腾讯移动安全实验室2012年4月手机病毒报告
2012年4月,基于腾讯手机管家安全产品服务的腾讯移动安全实验室一共新截获5547个手机病毒软件包。其中Android平台新截获3815个,Symbian平台新截获1732个,可以看出的是,今年以来,随着智能手机的进一步普及,Android系统平台大热趋势依旧持续,其用户基数也在急剧扩大之中。
在4月份截获的Android病毒当中,手机病毒开始呈现出较强的独特性与多样化特征,隐私泄露的病毒也处处可见,广告推广类与定位扣费类病毒也更具专业性与针对性,手机病毒伪装性更强,形式多样化趋势较之上个月也更加明显。4月份,Android平台伪装类病毒疯狂肆虐,11款伪google类病毒席卷百万用户疯狂传播;一款[魔比扣费]的病毒在Android平台疯狂传播趋势未减,隐私窃取类病毒开始有大幅增长趋势,“食人鱼”等恶意扣费类病毒对用户的影响还在持续。
Symbian平台病毒软件包数量相对上个月有小幅度下降,这是今年以来,Symbian平台病毒软件包数量环比首次下降。Symbian平台的制毒者正迅速向Android平台转移。Symbian手机病毒类型主要还是以资费消耗、系统破坏、诱骗欺诈为主。目前Symbian平台病毒虽已进入稳定发展阶段,但衰落趋势明显,不过总体用户量大,Symbian平台手机病毒依然不容忽视。
一、Android系统平台
1.1 主要特点:
随着Android平台价值的显露,制毒者与制毒机构在Android平台也加大了手机病毒的研发与投入。虽然目前业界与手机用户对手机病毒的关注见涨,但在国内多数手机论坛、应用市场等主要病毒传播渠道对制毒者与制毒机构缺乏制度与技术上的约束,Android平台的手机病毒快速递增趋势没有被明显遏制。
2012年4月,Android系统平台手机病毒增势明显。在捕获的病毒当中,其中资费消耗类病毒占26%,相比上月虽有所下降,但依旧占据最大比例;隐私获取类病毒占23%,相比上月14%的比例,上升幅度相当明显;诱骗欺诈类病毒占18%;恶意扣费占15%,远程监控和系统破坏共占17%的比例。
4月份的Android平台资费消耗类手机病毒的特征是:伪装性开始加强,无论是在病毒伪装成正常软件骗取安装过程中还是在运行状态,都与被伪装的软件差异无几。该类病毒通常伪装成系统文件或其他正常软件骗取用户安装,之后会在后台联网,下载其他恶意插件,快速消耗用户的上网流量或者拨打扣费电话,给用户造成资费消耗。占比15%的恶意扣费类手机病毒的主要行为都是通过伪装成系统软件,安装启动后私自发送信息与彩信,定制SP业务并屏蔽运营商反馈信息,恶意扣取用户资费。
隐私窃取类病毒开始呈现快速蔓延之势。伪装类手机病毒会通过伪装成通讯录备份软件或者拍照程序,读取联系人列表、通话记录、短信信息等内容;或者记录用户语音通话时读取用户彩信信息和用户手机号码,造成用户隐私泄露。而且此类病毒隐蔽性强,用户很难察觉手机已经中毒。可以得知,这一个月Android平台各类手机病毒基本包含诱骗欺诈类病毒特征,带有较强的伪装诱骗性是Android平台各类手机病毒的共同特征。
图1:2012年4月Android病毒类型分布图
1.2 典型病毒
以下是2012年2月在Android平台发现的一些较为典型的病毒:
a.payment.fakeSystemsms
该病毒伪装成系统文件骗取用户安装,启动后会发送虚假彩信通知用户有系统系统漏洞需要更新,当用户点击更新链接后会下载可疑文件提醒安装,同时该病毒还会拨打扣费电话,给用户的手机安全造成一定威胁。
a.consumption.MobSetup
该病毒无图标开机自启动,每天会定时从远程服务器http://www.***23.net获取指令,获取成功后会向一个号段群发垃圾广告短信,将用户的手机沦为僵尸,并且还会删除用户手机的短信发送记录、所有回复短信、来电记录等信息让用户毫无察觉,给用户造成一定的威胁.
