簡介
騰訊移動安全實驗室(Tencent Mobile Security Labs),是基於MTAA的策略,為MTAA平台制訂技術架構與規範、為合作夥伴制訂合作政策與規範,並負責整個開放平台的開發、維護、最佳化,以及開放平台策略的實施與實現,力求使MTAA開放平台成為一個開放、增值、孵化產業鏈生態的堅實平台。該實驗室,作為騰訊移動安全研究的研發機構,主要負責:手機病毒查殺,手機系統漏洞的發現與智慧型修復等工作,而騰訊移動安全實驗室技術展現在於騰訊旗下的手機安全產品――騰訊手機管家。除了研發外,騰訊移動安全實驗室還負責發布手機防毒、病毒研究等手機安全相關的調研報告。
背景
伴隨著移動終端的多樣性發展和智慧型化演進,終端上所承載的各類套用、特別是高端商務套用業已成為移動運營商新的收入來源和核心業務增長點,如手機網上支付、電子商務、基於位置的服務等富有特色的一系列增值服務,這將極大地激發運營商、終端廠商、增值服務提供商對終端安全保障體系的關注和投入,移動終端安全已成為新的產業鏈。騰訊公司作為中國最大的網際網路綜合服務與增值套用提供商,從用戶、行業的業務需求出發,憑藉多年服務海量用戶而積累的豐富經驗,致力於打造網際網路、特別是移動網際網路終端的安全保障體系。騰訊終端安全架構,(Mobile Terminals Assurance Architecture, 以下簡稱MTAA),以及基於MTAA的騰訊移動安全實驗室,於2010年6月17日,宣告面世。
關於MTAA
說到騰訊移動安全實驗室,MTAA是不可不提的。MTAA是Mobile Terminals Assurance Architecture的英文簡稱,嚴格來說它是騰訊提出的一套安全架構方案,因此MTAA 並沒有直接的實體化表現,多存在於技術文檔裡面。而現在為人熟知的手機防毒軟體――騰訊手機管家就是基於MTAA移動安全架構體系下設計的手機安全產品。2012年11月手機安全報告內容摘要
2012年11月,基於騰訊手機管家安全產品服務的騰訊移動安全實驗室一共截獲18899個病毒軟體包,其中Android平台截獲17695個,占據病毒總數93% 的比例;Symbian平台則截獲1204個。Android平台目前已經徹底成為病毒肆虐的主戰場。這個月來,Android病毒發展的態勢迅猛,熱門病毒一波接一波接連襲擊,層出不窮,從11月1日開始,與美國颶風同步的“隱私颶風”病毒開始在手機端掀起了風暴,35萬人中招。與此同時,“江南style”繼續延續熱度,《江南style女�絲版》、《元芳你怎么看江南style》等模仿搞笑視頻等被惡意入侵。
隨著十八大的召開,製毒者也開始緊盯手機新聞客戶端。據騰訊移動安全實驗室檢測,許多市場上的非官方鳳凰新聞、搜狐新聞被Android病毒打包,造成各種話費暗扣與流量消耗。短信欺詐類病毒在11月份迎來大爆發,騰訊手機管家於11月中旬查殺並曝光了550款簡訊欺詐類病毒,之後查殺了包括“搖擺少女”200款軟體,共有750款軟體被簡訊欺詐類病毒所感染,用戶因此蒙受了巨額的經濟損失,引發了行業的強烈關注。
這個月來,製毒者緊盯熱門軟體的趨勢正在加強。繼憤怒的小鳥、Cut the rope、鱷魚愛洗澡相繼被病毒感染之後,植物大戰殭屍也難逃被病毒惡意感染的命運,與此同時,火爆K歌軟體唱吧也被Android病毒以二次打包的形式將惡意代碼注入,大量用戶被感染。
