提供用户直接下载,加之手机论坛用户对论坛附件缺乏科学的安全检测,导致手机中毒的机率大大提升。捆绑软件内嵌病毒程序提供远程下载的手机病毒呈总体上升趋势,不少恶意吸费类病毒将正常软件捆绑病毒打包以躲避SP运营商及一些应用市场的监管。这种短平快的病毒传播方式得到越来越多制毒者或制毒结构的青睐,可直接有效地获得病毒传播价值和利润,正成为重要的手机病毒传播渠道来源。

        手机病毒主要传播来源比例:

        1. 电子市场:病毒企图绕开电子市场的安全检测系统在审核上线之前被截获、又或者是通过一些没有接入安全检测的电子市场进行传播,占31%;

        2. 手机论坛:通过上传论坛附件或提供下载网络硬盘下载地址方式,占27%;

        3. 手机资源站:通过录入或开设手机下载WEB/WAP资源站点,提供直接的软件下载地址,占17%;

        4. 软件捆绑:热门软件尤其是游戏软件经常包含病毒或者远程下载,占15%;

        5. ROM系统内置:rom制作者因为利益的驱动在rom里预装病毒软件,占6%;

        6. 微博、博客:通过发博客、微博附带下载地址链接,占2%;

        7. 其他:互联网任何形式的自助发布渠道或合作平台,占2%。

 

 

        四、专家建议

        巨额利润推动手机病毒数量进一步的水涨船高。在下载软件的时候,用户有针对性的去选择口碑不错、评价较好或者是打分高的软件可以一定程度上规避风险,但是目前应用市场刷票频繁,因此对于热门软件的下载还是需保持一定的警惕性。用户应尽量避免从非正规论坛、电子市场或者资源站下载手机程序,应该从信任的来源下载软件,最好去腾讯应用中心或者腾讯手机管家自带“软件游戏”功能中下载,用户还可以使用QQ电脑管家的手机管理功能,直接在电脑免费下载上万款手机软件,这些应用都经过腾讯手机管家的安全认证,可以有效保证应用的安全。

        手机用户上网的时候安装如腾讯手机管家一类专业的安全软件十分必要,另外,手机安全软件应及时升级病毒库,定期扫描查杀,定期监控手机流量与包月套餐费用,删除乱码短信、彩信,谨慎选择刷机ROM,避免手机中毒或遭遇恶意程序吸费而造成无可估量的损失手机用户也可以关注@腾讯移动安全实验室的腾讯微博,对最新的手机安全资讯做到全面把握与掌控,让自己的移动互联网生活更加安心与安全。

 

        腾讯手机管家官方网站:http://msm.qq.com

        腾讯手机管家腾讯微博:http://t.qq.com/qqsecure

        腾讯手机管家新浪微博:http://weibo.com/qqmanager

        腾讯移动安全实验室官方微博:http://t.qq.com/QQSecurityLab

 

安全快讯 更多

BadMedia木马家族

BadMedia木马家族

2017-11-14
双11网购诈骗安全报告

双11网购诈骗安全报告

2017-11-10
2017Q3手机安全报告

2017Q3手机安全报告

2017-11-06

安全视频 更多

小管说安全(3)——谣言有毒

2017-10-24

腾讯手机管家产品经理笑唱安全报告

2017-08-16

腾讯手机管家微信小程序可一键识别诈骗电话啦!

2017-08-02