a.privacy.avetter
该病毒安装后,伪装成拍照程序,后台启动用户通话监听服务,对用户语音通话进行记录,同时读取用户彩信信息和用户手机号码,造成用户隐私泄露。
a.privacy.shoujixiaozhishi
该软件安装后,强制开机启动,收集用户手机号和手机固件信息用来向远端地址发送请求http://www.int**bobo.com/ato/amsg.asp?,同时存在下载未知软件的行为,存在造成用户资费消耗的风险。
a.privacy.plankton
该病毒经常伪装成正常软件,启动后在后台联网,上传用户浏览器内书签和浏览历史记录,同时上传用户的IMEI和IMSI信息,给用户造成潜在威胁。
a.privacy.fakeBattery
该病毒伪装成手机电池工具,启动后会在后台发送短信、彩信,并会删除运营商反馈回来的信息及用户的彩信信息,给用户的手机安全造成一定的威胁。
a.privacy.gone60
该病毒伪装成通讯录备份软件,安装启动后读取联系人列表、通话记录、短信信息等内容,并上传到远程流氓服务器,给用户的隐私安全造成一定威胁。
二:Symbian系统平台
2.1主要特点
2012年4月,Symbian系统平台的手机病毒虽呈开始环比下降趋势,但其手机病毒软件包数量依旧很多而且相对稳定。在发现的手机病毒当中,资费消耗类病毒占34%;系统破坏占33%;诱骗欺诈占27%;隐私获取与恶意扣费类病毒共占8%的比例。资费消耗、系统破坏、诱骗欺诈三类病毒三分天下的趋势依旧明显,与上个月相比,病毒表现特征与所占比例相差不大。体现出较强的稳定性。
对于配置相对较低的Symbian系统而言,安全性较Android更为薄弱,加之用户缺乏一定的安全意识,因此,制毒者或制毒机构可以轻易通过捆绑热门软件或系统组件,诱导用户安装,进而进行系统破坏、消耗资费或者进行恶意扣费类病毒的投放,从而达到从手机用户身上攫取经济利益的目的。
Symbian平台的手机病毒系统破坏特征明显,手机病毒通常表现为捆绑于游戏类软件中或者伪装成正常软件诱导用户安装,激活后无提示私自联网,消耗流量,占用大量系统资源,影响手机或其他软件的正常运行。因此,4月份Symbian系统平台的手机病毒较为明显的特征是,一旦手机病毒被激活或者安装,将相继表现出诱骗欺诈、资费消耗、系统破环的连贯性特征,甚至在这过程中还会泄漏用户隐私,给用户手机带来连锁伤害与破坏。
图2:2012年4月Symbian病毒类型分布图
2.2 典型病毒
s.payment.sysantirus.g.[伪系统杀毒]
该病毒以“系统杀毒”为名诱使用户下载安装,点击确认后会被扣取**元,并提示成功清除病毒“AVK.Up***.A”等,有可能给用户带来一定的经济损失。
s.consumption.wizard
该病毒常伪装成工具类软件诱导用户下载安装,无任何启动图标,自激活后常驻后台私自联网;占用大量系统资源,可能影响手机和其他软件的正常使用。
s.privacy.softmgrmm
该病毒常伪装成知名杀毒软件诱导用户下载安装,自激活后私自联网,可能泄露用户手机配置信息;占用大量系统资源,可能影响手机或其他软件的正常使用。
s.consumption.syscpc.[伪百度地图]
该病毒伪装成知名的地图导航软件诱导用户下载安装,自激活后私自联网;无法完全关闭,占用大量系统资源,可能影响手机或其他软件的正常使用。
s.consumption.syspatch.c.[伪系统补丁]
该病毒以“系统补丁”名义诱导用户安装,安装后无启动图标,激活后无提示自动链接网络,消耗流量,给用户造成一定经济损失
s.consumptiondaygroup.[我的收藏]
