首页安全播报安全快讯 › 腾讯移动安全实验室2012年5月手机病毒报告

腾讯移动安全实验室2012年5月手机病毒报告

2012-06-14

  2012年5月,基于腾讯手机管家安全产品服务的腾讯移动安全实验室一共截获8089个手机病毒软件包。其中Android平台截获6435个,Symbian平台截获1642个。可以看出,Android平台病毒包数量继续呈几何级增长;Symbian平台新增病毒包数已经连续两个月病毒数环比下降。

  5月份以来,随着低价Android手机进一步普及,Android用户增长趋势依旧明显。随着Android用户基数的扩大,制毒者或制毒机构集中性加大了在Android平台的广告推广类手机病毒的投放。针对热门游戏捆绑恶意通知栏广告也是这个月Android广告推广类病毒的明显特征。

  在5月份截获的Anroid病毒之中,恶意推广类病毒增势相当明显,这一个月曝光的“游戏幽灵”病毒就是伪装成“愤怒的小鸟”等热门游戏,通过在手机通知拦弹广告并私自下载软件的方式来推广软件,令200万Android用户蒙受损失;Android病毒“暗战行者”,通过植入恶意推广广告,感染了包括斗地主、连连看等在内的1800款软件。    

  5月截获的Symbian病毒软件包相比上月再次下降。Symbian平台的制毒者或制毒机构向Android平台转移的趋势正在加快。Symbian手机病毒类型主要还是以资费消耗、系统破坏、诱骗欺诈为主。Symbian平台病毒已进入稳定发展阶段,衰落趋势明显,但制毒者或制毒机构在Symbian平台积累了大量的经验,可以迅速和手机病毒地下产业链产生对接,加之Symbian系统用户量大,因此Symbian平台手机病毒的对用户的影响还将持续存在。

 

  一、Android系统平台病毒特点

 

  1.1 主要特点

 

  2012年5月,Android平台手机病毒呈持续爆发增长态势。截至目前,Symbian平台制毒者或制毒机构向Android平台的转移进一步加速,同时互联网行业木马病毒制作者也大批向Android平台转移,Android系统的安全形势无疑将变得更加严峻。

  在2012年5月,Android病毒增势迅猛之势未减,在捕获的病毒之中,资费消耗类占据37%,依旧占据最高比例;隐私窃取占20%,与上个月相比比例稍有下降;恶意扣费占据16%、诱骗欺诈占12%、远程监控与系统破坏分别占据7%与6%的比例。

  恶意推广类病毒增多是这个月Android病毒最明显的特征。而恶意推广类病毒又呈现出形式多样的恶意广告推广方式。不少Android手机病毒伪装成游戏软件,私自创建多个广告快捷方式到桌面,占用内存并破坏手机系统;或者通过病毒植入推广广告,无提示私自下载推广软件,在私自下载推广软件与创建快捷方式到桌面的过程中,消耗大量用户资费;另外,推广类病毒通过发送短信来触发推广软件自动下载安装,从而达到靠推广软件非法攫取利润的目的。这是5月Android恶意推广类手机病毒的一个明显特征。

  与此同时,隐私获取类手机病毒占据比例虽稍有下降,但依然占据20%的高比例。这个月隐私获取类病毒表现出来的特征主要是,下载的恶意扣费类病毒多含有隐私泄漏的风险,同时,恶意扣费类病毒可以拦截运营商反馈的短信并将发到指定号码,并上传手机固件信息,造成个人隐私泄漏。而通过联网的方式从服务端获取更多恶意指令来定制SP收费业务的现象是这个月恶意扣费类病毒的一个明显特征。

  另一方面,诱骗欺诈类病毒带有隐私获取的特征,通常诱骗用户下载安装后,窃取用户的IMEI号,诱导用户下载安装其它软件,并收集用户手机固件信息,造成用户隐私泄漏。而无论是远程控制、隐私获取和恶意扣费这些病毒行为特征,往往都伴随着资费消耗。

 

图1:2012年5月Android病毒类型分布图

 

  1.2 典型病毒

 

  以下是2012年5月在Android平台发现的一些较为典型的病毒:

 

  1、a.system.gmeil.a.[毒胶囊]

