2012年8月手机安全报告.pdf

2012年8月 基于腾讯手机管家安全产品服务的腾讯移动安全实验室一共截获27756 个病毒软件包 Android 平台截获26260个 占据病毒总数94 6 的比例 Symbian 平台截获1496个 进入2012年8月份以来 Android 手机病毒的猖獗态势得以进一步发展 相比上月 Android 病毒软件 包增长43 7 手机病毒的技术和等级 突飞猛进 的态势让人惊讶 新型的手机病毒吸费的手段也更加隐蔽 8月份以来 Android 攻击性病毒进一步发展 病毒制作者开始重兵布局手机支付类病毒 紧盯用户的钱袋 8月的 短信巫毒 又称 短信僵尸 手机病毒可针对网银 支付 汇款等高度机密信息进行欺诈 导致用户 的网银财产损失 感染用户超过百万 该病毒事件引起行业的集体预警与用户的强烈关注 这个月来 Android 广告推广类手机病毒进一步繁殖 比较具有代表性的是腾讯移动安全实验室8月初 截获的牛皮癣系列手机病毒 a rogue gamex 该病毒可以让用户手机沦为恶意推广的无底洞 与此同时 Android 手机病毒多样化特征进一步显著 病毒家族成群发展的趋势也变得强烈 手机病毒 伪装热门软件进行捆绑传播已成为制毒者或制毒机构的常规化操作 随着 Android 系统应用增长 手机病 毒多伪装成热门应用软件 获取 Root 权限后消耗手机流量或者破坏系统来获取不正当利润 这个月来 Symbian 平台制毒者或制毒机构向 Android 平台的转移进一步加速 同时大批互联网行业木 马病毒制作者也纷纷转向 Android 平台 Android 系统的安全形势变得更加严峻 在 Symbian 平台 手机病毒软件包数量相对上月 略微有所下降 稳定发展的特征也在进一步加固 这个月 Symbian 病毒类型分布体现出前所未有的三分天下的均衡性比例 但这并不意味着制毒者与制毒机 构已经放弃 Symbian 平台 对于 Symbian 系统的手机安全环境 依然要给予一定的重视 一 Android 系统平台病毒特点 1 1主要特点 这个月来 Android 手机病毒表现出来的整体特征与上月差异不大 依然是以资费消耗与隐私获取类手 机病毒为主 与上月相比 资费消耗类手机病毒占比稍微有所下降 但比例依然处于高位并占据第一的位 置 其中 资费消耗类病毒占据38 的比例 隐私窃取类手机病毒占据了26 的比例 恶意扣费占据15 的比 例 远程监控 系统破坏类手机病毒分别占据9 4 的比例 这个月来 Android 手机病毒制毒者或制毒机构表现出来的吸金欲望强烈 追求短线快速盈利已经成为 制毒者或制毒机构非常明显的目标 这个月资费消耗 隐私获取类手机病毒以 短信巫毒 最为典型 手机 病毒攻击行为从消耗流量资费转向窃取网银帐号盗取用户资金 而与此同时 这类病毒也体现出了隐私窃 取与诱骗欺诈的的特征 不仅诱导用户安装恶意子包 而且具有监控用户收件箱 插入恶意短信 私自发 送和拦截短信的行为 窃听 监听手机短信接收或通话成为隐私获取类病毒的新特征 这个月隐私窃取类手机病毒主要通过 联网上传方式泄露用户隐私或者短信外发方式与远程监听短信 监听通话等方式泄漏用户隐私 这个月诱骗欺诈类手机病毒占据了8 的比例 诱骗欺诈类病毒会通过欺骗的方式诱使用户安装恶意程 序或利用手机漏洞远程下载并安装恶意程序 而恶意软件不会合法的告知受影响的手机用户 8月份以来 恶意拦截 SP 业务订购短信 私自订购 SP 业务同时屏蔽运营商确认短信的恶意扣费类手 机病毒也开始变得泛滥 短信巫毒 的爆发 意味着 Android 