报告摘要
● 开源、开放、免费的Android(安卓)平台成为手机木马重灾区。今年上半年,Android木马呈现爆发式增长,相较2010年全年共发现12个木马样本相比,今年1月-6月,360手机云安全中心就已捕获新增Android木马样本968个,感染人数达到118万。
● 虽然Symbian(塞班)系统在全球市场上遭遇历史大滑坡,但其在中国市场的用户群依然十分庞大,安全形势也仍然非常严峻,有超过60%的手机木马仍然活跃在Symbian平台上。今年上半年,360手机云安全中心捕获新增Symbian木马样本1591个,感染人数超过1200万。
● 今年上半年,手机木马最主要的传播途径为手机Wap/Web下载,在木马的所有传播途径中占到了53%。其余主要传播途径依次为短信/彩信的链接传播、手机论坛、手机下载站、应用商店/市场。
● 手机木马的危害主要由系统破坏转向恶意扣费和窃取用户隐私。例如之前闹得沸沸扬扬的木马“X卧底”,它本质上是一款黑客间谍软件,不仅会回传用户短信,甚至还能监听用户通话。
● 智能手机的水货市场正在流行“白卡机”, “白卡机”是被水货商家用特殊SIM卡解锁的手机,很多不良商家利用“白卡机”的特殊性,在新机中直接刷入木马,消费者买回的新手机就暗藏木马,而且手动无法删除。360手机云安全中心首家截获的“白卡吸费魔”就是典型的白卡机木马,感染人数超过30万。
报告正文
一、2011年上半年中国手机安全概况
根据360手机云安全中心统计,2011年1月到6月30日,Android(安卓)平台新增恶意软件及木马968个,被感染手机数量达到118万人次;Symbian(塞班)平台新增恶意软件及木马1591个,被感染人数达到1206万人次。
进入2011年,Android平台迎来了高速发展的时期,在用户数量急剧暴涨的同时,不法分子也将黑手伸向了这一高成长平台。360手机云安全中心最新统计数据显示,由于Android平台具有其他平台所不具备的开放性,今年上半年,Android木马呈现出爆发式增长态势。相较2010年,中国手机安全领域无论从手机木马种类、数量,还是感染手段的多样性与感染用户数上,都呈现出几十倍的大幅增长。
而在国内仍然拥有数千万用户的老牌智能操作系统Symbian,虽然针对该平台的攻击趋势有所放缓,但安全形势依然严峻,各种针对Symbian系统的木马层出不穷,受影响用户数基本与2010年上半年持平。
二、主流手机操作系统软件应用情况
据360手机云安全中心统计,目前主流手机操作平台上的软件与应用数量普遍呈快速增长态势。其中,Android平台虽然诞生时间较短,但软件应用数量增长尤其迅猛,因而也成为手机木马产业链搭车牟利的重要途径。360安全中心预计,未来随着Android用户的持续高速增长,其安全性问题还将日益凸显。
1、 Symbian平台:目前全球有正式签名的软件应用约12万个;国内常见有正式签名的Symbian软件应用约2万个;
2、 Android平台:目前全球应用数量约30万个;国内常见的应用数量约1万个;
3、 iPhone/iPad平台:目前全球应用数量超过50万个;国内常见的应用数量约1万个;
三、Symbian(塞班)平台木马分析
根据国内第三方市场调研咨询机构艾媒咨询的报告,2011 年上半年,虽然诺基亚的市场占有率在全球市场上急剧下滑,但中国智能手机市场品牌占有率最高的还是采用Symbian系统的诺基亚,占有率为30.1%。
360手机云安全中心最新统计数据表明,由于Symbian平台的特性和应用审核机制的限制,上半年有超过60%的手机木马活跃在Symbian平台上,Symbian平台仍然是手机木马肆虐的重灾区。以下为Symbian平台木马传播的具体数据:
1、 截至到6月30日,Symbian平台总木马数量(含木马和恶意软件)为5871个;其中,木马数量为1347个,恶意软件数量为4524个;
2、 2011年上半年感染手机木马(含木马和恶意软件)用户数:1206万人次;
3、 2011年上半年新增木马(含木马和恶意软件):1591个;
4、 Symbian平台木马分类:主要集中在资费消耗和系统破坏类;
5、 Symbian平台木马传播途径:主要通过Wap/Web下载和短信、彩信木马链接等方式传播。
