金山：2013年Q3 Android手機安全報告 手機病毒仍高速增長

本季度安卓手機病毒仍呈現高速增長，截至本季度末，金山手機毒霸安全中心累計收集可疑樣本超過1100萬個。從2011年以來的3年裡，安卓可疑樣本量增長了近50倍。

（圖1 2011年至今的安卓可疑樣本增長趨勢）

一、 資料分享

1.安卓病毒統計

1) 樣本收集情況：每天新增3萬個可疑安卓程式樣本

      截至2013年第3季度，手機毒霸累計收集安卓可疑樣本1100萬個，較2季度累積病毒樣本800萬增加了27.3%，鑑定確認為手機病毒的總樣本數為58萬個。平均每天收集安卓手機新樣本 3萬個，安卓手機病毒平均檢出率約5.5%。

（圖2 2013第3季度樣本收集情況統計）

      2) 安卓病毒感染情況：每天1.5萬部安卓裝置被感染

手機毒霸客戶端每日監控到 1.5萬部安卓裝置被病毒感染，較第二季度日均感染1.2萬部增長了20%。值得注意的是，手機ROM中的病毒檢出率已穩超非手機ROM的病毒檢出率。這意味著，手機病毒感染的主渠道，已經從安卓應用市場，轉變為手機銷售渠道和各種不正規的刷機包。

注：ROM中檢出病毒：指手機韌體中植入病毒，通常指在手機到達使用者前被人為植入手機病毒。非手機ROM中檢出病毒：指病毒存在於韌體外，通常是手機儲存卡安裝或儲存的軟體中檢出病毒。

（圖3 從7月下旬後手機ROM中病毒的檢出量已穩超非ROM）

注：從8月起，實時監測檢出的病毒量從總檢出量中單獨統計，造成圖中的感染趨勢線下降，實際情況感染總量仍呈上升趨勢。

      3) 安卓病毒感染的後果：資費損失、隱私竊取

金山手機毒霸安全中心運用火眼系統對所有安卓病毒的惡意行為進行了技術分析，發現絕大部分病毒會造成資費損失。而且，很多病毒造成的結果不僅限於一種，中毒使用者面臨的往往是混合攻擊：既有資費損失，又會丟失個人資訊。

大量手機病毒傳播者使用遠端控制的手法，在中毒手機上安裝推廣軟體、後臺訂購付費服務、竊取使用者手機裡的個人資訊

（圖4 安卓手機感染病毒的後果統計）

       4) 流行的十大惡意病毒家族

5) 被重打包加入惡意程式碼的十大知名應用：

2. 惡意廣

大多數安卓軟體都包含廣告，內嵌廣告、通知欄廣告、積分牆廣告、插屏廣告是大多數軟體經常使用的廣告形式。

部分廣告廠商為了獲取收益，不惜犧牲使用者體驗。手機毒霸推出的查殺惡意廣告的功能，為使用者淨化了通知欄，切實解決使用者心煩的廣告彈出問題。部分惡意廣告製造者不甘心惡意廣告被手機毒霸攔截，從技術上與手機毒霸的廣告攔截功能進行對抗。對抗手法包括動態載入，雲端控制，延時推送等。

惡意廣告的強打擾：在所有廣告外掛中，15%為惡意廣告

金山手機毒霸安全中心對惡意廣告的彈出情況做了統計，發現近13萬款彈出通知欄廣告的軟體，其中15%為消耗手機資費、竊取隱私資訊、使用者體驗極差的惡意廣告外掛。

在金山毒霸掃描出的惡意廣告軟體中， 35%會被使用者直接解除安裝，61%的會被使用者替換為無廣告的乾淨版本。

3. 關於安卓隱私許可權：過半應用非正常使用安卓系統敏感許可權

金山手機毒霸對超過100萬款安卓軟體使用的系統許可權進行詳細分析，統計發現有近40%應用會申請獲取位置資訊，69%的應用會嘗試獲取使用者手機號碼。

（圖5 安卓軟體對敏感許可權的申請情況）

      繼續分析這些申請敏感許可權的應用，發現過半應用申請的許可權是不必要的。這些隱私許可權的呼叫來自於安卓軟體內建廣告外掛，目的多用於資料統計、追蹤使用者、精準投放廣告。

 

（圖6 安卓軟體申請的敏感許可權使用情況分析）

 

統計發現，獲取定位和手機號碼許可權用於非正常用途的超過50%，其他敏感許可權多為申請了未使用。

 

二、 2013年第三季度具有重要影響的移動安全事件

 

