2013第3季度安卓手机安全报告
痉挛的左手 | 2013-10-22 19:41
本季度安卓手机病毒仍呈现高速增长,截至本季度末,金山手机毒霸安全中心累计收集可疑样本超过1100万个。从2011年以来的3年里,安卓可疑样本量增长了近50倍。
(图1 2011年至今的安卓可疑样本增长趋势)
一、 数据分享
1.安卓病毒统计
1) 样本收集情况:每天新增3万个可疑安卓程序样本
截至2013年第3季度,手机毒霸累计收集安卓可疑样本1100万个,较2季度累积病毒样本800万增加了27.3%,鉴定确认为手机病毒的总样本数为58万个。平均每天收集安卓手机新样本 3万个,安卓手机病毒平均检出率约5.5%。
(图2 2013第3季度样本收集情况统计)
2) 安卓病毒感染情况:每天1.5万部安卓设备被感染
手机毒霸客户端每日监控到 1.5万部安卓设备被病毒感染,较第二季度日均感染1.2万部增长了20%。值得注意的是,手机ROM中的病毒检出率已稳超非手机ROM的病毒检出率。这意味着,手机病毒感染的主渠道,已经从安卓应用市场,转变为手机销售渠道和各种不正规的刷机包。
注:ROM中检出病毒:指手机固件中植入病毒,通常指在手机到达用户前被人为植入手机病毒。非手机ROM中检出病毒:指病毒存在于固件外,通常是手机存储卡安装或存储的软件中检出病毒。
(图3 从7月下旬后手机ROM中病毒的检出量已稳超非ROM)
注:从8月起,实时监测检出的病毒量从总检出量中单独统计,造成图中的感染趋势线下降,实际情况感染总量仍呈上升趋势。
3) 安卓病毒感染的后果:资费损失、隐私窃取
金山手机毒霸安全中心运用火眼系统对所有安卓病毒的恶意行为进行了技术分析,发现绝大部分病毒会造成资费损失。而且,很多病毒造成的结果不仅限于一种,中毒用户面临的往往是混合攻击:既有资费损失,又会丢失个人信息。
大量手机病毒传播者使用远程控制的手法,在中毒手机上安装推广软件、后台订购付费服务、窃取用户手机里的个人信息。
(图4 安卓手机感染病毒的后果统计)
4) 流行的十大恶意病毒家族
5) 被重打包加入恶意代码的十大知名应用:
2. 恶意广告
大多数安卓软件都包含广告,内嵌广告、通知栏广告、积分墙广告、插屏广告是大多数软件经常使用的广告形式。
部分广告厂商为了获取收益,不惜牺牲用户体验。手机毒霸推出的查杀恶意广告的功能,为用户净化了通知栏,切实解决用户心烦的广告弹出问题。部分恶意广告制造者不甘心恶意广告被手机毒霸拦截,从技术上与手机毒霸的广告拦截功能进行对抗。对抗手法包括动态加载,云端控制,延时推送等。
恶意广告的强打扰:在所有广告插件中,15%为恶意广告
金山手机毒霸安全中心对恶意广告的弹出情况做了统计,发现近13万款弹出通知栏广告的软件,其中15%为消耗手机资费、窃取隐私信息、用户体验极差的恶意广告插件。
在金山毒霸扫描出的恶意广告软件中, 35%会被用户直接卸载,61%的会被用户替换为无广告的干净版本。
3. 关于安卓隐私权限:过半应用非正常使用安卓系统敏感权限
金山手机毒霸对超过100万款安卓软件使用的系统权限进行详细分析,统计发现有近40%应用会申请获取位置信息,69%的应用会尝试获取用户手机号码。
(图5 安卓软件对敏感权限的申请情况)
继续分析这些申请敏感权限的应用,发现过半应用申请的权限是不必要的。这些隐私权限的调用来自于安卓软件内置广告插件,目的多用于数据统计、追踪用户、精准投放广告。
(图6 安卓软件申请的敏感权限使用情况分析)
统计发现,获取定位和手机号码权限用于非正常用途的超过50%,其他敏感权限多为申请了未使用。
二、 2013年第三季度具有重要影响的移动安全事件
1. 手机“后门”瞄准移动支付