隨著刷機用戶越來越多,手機病毒潛伏在刷機渠道感染手機用戶的情況正持續惡化,ROM中毒的用戶也日漸增多,11月份,騰訊手機管家已檢測出Android感染用戶最多的十大ROM內置病毒,並倡導整個產業鏈對ROM內置病毒與刷機安全的關注與協防。
11月,製毒者或製毒機構更善於利用電子商店、手機論壇下載渠道機制的薄弱點進攻,以及利用二維碼、微博鏈接等方式隱蔽傳播,增大了用戶“中招”的機率。
與此同時,各種扣費類病毒利用二維碼、內置ROM等渠道瘋狂吸金,2012年11月,騰訊手機管家檢測出來並公布的2012年十大Android高危病毒中,惡意扣費類病毒就占據了2款。
Symbian平台衰落趨勢依舊明顯,目前騰訊手機管家截獲的Symbian病毒數所占據的總份額依然偏低,呈現出來比較緩慢與平穩的環比下降趨勢,但由於病毒的攻擊性與多元化加強,目前依然需要持續關注。
一、Android系統平台病毒特點
1.1主要特點
在Android平台,11月截獲的病毒包數達到17695個。資費消耗類病毒占據39%的比例,相比上月下降10%。隱私竊取類病毒與誘騙欺詐類病毒分別占據23%與15%,與上月相比,隱私竊取類病毒環比上升18%。流氓行為類病毒達到史無前例的15%,遠程控制與惡意扣費分別為7%與1%。這個月來,Android簡訊欺詐類病毒來勢迅猛,“簡訊欺詐”類病毒不斷變種捲土重來成為Android平台一個重要特徵。Android平台手機用戶深受其害。
簡訊欺詐類病毒在這個月呈現出非常多元化的特徵,總體上以隱私竊取與誘騙欺詐類病毒為主,製毒者利用“簡訊欺詐”漏洞誘騙用戶安裝,偽造某些朋友或機構組織或服務的號碼向用戶傳送欺詐內容誘騙用戶造成資費、話費消耗或者賬號網銀密碼泄露,並大肆竊取電話號碼、聯繫人、簡訊、通信記錄、地理位置、各種賬號密碼上傳到遠端伺服器而造成用戶強隱私的泄露。因此這個月簡訊欺詐類病毒往往同時帶有隱私竊取、誘騙欺詐、資費消耗的特徵,危害性極大。
資費消耗類病毒非常普遍,該類病毒往往會私自聯網下載軟體、甚至在未經用戶允許的情況下,私自傳送、攔截指定號碼簡訊,給用戶造成資費消耗和並且造成惡意扣費的風險。
1.2典型病毒
以下是2012年11月在Android平台發現的一些較為典型的病毒:a.fraud.smishing
該病毒可能會利用“簡訊欺詐”(Smishing)系統漏洞,偽造某些朋友、或機構組織、或服務的號碼向您傳送一些欺詐內容的簡訊,可能給您帶來一定的損失。
a.fraud.smishing.a
該病毒安裝後,讀取手機固件信息,未經用戶允許私自修改用戶瀏覽器書籤,存在流氓行為。
a.fraud.superpush
該病毒可能會利用安卓系統簡訊欺詐漏洞,通過偽造簡訊的手段誘騙用戶造成損失。
a.expense.dpn
該病毒啟動後私自聯網下載軟體,靜默安裝推廣軟體,可能會給您的手機安全造成一定威脅。
a.privacy.lookoutsecure
該病毒安裝後無圖示,開機強制啟動,監聽用戶GPS地理位置信息、通話記錄、簡訊收件箱,同時上傳到遠端伺服器,給用戶造成隱私泄露。
a.fraud.superpush
該病毒可能會利用安卓系統簡訊欺詐漏洞,通過偽造簡訊的手段誘騙用戶造成損失。
a.expense.softkey
該病毒被安裝後開機自啟動,啟動後會傳送簡訊、監聽簡訊信息、刪除通話記錄、破壞安全軟體運行等危險行為,可能會給您的手機造成一定的威脅。