  该病毒启动后会在通知栏里提示用户有系统更新,当用户点击则安装了病毒子包,在后台下载多款推荐软件,同时申请ROOT权限静默安装软件,给用户的手机造成一定的威胁。

2、a.fraud.fakeapp.[游戏幽灵]

  该病毒安装后,伪装成游戏软件,私自创建多个广告快捷方式到桌面,诱导用户下载安装其它软件,并收集用户手机固件信息,存在诱骗欺诈的行为。

3、a.expense.forge.[暗战行者]

该病毒植入恶意推广广告,存在无提示私自下载推广软件的行为,给用户造成资费消耗。

4、a.expense.fakebattery.a

该病毒启动后会在后台发送短信、彩信,并会删除运营商反馈回来的信息及用户的彩信信息,给用户的手机安全造成一定的威胁。

5、a.expense.vertexverveinc.[黑暗推手]

该病毒安装后,收集用户手机号码,未经用户允许私自拦截指定号码的短信,同时启动后台服务私自下载未知软件,下载完成后向指定号码发送短信,给用户造成资费消耗和存在被远程控制的风险。

6、a.payment.go108.a

该病毒安装后诱导用户下载恶意软件,间接对手机造成资费消耗,下载安装的恶意软件可能对用户的隐私造成威胁。

7、a.payment.fakekeybord

该病安装后无图标,开机启动后定时私自发送多条SP扣费短信,并屏蔽运营商的确认回执,给用户的手机安全造成一定的威胁。

8、a.payment.weeycharge

该病毒安装后,后台私自联网发送付费业务订购请求,同时拦截运营商业务订购反馈短信,并将运营商反馈短信内容发送到指定手机号码,随后读取收件箱短信信息,删除运营商业务订购短信,并上传用户手机固件信息,造成用户隐私泄露和存在恶意扣费的风险。

 

  二、Symbian系统平台病毒特点

 

  2.1 主要特点

 

  5月份以来,Symbian平台病毒基本延续了上个月的特征,资费消耗、系统破坏、诱骗欺诈占据三分天下之局面。其中资费消耗类病毒与系统破坏类病毒分别占据33%的比例,两者达成了持平;诱骗欺诈相比上月比例稍有缩减。恶意扣费类与隐私获取类病毒分别占5%的比例。

  这个月Symbian病毒呈现出的特征为:病毒软件安装无提示私自联网,同时静默安装其他软件,或者以“系统升级”为名诱使用户下载安装,无图标生成,无法手动删除,强制驻留于用户手机中,占用手机资源,影响手机和其他软件的正常运行。

  与此同时,Symbian病毒的特征集捆绑与伪装、诱导与恶意扣费于一身,伪装成系统组组件或手机加速器,占用短信发送端口,私自发送短信订制SP业务;或者通过捆绑热门软件,诱导用户安装后,私自修改书签和发送短信,在用户不知情的情况下订购高额的SP收费业务,同时破坏系统的运行。这也是Symbian病毒在资费消耗与系统破坏占据高比例的重要原因。

  虽然Symbian平台长期占据移动终端主流位置,但衰落趋势明显,不过制毒者与制毒机构并未放弃Symbian平台,由于制毒者与制毒机构在Symbian平台的制毒经验丰富,与黑色产业链对接相对容易,因此Symbian系统平台无疑是制毒者或制毒机构稳定盈利来源的一部分。手机安全软件商与制毒者或制度机构在Symbian系统平台的持久战还远未结束。

 

图2:2012年5月Symbian病毒类型分布图

 

  2.2 典型病毒

 

  以下是2012年5月在Symbian平台发现的一些较为典型的病毒:

 

1、s.payment.swinstsvrui

该病毒伪装成系统组件诱导用户下载安装,无提示私自联网,上传手机配置信息到某个服务器;占用系统资源,可能影响手机和其他软件的正常运行。

2、s.system.sysupdate.c.[伪系统更新]

