手机安全报告

1 / 25

目 录

第一章：智能手机安全威胁三大特征 ............................. 3

一.2011年日均新增病毒翻10倍 .................................................. 3

二.手机病毒产业链获利达3.6亿元 ................................................ 3 三.软件市场不安全！超600万人曾中毒 ............................................ 4

第二章：2011年智能手机安全威胁整体描述 ....................... 5

一.手机病毒盈利新手段：两大吸费模式曝光 ........................................ 5

1.捆绑正常软件恶意吸费成主流 ............................................... 5 2.云扣费成长期盈利新手段 ................................................... 6 二.北上广等一线城市成重灾区 .................................................... 7 三.发烧友成主要受害高危人群 .................................................... 7

1.安卓手机软件下载发烧友 ................................................... 7 2.安卓手机游戏发烧友 ....................................................... 7 3.安卓手机18-25岁男性用户群体 ............................................. 7

第三章：威胁智能手机安全的恶意软件排行榜 ..................... 8

第一位：扣费病毒 ............................................................... 8

第二位：SPY类恶意监听软件 .................................................... 11 第三位：恶意广告软件 .......................................................... 15 第四位：消耗流量的流氓软件 .................................................... 17 第五位：病毒子包捆绑正常软件 .................................................. 18 第六位：Rom与刷机包病毒 ...................................................... 19 第八位：其它安卓手机病毒 ...................................................... 23

第四章：预测2012年智能手机安全形势 ......................... 24

一.新手机病毒产业链将彻底形成 ................................................. 24

二.手机病毒向流氓软件方向演进 ................................................. 24 三.黑客大量从PC转战移动互联网 ................................................ 24

2 / 25

2011-2012年度智能手机安全报告

根据金山手机卫士云安全中心监测数据显示，2011年智能手机安全威胁急速上升，并呈现出三大主要特征，其中包括日均新增手机病毒数量翻10倍、病毒相关产业获利超3.6亿元、超过600多万用户通过软件市场、论坛等渠道中毒等。

并且在2011年随着安卓等智能手机逐渐普及，以及手机支付等手段不断完善，越来越多的手机病毒开始通过捆绑软件进行吸费等手段盈利。

第一章：智能手机安全威胁三大特征

一．2011年日均新增病毒翻10倍

根据金山手机卫士云安全中心监测，2011全年安卓平台新增病毒数量23681个，受害用户1037万人。从每日样本统计数据来看，1月份日均新增病毒20个，6月份日均新增病毒80个，而12月份日均新增病毒已经突破200个，年末日均新增病毒数量比年初增长十倍。

图1：新增手机病毒趋势图

二．手机病毒产业链获利达3.6亿元

2011年，金山手机卫士云安全中心捕获扣费病毒5670个，占所捕获新增病毒总数的24%，感

染人群300多万，以人均每月被扣费10元计算，病毒作者通过扣费病毒全年非法获利高达3.6亿元。

3 / 25

图2：恶意程序分布及增长比例

如上图所示，Trojan就是扣费木马病毒，增长比例正逐月稳步上升。

三．软件市场不安全！超600万人曾中毒

金山手机卫士云安全中心监测数据显示，2011年有6万用户在手机论坛或软件市场下载软件时中毒。由于目前手机软件行业缺乏统一的安全审核措施，国内Android市场存在大量被称为“打包党”的作法，具体行为是拿别人开发的手机程序，植入自己的广告，重新封装发行，并以此获利。

图3：手机病毒传播渠道

仅在机锋论坛日均上传软件中被删除的嫌疑应用就在230款左右，为此，机锋论坛通过自动检查和风险提示不断的降低用户风险，机锋市场推荐用户安装金山手机卫士保护手机安全。

4 / 25

本章小结：2011年安卓平台安全的最大威胁来自于软件下载渠道没有建立有效的监控及防御病毒传播的审核措施。手机病毒作者比电脑病毒作者更加赤裸裸的将目光放在通过恶意吸费非法获利方面。另据机锋开放平台监测，随着相关应用的增加，软件内置广告从展示到手机支付类的转移，其在未来，潜在安全风险亦有加大的可能。

第二章：2011年智能手机安全威胁整体描述

2011年中国智能手机病毒处于高速增长状态，病毒产业链逐步建立。在智能手机系统中，由于安卓平台的开放性及软件开发时间较短的特性，PC病毒作者将非法获利方向更多的转向了安卓平台。并跨越了技术对抗积累阶段，直接运用云技术，导致恶意吸费屡禁不止。