系统平台的手机病毒开始体现出连环性 难卸载等各种新的特征 与此同时 广告推广类手机病毒进一步泛滥 这类病毒软件一旦被用户安装后会静默下载推广软件 消耗 流量 存在难卸载 云端配置推广软件等恶意行为 这类病毒的发展 也间接促进了资费消耗类手机病毒 的快速繁殖 图1 2012年8月 Android 病毒类型分布图 1 2典型病毒 以下是2012年8月在 Android 平台发现的一些较为典型的病毒 1 a rogue smszombie 短信巫毒 该病毒诱导用户安装恶意子包 不断重复弹出安装页面 具有监控用户收件箱 插入恶意短信 私自 发送和拦截短信的行为 同时诱导用户激活设备管理器 使用户无法正常卸载 2 a expense megall 该病毒安装后 后台启动服务无提示静默下载推广软件 消耗用户流量 给用户造成资费消耗 3 a payment fakesystemapp 该病毒伪装成系统软件骗取用户安装 启动后检查本地是否安装安全软件等隐私信息发送到服务器 当手机锁屏的时候订购 SP 业务 并屏蔽运营商发回来的确认短信 可能会给您的手机造成一定的威胁 4 a expense lemon 该病毒启动后会监听手机短信接收 当有短信发送到该手机上时该病毒会拦截短信信息 并转发到另 一个手机号码 可能会给用户的隐私安全造成一定的威胁 5 a payment ms a 该病毒自动激活 在后台随机向指定的 SP 端口号发送扣费短信 同时屏蔽 SP 商的确认短信 另外 病 毒会把云端指令的操作记录发送到指定的手机号 泄漏用户隐私 6 a payment fakekoogame a 该病毒安装后 恶意拦截 SP 业务订购短信 同时未经用户允许私自发送短信确认 SP 订购业务 存在 恶意扣费和流氓行为 7 a system hider 该病毒安装后 诱导用户申请 ROOT 权限 一旦获取 ROOT 权限则会静默安装其他可疑软件 给用户 手机安全造成威胁 8 a expense mxmobile 该病毒安装后 未经用户允许私自发送短信 同时拦截指定内容短信 上传用户手机固件信息 给用 户造成资费消耗和隐私泄露 9 a privacy tinyurl a 该病毒安装后无图标 开机强制启动 未经用户允许私自监听收发短信和通话记录 并实时跟踪用户 GPS位置 将监控信息回传到指定网站 造成用户隐私泄露 10 a expense mdk a 该病毒安装后 开机强制启动 从远端服务器自动下载恶意脚本代码 私自下载未知应用程序安装包 消耗用户流量 给用户造成资费消耗 二 Symbian 系统平台病毒特点 2 1主要特点 Symbian 系统平台病毒特征开始进入了新一轮稳定发展的轨道 如下图所示 2012年8月 Symbian 病毒 类型分布图中 资费消耗类病毒占34 的比例 系统破坏类病毒占33 的比例 诱骗欺诈类手机病毒占33 的比例 三类手机病毒将 Symbian 平台的病毒类别切分的十分均匀 Symbian 系统平台在经历上一轮的多 样化特征之后 开始重回稳定发展的轨道 与此同时 Symbian 手机病毒经历了短暂的小幅增长之后 又 重回低落的轨道 这个月 Symbian 手机病毒的特征表现为 在手机病毒行为中 诱骗欺诈类手机病毒与系统破坏类手机 特征并存 与此同时 手机病毒的伪装性开始增强 手机病毒通常伪装成常用必备的软件诱骗用户安装 在私自联网的过程中 下载恶意插件或者占用系统资源 而手机病毒试图破坏手机中的安全杀毒软件成为 非常明显的特征 Symbian 制毒者或制毒机构也开始提升其攻击技术 寄望于通过攻击并卸载用户的手机安 