该病毒强制安装在手机C盘中,自激活后无提示私自联网,占用系统资源,无法手动删除;破坏手机中的安全杀毒类软件,可能给用户手机安全带来一定威胁。
三:传播渠道来源分析
根据2012年3月腾讯移动安全实验室后台病毒渠道的数据分析显示,4月份的手机病毒传播渠道基本沿袭了上个月的特点,即手机资源站、电子市场和手机论坛依然是3月份手机病毒传播的最主要来源。但电子市场的手机病毒来源数量依旧雄踞榜首,不过所占比例相对上月有所缩小。这一个月来,随着腾讯“移动生态系统”的建立以及应用汇与腾讯手机管家携手建立“恶意软件曝光”机制,手机病毒的迅猛发展趋势得到了一定程度的遏制,但许多电子市场监管不严以及手机病毒检测技术缺乏的现状很大程度上依然存在,这些均为手机病毒滋生提供了相对舒适的土壤。
手机论坛、手机资源站所占病毒来源比例稍微有所下降。手机论坛是大量的资深手机控群聚探讨之所,因此,相对来讲,对于手机病毒有着一定的专业识别率,加之一些权威的手机论坛编辑开始进行对用户的附件下载进行引导与审核,作为病毒来源的主要渠道之一,手机论坛病毒感染开始呈现下降趋势。但另一方面,小白用户中招的基数依旧很大。与此同时,手机病毒传播渠道也开始呈现出新的趋势与特点:即通过网盘捆绑手机论坛提供下载链接的传播方式开始大面积出现。
捆绑软件内嵌病毒程序提供远程下载的手机病毒总体上升趋势未减,不少恶意吸费类病毒也将正常软件捆绑病毒打包以躲避SP运营商及一些应用市场的监管。通过制毒者的远程幕后操作,手机病毒伪装正常软件来躲避电子市场、手机资源站、手机论坛的审核的手段也越来越高明。
手机病毒主要传播来源比例:
1. 电子市场:病毒企图绕开电子市场的安全检测系统在审核上线之前被截获、又或者是通过一些没有接入安全检测的电子市场进行传播,占28%;
2. 手机论坛:通过上传论坛附件或提供下载网络硬盘下载地址方式,占25%;
3. 手机资源站:通过录入或开设手机下载WEB/WAP资源站点,提供直接的软件下载地址,占17%;
4. 软件捆绑:热门软件尤其是游戏软件经常包含病毒或者远程下载,占15%;
5. 网盘传播:通过网盘捆绑手机论坛提供下载链接;占6%;
6. ROM系统内置:rom制作者因为利益的驱动在rom里预装病毒软件,占5%;
7. 微博、博客与其他:通过发博客、微博附带下载地址链接,以及其他互联网形式的自助发布渠道或合作平台,占4%;
图3:2012年4月手机病毒各传播渠道来源比例
四、专家建议
在下载软件的时候,用户应有针对性的去选择口碑相对较好、评价较高的软件,这样可以一定程度上规避风险。同时应尽量避免从非正规论坛、电子市场或者资源站下载手机程序,而对于手机论坛的热门游戏或者美女壁纸类诱惑性软件的下载需保持一定的警惕性。比如以“美女壁纸”为代表的广告推广类手机病毒在手机论坛或资源站目前已开始大规模出现,并附带着窃取隐私与吸费的陷阱。
目前手机病毒的伪装性强,捆绑知名软件打包的手机病毒越来越多,因此用户应该从信任的来源下载应用,在下载应用程序前最好对下载平台进行甄别,选择知名度高的应用市场或者相关应用的官网去下载。最好去腾讯应用中心或者腾讯手机管家自带“软件游戏”功能中下载,用户还可以使腾讯无线的手机管理软件——腾讯手机管家PC版,直接在PC端免费下载上万款手机软件,这些经过腾讯手机管家的安全认证的应用,可以有效保证安全。
手机用户养成安全的手机使用习惯非常重要,及时安装如腾讯手机管家一类的手机安全软件,定期给手机进行体检和病毒查杀、及时更新病毒库,对手机流量与包月套餐费用应做到定期监控。删除乱码短信、彩信,谨慎选择刷机ROM,避免手机中毒或遭遇恶意程序吸费而造成无可估量的损失。手机用户也可以关注@腾讯移动安全实验室的腾讯微博,对最新