2013年7月17日,首例利用二维码传毒盗取支付帐号的案件发生。有网民在手机扫描二维码后下载安装手机木马之后损失1980元,安全专家们的担心终于在这一天变成现实。
(图7 这个二维码传播的病毒会拦截手机所有短信)
分析发现:骗子给受害者发送的二维码实际是一个钓鱼网站的网址,在这里下载的软件为手机后门程序。受害者在手机上安装后门之后,骗子通过支付工具官方网站尝试重置支付密码,系统发送的验证码短信被手机后门程序转发到骗子手机上,骗子成功拿到支付权限后完成转帐。
受害者在手机上安装后门程序是诈骗案发生的必要条件。不久,大量同类案件不断发生,某电子商务公司迅速采取措施要求所有入驻商户不得在页面使用二维码。
2. 宝贝监控泄露大量用户手机短信和通话录音
2013年8月,一款名为 “宝贝监控”的手机窃听软件服务器被黑客入侵,所有受害者的手机短信和电话录音记录文件被黑客窃取,并在小圈子中流传。仅7月份的数据分析,就发现监听到.短信1.4万条、窃听.电话录音9900个,电话录音文件达3.4GB。
据分析,宝贝监控先后换了多个产品名称,网站域名也换了好几个,曾经利用微博和视频网站进行推广。该软件安装到安卓手机后,会将所有短信(包括发件人手机号、短信内容)和全部电话录音上传到服务器。宝贝监控的经营者会将木马收集到的手机短信和电话录音卖给需要窃听软件的人。不幸的是,这款手机窃听软件至今仍在正常运营未被有关方面查处。
3. 部分网民遭遇手机卡补卡攻击
(图8 补卡攻击的案例)
9月份,多地均有网民手机莫名其妙不能使用,不久发生网银资金被盗。此类攻击被安全专家称之为“补卡攻击”,补卡攻击就是夺取受害者手机号后抢夺受害者网银资金,严重的个人信息泄露会大大增加补卡攻击的可能性。
在我国,电子商务网站、网上银行系统普遍采用手机号与注册ID绑定的策略。当用户忘记密码时,除了可以通过注册邮箱、相关联的备用邮箱找回之外,大多支持使用绑定手机号找回密码。在相关网站提交手机号码和部分关键个人信息(比如身份证号),相关网站会向绑定手机发送重置帐号的链接或者验证码。攻击者一旦得手,会迅速转帐窃取受害者资金。
4. 安卓系统漏洞成感染安卓手机的捷径
2013年7月,国外安全厂商曝光99%的安卓手机存在系统签名漏洞。几天后,在中国多个安卓软件市场发现利用安卓系统签名漏洞在多款流行软件、游戏中植入手机病毒。仅在安丰网的应用市场中就发现利用安卓系统签名漏洞传播病毒超过4000个,该网站下载排行靠前的安卓软件清一色被植入病毒。
(图9 利用安卓系统签名漏洞的病毒程序)
金山手机毒霸统计到这些安卓病毒累计下载次数超过200万,这些病毒程序会在手机启动、连接或断开USB电源线、网络变化、屏幕解锁等事件发生时启动。病毒会在后台连网,上传手机号码及通讯录,并伪造手机联系人在中毒手机上生成诈骗短信。
三、 总结
综合本季度的情况来看,安卓手机感染病毒之后最主要的后果是资费和流量损失,其次是隐私信息被窃取。安卓软件申请和使用隐私相关权限的情况仍然严重,过半数的安卓软件存在非正常获取手机定位和手机号的功能,安卓应用软件对系统隐私权限及自启动功能的滥用造成安卓手机异常费电。
安卓手机病毒总量持续快速增长,金山手机毒霸每天在超过1.5万部安卓手机中检出至少一个病毒。另一个新变化是手机ROM中检测到的病毒超过了非手机ROM,这表明:水货手机、山寨机和刷机渠道传播的安卓病毒已超过从安卓软件市场下载软件而中毒。
金山毒霸安全中心建议用户从正规渠道购买手机,如果购买水货手机,最好请有经验的朋友使用官方版本重新刷机。安卓手机非常有必要将杀毒软件做为必备软件安装,使用杀毒软件检测每一款新安装的软件,防止无意中从一些安卓软件市场下载安装病毒程序。
喜欢数码科技资讯的你,就记得点击订阅啦。
关注「锋潮评测室」微信公众号【微信号:fengchaopingceshi】,还会送上更多你想要的哦~
1