全软件 扫清病毒攻击的障碍 从安全意识不高的 Symbian 用户身上赚取稳定的不正当的盈利收入 图2 2012年8月 Symbian 病毒类型分布图 2 2典型病毒 以下是2012年5月在 Symbian 平台发现的一些较为典型的病毒 1 a expense ssru a 该病毒伪装成影音播放类软件诱导用户下载安装 无提示私自联网 私自修改主页 占用系统资源 破坏 手机中的安全杀毒类软件 可能威胁到用户手机安全 2 a expense kecerysig 该病毒伪装成系统程序驻留于手机中 自激活后私自联网下载恶意插件 无法手动删除 试图破坏手机 中的安全杀毒软件 可能威胁到用户手机安全 三 8月重点关注的手机病毒 3 1 短信巫毒 病毒 在今年8月17日 腾讯手机管家首家查杀了一款 短信巫毒 又称 短信僵尸 病毒 该病毒捆绑在含泷 泽萝拉 刘德华等动态壁纸热门应用中 具有恶意扣费 盗取用户网银密码以及账单支付信息等隐私窃取 行为 该病毒在下载安装后伪装成 系统服务 的病毒子包 子包伪装成 a33 jpg 存在于 assets目录下 目前 感染用户已超过100万 该病毒可针对网银 支付 汇款等高度机密信息进行欺诈 导致用户的网银财产损 失 危害极大 而腾讯手机管家对首家查杀后引起各安全商家纷纷跟进宣传与媒体用户的集体关注 引发 了行业内的 蝴蝶效应 手机用户应对该病毒引起高度重视 及时安装一款优秀的手机安全软件 定期给 手机进行体检和病毒查杀 确保自身网银资金安全 3 2 牛皮癣 病毒 8月初 腾讯移动安全实验室截获了 牛皮癣 系列手机病毒 a rogue gamex 该病毒一旦被安装 便会 诱导用户获取 ROOT 权限 在未经用户允许情况下 私自静默安装携带的多款恶意安装包 这些安装包又 会私自联网 偷偷下载其他恶意应用 并从云端配置推广软件列表 让用户手机彻底变成病毒的 天堂 并存在难卸载 云端配置推广软件等恶意行为 目前 腾讯手机管家已经实现对 牛皮癣 病毒的彻底查杀 用户可下载安装 并将病毒库升至最新 开启全盘扫描即可 四 手机病毒区域分布 在 Android 与 Symbian 系统 8月中毒手机用户中 广东省再次毫无悬念的居于第一位 分别达到14 95 与11 30 在 Android 系统 排名前十的的省份或直辖市分别为 广东 江苏 浙江 北京 辽宁 福建 四川 山东 河南 湖北 在 Symbian 系统 手机中毒用户排名前十的省份或直辖市分别为 广东 北京 江苏 辽宁 浙江 四川 福建 山东 重庆 河南 与上月相比 在 Android 与 Symbian 系统平台 广东省手机中毒用户占比均有所下降 一方面 这与 全国智能手机用户基数持续上涨以及制毒者或制度机构往新兴经济增长地区定向投毒有关 加之广东省对 刷机市场 水货市场等内置软件渠道监管加强 电子市场与手机安全厂商合作进一步强化 手机中毒用户 占比有所下降 总体来讲 从 Android 到 Symbian 排名前十的省份与上月差距不大 制毒者与制毒机构通过对经济 发达地区与新兴手机用户增长区定向投毒并收集定位相关的用户数据 形成了稳定的渠道与目标人群 广 东 江苏 浙江 北京 辽宁 福建六个省份由于处于经济发达地区及其辐射区域 这些省份与地区是手 机厂商内置软件渠道与水货市场 刷机与应用市场 应用开发商的集中区域 已成为制毒者或制毒机构病 毒投放的重点目标省份与直辖市 在经济发达地区及其辐射区域 资费消耗与隐私窃取类手机病毒表现突 出 隐私窃取 恶意扣费类病毒多分布在四川 福建 辽宁 资费消耗类病毒多集中于北京 江苏 浙江与 