图4：手机病毒类型

一．手机病毒盈利新手段：两大吸费模式曝光

1.捆绑正常软件恶意吸费成主流

金山手机卫士云安全中心监测到，被植入恶意代码的手机游戏2340例，将正常软件捆绑病毒打包以躲避SP运营商及一些论坛和软件市场监管的病毒2230例。病毒作者利用这些热门软件良好的口碑和受众群体大肆吸费，用户根本无法察觉。

5 / 25

图5：恶意吸费病毒 2.云扣费成长期盈利新手段

上半年绝大部分恶意吸费病毒还没有通过云端做控制，会导致多次扣费或被SP封号等情况，下半年扣费病毒已经基本上转向了云端平台，通过手机的串号、SIM卡串号、甚至是地理位置等进行控制扣费，如可以实现一个手机只扣一种服务的费用，扣费时间在半夜等情况，甚至可以使某一区域的手机不扣费等，使扣费更隐蔽，用户更加难以发现。

图6：云端病毒上升趋势图

6 / 25

二．北上广等一线城市成重灾区

广东省2011年有216万部手机感染手机病毒，所占比例为21%，其次是北京市有202万部手机感染手机病毒，所占比例为20% 北京，上海及广东省感染手机病毒的手机数量是其它省份总和。

图7：手机病毒感染地区分布

三.发烧友成主要受害高危人群

1.安卓手机软件下载发烧友

很多安卓手机软件发烧友喜欢尝试各种新鲜软件，经常刷机，从手机病毒传播渠道上更容易感染手机病毒。 2.安卓手机游戏发烧友

游戏软件植入手机病毒及木马已经成为手机病毒作者最喜欢利用的渠道之一。手机游戏发烧友在尝试新鲜游戏的同时也容易成为受害者。 3.安卓手机18-25岁男性用户群体

安卓手机平台用户向年轻化转移，机锋网数据显示18-25岁男性用户手机上安装软件的平均数量超过了15款，感染病毒风险更高。

7 / 25

本章小结：恶意吸费已经成为威胁安卓手机软件发展最大的绊脚石，在损害用户利益的同时还容易伤害优秀手机软件的口碑。最先尝试新鲜软件的手机发烧友如果不做好手机安全防护措施，将有可能成为最早的受害者，在不知不觉中损失金钱。

第三章：威胁智能手机安全的恶意软件排行榜

经过对以上数据分类筛选后，金山手机卫士云安全中心总结出了2011年手机恶意软件排行榜。 排名 1 2 3 4 5 6 7 8 病毒类型 扣费病毒 SPY类恶意监听软件 恶意广告软件 消耗流量的流氓软件 病毒子包捆绑正常软件 Rom刷机包病毒 ARP欺骗黑客程序 其它安卓手机病毒 中毒概率 ★★★★★ ★★ ★★★★ ★★★ ★★★ ★★ ★ ★ 威胁程度 ★★★★ ★★★★★ ★★ ★★★ ★★ ★★★★ ★★ ★★ 清除难度 ★★★ ★★★★ ★★ ★★ ★★★ ★★★★ ★★★ ★ 第一位：扣费病毒

中毒概率： 威胁程度： 清除难度：

比较有特色的是打地鼠的病毒，其实游戏本身并不是一个病毒，但在国内病毒作者在原程序里面加入了恶意代码，使它能发送扣费短信，并拦截和自动回复运营商的扣费确认短信，使用户在不知不觉中被扣费。

8 / 25

图8

图9：发送短信与拦截短信的代码

图10：被捆绑病毒的游戏

9 / 25

例子：Troj.Myfzbk.a

图11：把手机信息发送给服务器做记录，这里包括了IMEI和IMSI号

图12：通过服务器控制，选择号码发送短信

图13：服务器的信息拦截删除指定的短信

10 / 25

病毒作者在服务器上就可以对指定的手机进行指定的操作，甚至可以通过手机的GPS功能取得

手机的位置，发现位于杀毒软件公司附近的手机进行不扣费，这大大的方便了病毒作者的对抗，云端控制是以后的趋势，这给以后的病毒分析增加了不少的难度。

第二位：SPY类恶意监听软件

中毒概率： 威胁程度： 清除难度：

因为手机承载着使用者的大量信息，如通信录、短信、通话、使用者活动地点、照片等重要且敏感信息，这样就导致了间谍类的软件在手机上面强大市场需求，而安卓因为其开放，而且开发软件与发布软件非常方便，这导致了在该平台上的间谍软件比其它的平台要多。这一类的软件都是隐藏自己，然后根据病毒的功能，监听用户的短信、电话记录，甚至是对通话进行录音等等。今年出现间谍类比较重要病毒主要是”X卧底”、zjSpy、金雕、Carrier IQ这几个。