四、Android(安卓)平台木马分析
自谷歌在2007年底发布手机操作系统Android以来,得到了全球众多手机厂商的全力支持,Android系统一路攻城略地。三年的时间里,Android势头早已超越微软Windows Mobile、Symbian、RIM,甚至有压过苹果的风头。但由于Android平台开源、开放、免费的特性,使得其相对封闭的Symbian平台而言安全性问题更加严峻。由于几乎没有入驻门槛,木马制作者可以通过篡改正常软件的方式,随意将捆绑了木马的软件应用在Android平台发布。
根据360手机云安全中心的统计数据显示,2011年上半年共发现了968个木马程序和恶意软件,出现了“超级大盗”、“白卡吸费魔”、“安卓僵尸”、“X卧底”等一系列木马病毒。该平台木马主要通过伪装成电子书、游戏等正常软件或捆绑恶意子包,骗取用户下载。
从今年5月起,360手机安全中心发现,Android木马传播者开始直接在水货新机里野蛮地嵌入系统固件木马,普通用户根本无法删除。木马安装后,会出现自动侦测手机环境、选择锁屏或深夜私自发送短信定制SP业务等,偷偷消耗用户话费。以下是Android平台木马传播的具体数据:
1、 截至6月30日,Android平台总木马数量(含木马和恶意软件):980个;
2、 2011年上半年Android平台感染手机用户总数:118万人次;
3、 2011年上半年Android平台新增木马(含木马和恶意软件):968个;
4、 Android平台木马危害类型:主要以恶意扣费为主
5、Android平台木马传播途径:主要通过Wap/Web下载方式传播
五、2011年上半年国内手机木马的主要传播途径
据360手机云安全中心统计数据显示,今年上半年,手机木马的最主要传播途径为手机Wap/Web下载,在木马的所有传播途径中占到了53%。其余主要传播途径依次为短信/彩信的链接传播、手机论坛、手机下载站、应用商店/市场以及其他水货白卡机等预装渠道。
六、2011年上半年国内五大“最恶”手机木马
1、木马名称:系统终结者.3.GXWY(Symbian平台)
上榜理由:新年期间疯狂传播的一款破坏性木马,以匿名push信息向用户进行暴力群发传播,短信冒充诺基亚官方口吻通知用户有严重系统漏洞需要升级,并附上木马链接,诱骗用户下载木马,该木马安装后无法删除,进程长时间驻留后台,造成系统运行缓慢,并定时联网消耗流量。木马制作者使用的签名证书为:Beijing Gongxingweiye Technology Co.,Ltd。
2、木马名称:“超级大盗”系列木马持续更新(Android平台)
上榜理由:“超级大盗”系列木马包含近百款新木马,作恶行为完全一致,都是伪装成正常软件后,被散布到各个手机论坛和下载站,欺骗用户下载。一旦用户中招,木马将在后台偷偷发送SP业务定制短信,定制成功后将自动删除发送记录,达到恶意扣费的目的。该系列木马与有些“一次性”木马不同,它含有一个插件子包,负责实时回传服务器的最新扣费指令,起到长期吸费的效果。
3、木马名称:“勾魂美女”系列木马(Android平台)
上榜理由:“勾魂美女”系列木马专门针对国内用户,伪装成正常软件,如“勾魂美女”、“爱情卫士”、“绿色家园”等等,诱骗网友下载。木马作者身披马甲账号,亲自将该木马发布到国内各个手机论坛。
由于该木马作者深知Android用户很多都有看权限的习惯,所以木马包本身并没有什么敏感权限,但将APK解包后会发现其隐藏了一个名为testnew.apk的木马子包,具有安装/卸载、发送短信、读取用户信息等多种高敏感权限。
该系列木马有如下危害:
a、木马伪装成正常软件,安装后自动在后台安装木马子包;
b、私自使用谷歌高权限公有证书,能够在不提示用户的情况下安装木马子包并非法获取系统root权限;
c、木马子包进入系统后私自向106开头的SP号码发送多条增值业务订购短信,大量吸费,并自动删除发送记录;
d、非法获取系统root权限,使手机沦为黑客的肉鸡。
4、木马名称:“X卧底”系列木马(Android平台和Symbian平台)
上榜理由:在6月初闹的沸沸扬扬的“X卧底”是一款窃听软件,本质上属于黑客间谍软件。“X卧底”安装后不会启动任何图标,也不会给用户任何提示,一切监听行为都在后台自动完成,用户根本无法感知。该软件通过以下方式窃取隐私:
a、当通话时,木马会自动监听用户手机通话并自动录音保存,同时读取用户的通话记录,短信等内容。
b、通话完毕后,木马启动上传程序,将通话录音等用户隐私信息联网上传至不法分子搭建的服务器。
c、除偷窃隐私外,Android的间谍木马还包含隐蔽的吸费代码,会在后台私自发送扣费短信,并自动删除发送记录和运营商回执短信。
5、木马名称:水货固件里的 “白卡吸费魔”木马 (Android平台)
上榜理由:随着Android水货手机的日益走俏,不法分子也从中嗅到了商业利益,正将目光慢慢转移到水货手机上。2011年6月,360安全中心接到了部分用户反馈,新买的Android手机没用几天就少了几十块的话费,在安装安全软件后,该软件过一段就会自动消失。
针对用户出现的问题,360安全专家进行分析后得知,这些用户的手机全部为近期购买的新手机,且全部为不法商家用测试SIM卡刷入带木马ROM 的“白卡机”,其内置了一组恶性木马,分工合作,分别负责卸载安全软件、盗取用户隐私以及疯狂恶意扣费,我们将其命名为“白卡吸费魔”。
“白卡吸费魔”系列木马的主要危害如下:
a、使用特殊方式刷入手机,用户无法删除,长期驻留后台消耗内存;
b、利用系统漏洞非法获取root权限,使手机沦为肉鸡;
c、恶意删除用户手机中的安全软件;
d、回传手机中包括SIM卡信息,网络信息,电话号码在内的多种隐私信息;
e、后台私自发送大量SP吸费短信并删除发送记录,造成用户高额话费损失;
f、私自在后台频繁联网回传用户隐私以及接受服务器指令,消耗大量网络流量。
七、2011年下半年中国手机木马流行趋势
Android平台:随着近半年Android手机用户数的暴涨,木马数量和种类也与日俱增。360手机云安全系统截获的Android木马绝大多数都是2011年出现的,木马也由单一的篡改软件衍生出了木马子包、后台下载、破坏安全软件以及植入固件等多种作恶方式。伴随着Android手机用户数的持续高增长,Android平台安全形势将更加不容乐观。360安全中心预计,下半年Android平台木马种类与数量仍将保持高速增长。
Symbian平台:该系统依然是国内智能手机的主流系统之一,木马数量从年初开始呈现缓慢上升趋势,但360安全中心预计,下半年Symbian平台新增木马数量将有望超越安卓新增木马量持平甚至低于后者。塞班木马制作者主要通过不断更换木马的Symbian签名证书的方式,逃避安全软件的查杀。目前,360凭借庞大的用户基础,构建了全球领先的手机云安全系统,可以在木马出现后的24小时内实现有效查杀。
八、360安全中心关于防范手机木马的安全建议
今年上半年以来,国内手机安全形势越来越严峻,不容每一位手机使用者忽视。360安全中心强烈建议广大手机用户,尽可能学习了解手机安全相关知识,并学会通过一些常规技术手段保护自己的手机安全、个人隐私等合法权益。以下为360安全中心关于防范手机木马的四大安全建议:
1、正规渠道购买手机。鉴于最近水货市场出现了较多被植入吸费木马的“白卡机”,360安全专家建议用户在购买新手机时应尽量选择大型正规卖场。在柜台试用手机时,如果不放心,也可以使用如360手机卫士对手机进行安全扫描,它是目前唯一可以有效查杀固件木马的安全软件,以此确保自己买到的新手机不存在吸费木马。
2、从大型可信站点下载软件。
在选择应用下载网站时,应该尽量选择大型可信站点,如Google官方市场、各软件官网等,亦可选择360手机必备或360宝盒等经过人工检测绝对安全的软件下载站进行下载。
3、安装软件时,注意观察软件权限。
通过篡改正常软件来作恶的木马,通常在权限上会有所体现,木马包的权限和正常包会有明显不同,一般来说,木马会比正常软件多出数个敏感高危权限,如,一个连连看游戏,出现了联网、发短信、安装应用等不相关的敏感权限,用户可以此为依据辨别。
4、安装手机安全软件保驾护航。
Android平台的开放性构筑了其软件生态的繁荣和多样性,但同时也给木马提供了可乘之机,木马可以通过篡改正常软件,固件植入,非法获取高权限等多种手段入侵手机,普通用户将很难察觉,最好安装具有云安全智能拦截功能的手机安全软件,进行主动防御与一键查杀。