a.payment.suntu
該病毒安裝後,啟動無圖示,未經用戶允許私自傳送、攔截指定號碼簡訊,同時私自下載和靜默安裝的行為,給用戶造成資費消耗和存在惡意扣費的風險。
a.payment.blackmarket
該病毒啟動後私自傳送扣費簡訊,並具有刪除簡訊、攔截簡訊等危險行為,可能會給您的手機造成一定的威脅。
a.payment.bingo
該病毒安裝後,開機強制啟動,後台定時傳送惡意扣費簡訊,同時攔截指定內容簡訊,存在惡意扣費的行為。
a.privacy.iceman
該病毒安裝後,接收遠程簡訊指令,傳送用戶地理位置信息、聯繫人信息,遠程控制用戶手機錄音,給用戶造成隱私泄露和存在流氓行為。
二、Symbian系統平台病毒特點
2.1主要特點
Symbian 系統一直處於衰落狀態,病毒發展特徵較為平穩與緩慢,在11月份,騰訊移動安全實驗室截獲的病毒包數為1204個。其中資費消耗類病毒占據30%的比例,位居第一。其次是系統破壞與誘騙欺詐類病毒,分別占比為26%與17%。隱私獲取類病毒與惡意扣費類病毒占比18%與9%;誘騙安裝、私自聯網、消耗流量同時私發簡訊私自關閉手機中安全軟體進程成為Symbian病毒這個月的明顯特徵,資費消耗類病毒上升趨勢明顯,但總體而言,與上個月病毒特徵變化不大。在Symbian平台,整體發展趨勢雖然處於持續衰落之中,但與此同時,系統破壞類病毒與隱私竊
資費消耗類病毒依然是Symbian系統占比重最大的病毒類型。製毒者或製毒機構逐利而行的慣性驅使Symbian系統的病毒投放雖然降低,但針對Symbian用戶最大限度的攫取利潤的投毒行為還在持續之中。
2.2典型病毒
以下是2012年11月在Symbian平台發現的一些較為典型的病毒:s.expense.sysinbestsafe
該病毒安裝後開機自啟,無法完全退出,占用手機記憶體,可能使手機或者軟體無法使用;且在沒有提示聯網的情況下自動聯接網路,消耗流量,給用戶帶來一定的經濟損失;同時該病毒靜默安裝幾款惡意外掛程式,可能給用戶手機帶來一定的安全威脅。
s.expense.messagepatch.b
該病毒以“智慧型簡訊補丁”為名,誘導用戶下載安裝,啟動後無提示強制聯網,消耗用戶手機一定上網流量;同時,病毒會私自關閉手機中安全軟體進程,使手機可能遭受其他病毒的進一步攻擊,給用戶手機帶來嚴重安全隱患。
s.expense.screenservice
該病毒安裝後無啟動圖示,並且開機自啟,占用手機記憶體,給用戶正常使用帶來一定影響;同時該病毒還嘗試終止安全類套用進程,給用戶手機帶來安全威脅。
三、11月重點關注病毒: a.expense.dpn
《中國好聲音》成為2012年最火的一檔娛樂節目,隨著《中國好聲音》的火爆,手機App“唱吧”也跟著走紅。“唱吧”的火爆也被病毒盯上。在11月,騰訊移動安全實驗室監測到,一款名為a.expense.dpn的Android病毒已經感染了唱吧App。該病毒一旦激活後,會在後台偷偷聯網下載軟體並靜默安裝其他惡意軟體,消耗用戶的手機流量。激活後靜默下載安裝其他套用,同時感染用戶規模龐大,在手機論壇等處瘋狂傳播。據不完全統計,目前該病毒已經感染了近5萬Android手機用戶。目前,感染了該病毒的“唱吧”軟體正散布在各個渠道供用戶下載。因此專家建議用戶,不要輕易從論壇下載套用。應該從唱吧官網或是具有安全檢測機制的電子市場進行下載,比如,套用寶、騰訊手機管家“軟體遊戲”等。