 ”X卧底”

图14：注册通话记录的消息

11 / 25

图15：记录信息

图16:上传信息

 zjSpy

这个病毒与其它后门有点不一样，这并不是一个单体病毒，而是捆绑型的病毒，所谓的捆绑型指病毒代码是后来加入到原本正常的应用程序里面，而原来的正常程序功能不变，但用户无法察觉使用的程序已经被添加恶意代码，手机程序附带的广告大部分都是用这种类型添加的。

12 / 25

图17：病毒记录手机的通话时间与号码

图18：病毒上传记录到的通话日志与短信内容

13 / 25

 金雕

金雕(Android.Hack.GoldenEge.a)是截获的首个通过电子邮件方式向病毒向病毒作者发送控信息的间谍病毒，而且是首个具有录音功能的病毒，能通过录音功能记录用户通话语音内容，而且能通过短信息实现更新配置文件、上传电话短信记录等功能，到目前为止，暂时还没有一个木马具有金雕这样的功能点。

图19：金雕病毒分析

14 / 25

 Carrier IQ后门

在今年12月初，CarrierIQ的警报响遍了整个移动安全界，由CarrierIQ公司出的一款手机优化软件被指过度收集用户的手机信息，引发了全球移动市场的震荡，这不单是安卓平台上的安全问题，而是全智能机平台，包括iOS、Blackberry、Symbine。它收集了各种常用软件的使用记录和信息，获得手机的地址位置信息，并把信息发送到CIQ的服务器上，严重泄漏了个人的隐私信息。

图20

图21：针对不同的程序，提取不同的数据

第三位：恶意广告软件

中毒概率： 威胁程度： 清除难度：

移动软件的开发者为了获得收入，经常会在程序中插入一些广告，但有一些广告会在未告知用户的前提下把手机的各种信息上传到服务器上，这些信息包括像IMEI号、IMSI号、地理位置信息、甚至是用户的手机号码，如果用户没有装防护程序，是不知道并且也不能拒绝信息上传。

15 / 25

图22：调用GPS上传了用户的位置信息

为这一类代码定性是安全厂商相当头疼的一个问题，严格按照行业规定来说这是属于恶意代码范畴，但不会对用户构成即时和直接的风险，而且用户往往都是需要被捆绑程序的功能，这与前几年PC上面程序附带的广告非常相似。

图23：明文上传了用户的电话号码

以上的一切对普通使用者来说都是察觉不到的，只会认为是一个非常普通的应用程序。

图24：恶意广告软件

16 / 25

第四位：消耗流量的流氓软件

中毒概率： 威胁程度： 清除难度：

在9月的时候，出现了一个跑流量(PV)的病毒，这个病毒在手机启动的时候打开了一个导航站，类似于PC上面改主页的恶意程序，而且它可以通过服务器的控制，向手机浏览器的书签里面加入指定的网站，另外还有更改浏览器主页的代码，但病毒没有使用到这个功能代码。

图25

图26：上传手机安装信息，包括像手机号码、手机里面安装的程序

图27：根据服务器的配置文件，把指定的网站添加到浏览器的书签里面

17 / 25

第五位：病毒子包捆绑正常软件

中毒概率： 威胁程度： 清除难度：

今年也出现了一种带病毒体子安装包的病毒，其中出现得最多的是DroidKungFu，这是一个被捆绑了子体的病毒，病毒作者会把病毒的子包捆绑在正常的软件里面，并在配置文件里面加入条件使病毒子体释放并安装，一般是在手机电池电量改变、手机信号改变或重启手机时释放病毒子体，病毒子体是从服务器取云端指令，实现了打开网页，安装和卸载指定的软件等功能。

图28：病毒子体文件名是WebView.db.init，附加在assets目录下，经过加密

图29：病毒子体安装的函数激活后，会解密到sdcard上面安装

18 / 25

图30：病毒安装

病毒子体主要有7个功能：调用浏览器打开首页、以非ROOT权限安装指定软件、运行指定软件、删除指定软件、调用浏览器打开指定网页、尝试用ROOT权限安装指定程序、下载并安装指定的程序，而且这一切的功能都可以通过云端服务器控制。