该病毒以“系统*级”为名诱使用户下载安装,无图标生成,无法手动删除,强制驻留于用户手机中,占用手机资源,可能影响手机和其他软件的正常运行。

3、s.payment. mbox

该病毒常伪装成手机加速软件诱导用户下载安装,无启动图标,无提示私自联网;占用短信端口,私自发送短信,可能订购高额的SP收费业务。

4、s.payment.installbox

该病毒常捆绑安装在某些竞技类游戏中,无图标生成,无提示私自联网;私自修改书签和发送短信,有可能在用户毫不知情的情况下订购高额的SP收费业务。

5、s.payment.birthday

该病毒以辅助管理类软件诱导用户安装,无提示私自联网,可能泄露用户隐私;无提示发送短信,可能订购sp收费业务;占用系统资源,影响手机正常使用。

6、s.expense. callmonitor

该病毒无提示私自联网,静默安装其他恶意软件;占用系统资源,无法完全退出,可能影响手机和其他软件的正常运行。

 

  三、手机病毒分布区域

   

  根据腾讯移动安全实验室统计数据可见,5月份以来,全国手机病毒区域分布大致以经济发达省份与直辖市为主,手机病毒在全国各区域的分布上基本形成了以东部沿海地区为主、中部经济发展地区为辅的集中分布态势。手机病毒感染最高传播最广的地区是广东,在Android系统平台,广东手机中毒占比为17.06%;Symbian系统平台广东手机中毒占比为14.97%,两者均居于第一位。在Android系统平台,广东之后,依次是江苏、浙江、北京、福建、辽宁、四川、湖北、上海等省份与直辖市占据排名榜单,在Android系统平台,图示的13个省份与2个直辖市的中毒比例就占据了全国总数的81.01%。

  在Symbian平台,手机中毒分布的地区与Android平台差异不大,除广东外,北京、辽宁等手机中毒比例较为突出,这主要跟Symbian用户的分布情况与忠诚度相关。大致上,也是以东部沿海与中部重要经济发展地区为集中分布区域,这些地区木马病毒感染量增长趋势非常明显,应该引起足够的重视。

  据腾讯移动安全实验室分析:智能手机的普及,使得Android手机病毒因逐利而水涨船高。手机病毒感染高发地区基本属于全国经济发达省份与沿海城市,原因在于这些地区智能机普及率高,Android手机拥有量占据全国高位,同时移动互联网化程度较高,水货手机流通较为普遍,手机软件开发者众多,致使手机病毒植入渠道广泛与来源渠道众多。

  另一方面,沿海地区与经济发达省份的Android手机使用者以年轻一代居多,对Android手机病毒缺乏研究,这促使手机病毒传播相对更加容易;对于Symbian系统平台,制毒者或制毒机构善于紧盯与定位Symbian忠诚用户,并通过精准的病毒投放从他们身上榨取稳定的利润。投向Android平台的Symbian用户,对Android手机病毒与手机安全软件缺乏明晰的认知,中毒情况相对更加不容乐观。另外针对经济发达省份与沿海地区的Android用户,制毒者与制毒机构逐月加大了对Android平台各渠道的病毒投放量与投放技巧,致使这些地区的手机用户中毒现象正变得非常普遍。

图3:2012年5月前15名手机病毒主要分布区域

 

  四、传播渠道来源分析

 

  这一个月来,电子市场、手机论坛的传播依然占据主流。随着腾讯“移动安全生态系统”逐步完善以及腾讯手机管家的“恶意软件曝光”机制的进一步推进,电子市场与腾讯手机管家病毒检测合作的有效性正在彰显,应用商店的手机病毒投放量与投放效果进一步被限制与拦截。但制毒者或制毒机构依赖不同的攻击技术向手机漏洞、隐患来发起攻击并通过论坛、电子市场等渠道进行批量植入的趋势未减。在水货市场,不少手机厂商根据自身安全评判标准进行预置应用商店,导致恶意软件滋生。也成为手机病毒的一大来源。

  随着Android用户的激增,第三方手机论坛已经超过应用商店。大量分享APP应用和交流、讨论的手机论坛的出现,使得手机论坛的病毒传播大肆蔓延,不少手机论坛版主对于病毒潜伏状况有所察觉,开始对论坛附件下载进行引导与审核,但手机论坛缺乏对于应用的安全专业检测与审核,因此无力阻止病毒的疯狂传播趋势。许多手机病毒通过伪装成知名或热门软件,以破解版为名骗取下载;一些带有情色字眼的论坛附件,也通过网盘捆绑论坛传播,诱惑存在猎奇心理的网民下载试用;通过网盘捆绑手机论坛提供下载链接的传播方式正处于快速增长态势之中。