四、手機病毒區域分布
手機中毒省份分布態勢沿東南發達省份與城市密集分布的態勢一直持續。廣東省在Android與Symbian兩個平台,中毒手機用戶排名再次均為第一,比例分別為16.29%與10.17%;Android中毒手機用戶達4%以上的有7個省份,排名依次為:廣東(16.29%)、浙江(6.76%)、江蘇(6.50%)、北京(6.09%)、四川(5.16%)、遼寧(4.82%)、福建(4.41%).在Symbian,中毒手機用戶達5%以上有六個省份,排名依次為:廣東(10.17%)、遼寧(6.74%)、四川(6.52%)、河南(6.17%)、山東(5.92%)、重慶(5.35%)。可以看出,遼寧、四川兩省份的Symbian中毒比例增長迅猛,分別占據第二與第三位。中西部新興發展省份與直轄市的手機中毒比例正在逐步擴大,病毒感染區域開始呈現多元化的發展趨勢。廣東、浙江、江蘇、北京、遼寧等省份或直轄市依然是手機用戶中毒高發區,這些地區的移動終端市場發達,是山寨手機與水貨手機的集中生產銷售的來源地與集聚地。而部分水貨商、移動廣告商、惡意軟體廠商、製毒者之間的黑色利益聯盟關係正在進一步加強,推高了預裝惡意軟體的數量與規模,同時推高了廣東、浙江、江蘇、北京等地的手機中毒比例。與此同時,在北京、廣東、浙江等發達省份與直轄市,刷二維碼開始流行,相對中部省份,這些地區二維碼更為普及與受歡迎程度更高,二維碼中毒在發達地區的中毒人數迅速上升。
而廣東、浙江、江蘇地區的第三方線上套用市場、手機論壇區域用戶龐大,因此這些地區的線上線下的活躍手機用戶眾多,製毒者可以通過各種渠道收集用戶信息定向投毒。這些經濟發達地區的手機中毒現象正在持續走高。
與此同時,中部、西部的新興發展省份的中毒手機用戶也在迅速增長,在Android與Symbian系統,遼寧、四川兩省中毒手機用戶占比十分突出,原因在於,而這些地區的新增用戶多,Symbian、Android用戶均大規模存在,處於換機大潮的核心區域。從Symbian轉化到Android系統的新興智慧型機用戶增長速度較快,但手機安全意識不強,水貨手機、山寨手機也進一步向這些地區流通,刷機業務也在這些地區進一步擴散,與此同時,這些區域的用戶在廠商內置電子市場軟體的比重較大,許多水貨手機廠商基於利益的需要,使得許多缺乏安全檢測能力的內置電子市場也充斥其中,致使手機中毒用戶比例迅速上升。
五、病毒渠道來源分析
在11月的病毒來源渠道分布中,電子市場與手機論壇分別占據23%與22%的比例,這兩個渠道,與上月相比分別下降了1個百分點。套用市場、手機論壇依然是主要病毒來源,在目前,很多套用市場審核機制並不完善,許多電子市場還具有一定的網友上傳、論壇內搜尋的功能,這無疑大大增強了病毒入侵的幾率與用戶中招的可能性。
另外,線上上的電子市場、手機論壇由於審核機制的安全性缺失,製毒者通過二次打包熱門軟體可輕易繞過數字簽名的審核機制,加之,目前製毒者或製毒機構的偽裝隱藏技術越來越強,各種雲端控制指令與技術已經快速提升,危害性大大加強,同時,病毒渠道傳播多樣化已經是大勢所趨,而針對病毒感染的多端防控對手機安全行業的要求也越來越高。