图31：病毒子体功能

第六位：Rom与刷机包病毒

中毒概率： 威胁程度： 清除难度：

19 / 25

安卓系统的开放特性令系统可以非常自由的定制，使许多第三方的ROM出现，如MiUI和CM7等，部分病毒作者私自将病毒放到ROM的系统目录里面，再放到网上供人下载，用户刷系统时就会把病毒也刷到手机里。

清除ROM病毒需在ROOT权限，对手机进行ROOT操作需要有一定的技术，而且会对手机带来风险，相对来说增加了病毒处理的技术门槛，使普通用户不能轻易去清除ROM病毒；另外这一类病毒还会使用类似与系统相关的名字，如”安卓系统关键服务”、”输入法组件”等等的名字，使得用户不敢卸载。

一般ROM病毒是分两种，一种是激活统计的病毒，它主要是通过网络或短信上报手机的信息，但用户是不知道的；另外一种是会扣费的ROM病毒，这种主要是通过发送信息来实现扣费的，但这种病毒已经完全服务器端化，短信的内容、号码、时间都是由服务器来控制的。

如一个名为Android.Troj.Netsnd.a就会通过网络上报数据，而且会检测手机上面是否安装了一些指定的程序，之后会把没有安装的程序上报到服务器上面。 病毒的图标与显示名，一般用户看到这样的名字是不敢删除的：

图32

图33：病毒会检测是否装有一些鉴定的程序，如果没有就会把包名上报到服务器上

20 / 25

而另外一种则是扣费病毒，代表的是GacBlocker，这是一个由云端控制的扣费病毒，扣费的代码完全由服务器控制，而且发送扣费短信前会检测屏幕，只有在锁屏时才会发送短信，非常隐蔽。

图34 云端控制的扣费病毒

图35：扣费病毒

还有一种是占位病毒，在11月初金山偶然发现有病毒阻止安全软件安装过程。安卓系统会通过一个包名的字段来标识程序，在安装程序时系统如果发现系统内有相同的包名的程序，就会进入程序升级的过程，一但发现原程序与新程序高度不一致时，新程序就会安装失败。

目前截获最典型的占位病毒是阻止360手机安全卫士安装的，方法是自己的包名与360手机卫士完全一致，但里面什么都没有做，安装360时就会直接提示安装失败了。

21 / 25

图36：占位病毒

图37：占位病毒

第七位：ARP欺骗黑客程序

中毒概率： 威胁程度： 清除难度：

22 / 25

在12月时金山发现了一个属于黑客工具的ARP监听程序，它是通过ARP攻击来欺骗无线网里面的所有客户端，使整个网段的数据包都经过手机，然后解释并显示无线网内的所有HTTP请求链接，这样会引起一个非常严重的安全问题，特别是在公共场所里面的Wifi热点，而且要追查这种无线网络ARP攻击比有线网络更困难。

图38：手机APR病毒

第八位：其它安卓手机病毒

中毒概率： 威胁程度： 清除难度：

另外一些设计不当的行业正常软件也会有安全漏洞，当然这不属于病毒的范围，但往往引发的隐患比病毒要大得多，如前段时间360手机卫士的FTP登录密码漏洞。

23 / 25

图39：FTP登录密码漏洞

还有一类是假软件，如伪装成播放器或浏览器的安装包，但里面没有播放器和浏览器的功能，这种在国外见的比较多；还遇见过把免费软件收费化，有一个恶意程序是将RootExplorer打包，然后要求用户通过短信支付10元才可使用，而原软件是免费的。

第四章：预测2012年智能手机安全形势

一.新手机病毒产业链将彻底形成

安卓的开放性是的这个平台上面的安全防护尤其重要，这里所谓的安全并不仅仅是病毒层面的安全，更包括像是手机号码、通信录、短信内容、照片等层面上的信息安全，这一类的信息比起单纯的扣费短信更加有利用价值，能够支持病毒产业链形成巨大的利润空间。 二.手机病毒向流氓软件方向演进

手机病毒会慢慢演变为占用通知栏，不断的弹提示信息，甚至是干扰竞争对手的运行的流氓软件，用户的手机将有可能成为各家软件争夺的新战场，这对于用户来说都是灾难性的，病毒和恶意代码也会出于隐蔽和可配置的考虑而变得高度服务端化，其功能由云端控制。 三．黑客大量从PC转战移动互联网

安卓系统的漏洞不会像微软一样多，但是一但出现将可以被黑客长期利用，原因在于系统升级不是每一个机器每一个人都能做到，更关键的是该型号有没有对应的固件可供升级，随着手机支付等环节不断完善，越来越多黑客开始盯上移动互联网，如何保障信息的安全将会成为2012年重点。

24 / 25

25 / 25