1. 手機“後門”瞄準移動支付

 

2013年7月17日，首例利用二維碼傳毒盜取支付帳號的案件發生。有網民在手機掃描二維碼後下載安裝手機木馬之後損失1980元，安全專家們的擔心終於在這一天變成現實。

 

（圖7 這個二維碼傳播的病毒會攔截手機所有簡訊）

 

分析發現：騙子給受害者傳送的二維碼實際是一個釣魚網站的網址，在這裡下載的軟體為手機後門程式。受害者在手機上安裝後門之後，騙子通過支付工具官方網站嘗試重置支付密碼，系統傳送的驗證碼簡訊被手機後門程式轉發到騙子手機上，騙子成功拿到支付許可權後完成轉帳。

 

受害者在手機上安裝後門程式是詐騙案發生的必要條件。不久，大量同類案件不斷髮生，某電子商務公司迅速採取措施要求所有入駐商戶不得在頁面使用二維碼。

 

2. 寶貝監控洩露大量使用者手機簡訊和通話錄音

 

2013年8月，一款名為 “寶貝監控”的手機竊聽軟體伺服器被黑客入侵，所有受害者的手機簡訊和電話錄音記錄檔案被黑客竊取，並在小圈子中流傳。僅7月份的資料分析，就發現監聽到.簡訊1.4萬條、竊聽.電話錄音9900個，電話錄音檔案達3.4GB。

 

據分析，寶貝監控先後換了多個產品名稱，網站域名也換了好幾個，曾經利用微博和視訊網站進行推廣。該軟體安裝到安卓手機後，會將所有簡訊（包括髮件人手機號、簡訊內容）和全部電話錄音上傳到伺服器。寶貝監控的經營者會將木馬收集到的手機簡訊和電話錄音賣給需要竊聽軟體的人。不幸的是，這款手機竊聽軟體至今仍在正常運營未被有關方面查處。

 

3. 部分網民遭遇手機卡補卡攻擊

 

（圖8 補卡攻擊的案例）

 

9月份，多地均有網民手機莫名其妙不能使用，不久發生網銀資金被盜。此類攻擊被安全專家稱之為“補卡攻擊”，補卡攻擊就是奪取受害者手機號後搶奪受害者網銀資金，嚴重的個人資訊洩露會大大增加補卡攻擊的可能性。

 

在我國，電子商務網站、網上銀行系統普遍採用手機號與註冊ID繫結的策略。當使用者忘記密碼時，除了可以通過註冊郵箱、相關聯的備用郵箱找回之外，大多支援使用繫結手機號找回密碼。在相關網站提交手機號碼和部分關鍵個人資訊（比如身份證號），相關網站會向繫結手機傳送重置帳號的連結或者驗證碼。攻擊者一旦得手，會迅速轉帳竊取受害者資金。

 

4. 安卓系統漏洞成感染安卓手機的捷徑

 

2013年7月，國外安全廠商曝光99%的安卓手機存在系統簽名漏洞。幾天後，在中國多個安卓軟體市場發現利用安卓系統簽名漏洞在多款流行軟體、遊戲中植入手機病毒。僅在安豐網的應用市場中就發現利用安卓系統簽名漏洞傳播病毒超過4000個，該網站下載排行靠前的安卓軟體清一色被植入病毒。

 

（圖9 利用安卓系統簽名漏洞的病毒程式）

 

金山手機毒霸統計到這些安卓病毒累計下載次數超過200萬，這些病毒程式會在手機啟動、連線或斷開USB電源線、網路變化、螢幕解鎖等事件發生時啟動。病毒會在後臺連網，上傳手機號碼及通訊錄，並偽造手機聯絡人在中毒手機上生成詐騙簡訊。

 

三、 總結

 

綜合本季度的情況來看，安卓手機感染病毒之後最主要的後果是資費和流量損失，其次是隱私資訊被竊取。安卓軟體申請和使用隱私相關許可權的情況仍然嚴重，過半數的安卓軟體存在非正常獲取手機定位和手機號的功能，安卓應用軟體對系統隱私許可權及自啟動功能的濫用造成安卓手機異常費電。

 

安卓手機病毒總量持續快速增長，金山手機毒霸每天在超過1.5萬部安卓手機中檢出至少一個病毒。另一個新變化是手機ROM中檢測到的病毒超過了非手機ROM，這表明：水貨手機、山寨機和刷機渠道傳播的安卓病毒已超過從安卓軟體市場下載軟體而中毒。

 

自：金山網路安全跳蛋