扣費類病毒的猖獗,使得手機病毒來源渠道線上上線下均呈現出很強的活躍局面。線上下,目前水貨商基於自己的商業目的,內置各種惡意軟體或病毒,收集用戶隱私,用於定向投放廣告、推廣軟體等,惡意軟體廠商也通過刷機灰色產業鏈將自家軟體刷入水貨手機。水貨手機、山寨手機泛濫推動這內置ROM病毒的水漲船高,也為盜版山寨套用潛入各種渠道提供了便利。ROM內置渠道增長明顯,達到10%,同比增長1%。
但另一方面,騰訊官方正版聯盟進一步擴展,山寨軟體識別與查殺功能正在逐步最佳化,電子市場方面正不斷加入正版安全聯盟,山寨軟體在一定程度上被遏制。
手機論壇是山寨、盜版軟體的集散地,極易滋生惡意軟體。加之目前惡意軟體的製作、傳播門檻的很低,可以批量複製快速感染的特徵,在短時間內可快速生成幾百上千個偽裝類病毒軟體。這使得手機病毒的網盤傳播與軟體捆綁在手機論壇渠道傳播更加容易,加之在手機論壇與電子市場寬鬆的審核機制下就越有其有利的生存土壤。網盤捆綁論壇提供下載連結的傳播方式已被製毒者廣泛利用並進一步推進,在11月份達到8%;軟體捆綁渠道依然是主要的病毒來源渠道之一,達到15%。
隨著刷二維碼的手機用戶迅速增多,手機病毒傳播進一步向二維碼渠道與微博等連結渠道滲透與逼近,11月份,二維碼與微博連結病毒傳播比例為6%,環比增長1%。製毒者與製毒機構利用該渠道內置惡意連結或網址盜取網銀資金、惡意扣費等現象已經進一步引起媒體與行業關注,不要見碼就刷成為手機安全行業11月月度關鍵字之一。
1. 電子市場:病毒企圖繞開電子市場的安全檢測系統在審核上線之前被截獲、又或者是通過一些沒有接入安全檢測的電子市場進行傳播,占23%;
2. 手機論壇:通過上傳論壇附屬檔案或提供下載網路硬碟下載地址方式,占22%;
3. 手機資源站:熱門軟體尤其是遊戲軟體經常包含病毒或者遠程下載,占16%;
4. 軟體捆綁:通過錄入或開設手機下載WEB/WAP資源站點,提供直接的軟體下載地址,占15%;
5. ROM系統內置:rom製作者因為利益的驅動在rom里預裝病毒軟體,占10%;
6. 網盤傳播:通過網盤捆綁手機論壇提供下載連結;占8%;
7. 微博、二維碼:通過微博附帶下載地址連結或者二維碼惡意網址連結,占6%;
六、專家支招規避手機病毒的方法
二維碼中毒已成為目前手機用戶防護的盲區,用戶中招比例越來越大。手機用戶應該從正規渠道下載軟體,對於不正規網站提供的二維碼與街邊單上的二維碼,用戶應該抱有警惕心理。隨著二維碼病毒的泛濫,手機潮人見碼就刷染毒風險日益增大並引起了整個手機安全行業的關注與預警。手機用戶應安裝具備二維碼惡意網址攔截的手機安全軟體進行防護,並使用帶有安全識別的二維碼工具,可有效的將刷二維碼染毒的風險降到最低。另一方面,由於許多水貨手機在出貨之前就已經內置了吸費類惡意軟體等,手機用戶選擇正規賣場購買手機也顯得尤為重要。另一方面,刷機的火爆,Rom內置渠道病毒風險增多,用戶也應謹慎選擇刷機操作與刷機軟體。
目前過度許可權的問題已經被央視曝光,而隱私竊取類病毒漸漸引起廣泛關注。各手機用戶應多留意各軟體的許可權,一般來說,許多隱私許可權的要求,騰訊手機管家都會彈窗提醒用戶注意,若有莫名的敏感隱私許可權要求,用戶應及時拒絕,保護手機隱私。
總體而言,騰訊移動安全實驗室建議手機用戶應安裝如騰訊手機管家一類的手機安全軟體,定期給手機進行體檢和病毒查殺、及時更新病毒庫,抵禦手機病毒侵害自身利益。目前而言,用戶還可以關注@騰訊移動安全實驗室微博以及相關的“惡意軟體曝光”行動,全面把控手機安全資訊,安享移動網際網路生活。