  据观察,5月份以来,PC端黑客向智能机平台转移的速度加快,加之Android平台的开放性与软件开发迭代更新速度加快,这给了黑客以可乘之机。随着网络黑客大批向移动互联网转型,手机端黑客产业链正在建立并完善。这一个月来,在水货市场,部分ROM里预装恶意软件的现象也有增长趋势。

  而将正常软件捆绑病毒打包以躲避运营商监管的恶意吸费类病毒一直呈现增长趋势。通过制毒者或制毒机构的远程幕后操作,手机病毒伪装正常软件躲避电子市场、手机资源站、手机论坛的审核的手段也越来越高明。随着云计算和远程攻击技术更加先进,黑客甚至可能通过在官方发布的应用中隐藏恶意代码来发动攻击。

 

  手机病毒主要传播来源比例:

  1. 电子市场:病毒企图绕开电子市场的安全检测系统在审核上线之前被截获、又或者是通过一些没有接入安全检测的电子市场进行传播,占27%;

  2. 手机论坛:通过上传论坛附件或提供下载网络硬盘下载地址方式,占26%;

  3. 手机资源站:通过录入或开设手机下载WEB/WAP资源站点,提供直接的软件下载地址,占16%;

  4. 软件捆绑:热门软件尤其是游戏软件经常包含病毒或者远程下载,占15%;

  5. 网盘传播:通过网盘捆绑手机论坛提供下载链接;占8%;

  6. ROM系统内置:rom制作者因为利益的驱动在rom里预装病毒软件,占6%;

  7. 微博、博客与其他:通过发博客、微博附带下载地址链接,以及其他互联网形式的自助发布渠道或合作平台,占2%;

图4:2012年5月手机病毒主要传播渠道来源比例

 

  五、专家建议

 

  在下载软件的时候,用户应有针对性的去选择口碑相对较好、评价较高的软件,这可以在一定程度上规避风险。同时要留心安装的软件对敏感权限的获取,如果软件对不相关敏感权限的获取超出其本身的属性,用户应留意该软件是否在窃取、收集手机隐私;最好从正规大型手机卖场买手机,以免不正当渠道的水货手机内置了恶意软件。

  用户养成安全的手机使用习惯非常重要,应及时安装如腾讯手机管家一类的手机安全软件,定期给手机进行体检和病毒查杀、及时更新病毒库。当手机出现话费无故减少、耗电突然增大、流量突然暴增、不停弹出广告等异常现象的时候,应留心是否手机中毒或遭遇恶意程序吸费。

  目前手机病毒的伪装性强,捆绑知名软件打包的手机病毒越来越多,因此用户在下载应用程序前应该对下载平台进行甄别,选择知名度高的应用市场或者相关应用的官网去下载。可以去腾讯应用中心或者腾讯手机管家自带“软件游戏”功能中下载,用户还可选择使用手机管理软件——腾讯手机管家PC版,直接在PC端免费下载上万款手机软件,这些经过腾讯手机管家的安全认证的应用下载平台,可以有效保证安全。

  用户对于手机论坛的热门游戏或者当期流行的壁纸美女类诱惑性软件的下载需保持一定的警惕性。以“暗战行者”为代表的广告推广类手机病毒在手机论坛或资源站目前已开始大规模出现,并附带着隐私泄漏的风险与吸费的陷阱,用户应及时关注@腾讯移动安全实验室微博的“恶意软件曝光”行动,对手机安全资讯做到全面把握和掌控。

 

  腾讯手机管家官方网站:http://msm.qq.com           

  腾讯手机管家腾讯微博:http://t.qq.com/qqsecure

  腾讯手机管家新浪微博:http://weibo.com/qqmanager

  腾讯移动安全实验室官方微博:http://t.qq.com/QQSecurityLab

安全快讯 更多

蓝牙协议爆严重安全漏洞

蓝牙协议爆严重安全漏洞

2017-09-13
首个Android DDoS恶意程序

首个Android DDoS恶意程序

2017-08-29
勒索病毒生成工具横行

勒索病毒生成工具横行

2017-08-16

安全视频 更多

腾讯手机管家产品经理笑唱安全报告

2017-08-16

腾讯手机管家微信小程序可一键识别诈骗电话啦!

2017-08-02

小管说安全(2)——红包炸弹

2017-07-24