广东 8月份以来 经济发达地区及其辐射地区的手机用户的手机安全意识与隐私保护意识都有不同程度的上 升 手机安全软件装机率相对上月也有一定程度的增长 如福建 广东等地 而手机中毒用户重度集中的 分布态势有所减弱 制毒者与制毒机构追求短平快的盈利方式也进一步强化 另外 制毒者或制毒机构开始盯紧新兴智能机增长地区的新增手机用户 有意识的扩大手机病毒投放 区域与提升病毒投放技术 往东部 中部智能机销量增速强劲的省份进行定向投毒 有意识的扩散手机病 毒流通渠道的趋势也十分强劲 图3 2012年8月前15名手机病毒主要分布区域 数据来源 腾讯移动安全实验室 五 传播渠道来源分析 手机恶意软件的各种来源渠道威胁已经到了 兵临城下 的阶段 8月以来 智能手机病毒传播又开始呈 现了新的的特征 比如这个月爆发的 短信巫毒 手机病毒转向了手机支付等账号信息的窃取 而手机论坛 电子市场则是此类病毒的最大来源渠道 制毒者或制毒机构将手机病毒二次打包内置入正常应用程序之中 放到论坛或者应用商城上传播的病 毒传播方式依然占据主流 手机论坛缺乏病毒检测流程依然没有得到解决 论坛编辑的有意识的引导却并 未起到有效的规劝作用 手机论坛已成为手机病毒最主要的传播渠道 这个月占据了25 的比例 第一次 开始与电子市场所占比例持平 而这个月以来 更多的壁纸 广告推广类 隐私窃取类病毒在手机论坛渠 道诞生 网盘捆绑论坛提供下载链接的传播方式也开始增多 这个月短信巫毒 又称 短信僵尸 也大肆在手机论坛攻城略地 大批论坛手机用户中毒 同时 随着手 机病毒家族成群发展 制毒者与制毒机构通过一个病毒多次打包捆绑海量应用程序 通过多渠道发布快速 感染海量用户群的特征在这一个月表现的更为明显 如此一来 软件捆绑渠道的手机用户中毒现象也十分 突出 占据16 的高比例 其次 随着互联网企业做手机的大热趋势 许多唯利是图的手机厂商也开始与不法 SP 合作 导致预装 恶意软件变得进一步泛滥 这个产业的黑色双赢产业链由于利益关系变得更加稳固 其次是在刷机市场 用户在 刷机 时不留神把病毒刷进去的情况也正在变得普遍 而手机安全市场针对手机病毒的特征在病毒 查杀检测方面的合作正在加强 有针对性的加大了电子市场的监控与查杀力度 随着 Android 智能机发烧友逐月环比上升 各大手机论坛的软件资源共享变得更加活跃 手机论坛传 播渠道来源已经与应用商店比例持平 截至目前 电子市场安全检测比率有所上升 这一定程度上降低了 Android 开源性带来的风险 但与此同时 手机端电子市场的病毒来源渠道依然有增无减 手机应用市场安 全检测率低 更多的制毒者开始往手机端电子市场进行投毒 这个病毒来源渠道已成为电子市场渠道中的 重点安全隐患 而随着网络黑客大批向移动互联网转型 互联网企业齐做手机的趋势使得预装软件的进一步增长 在 水货市场 ROM 制作者因为利益驱动在 ROM里预装病毒软件有增无减 ROM 内置等渠道中毒的占比率 也因此在持续上升之中 图4 2012年8月手机病毒主要传播渠道来源比例 1 电子市场 病毒企图绕开电子市场的安全检测系统在审核上线之前被截获 又或者是通过一些没有 接入安全检测的电子市场进行传播 占25 2 手机论坛 通过上传论坛附件或提供下载网络硬盘下载地址方式 占25 3 软件捆绑 热门软件尤其是游戏软件经常包含病毒或者远程下载 占16 4 手机资源站 通过录入或开设手机下载 WEB WAP资源站点 提供直接的软件下载地址 占15 5 网盘传播 通过网盘捆绑手机论坛提供下载链接 占9 6 ROM系统内置 rom 制作者因为利益的驱动在 rom 里预装病毒软件