第一章 安全行业报告概要

    手机移动应用疯狂增长的背后是手机病毒的全面来袭，各类病毒高度活跃。移动互联网的持续发展，商业模式在摸索中前进，手机病毒也在手机应用渠道传播中获益，并进一步助长了手机病毒黑色产业的发展。据腾讯移动安全实验室病毒后台数据显示： 2011年全年，腾讯移动安全实验室一共截获被植入手机病毒软件包数25404个，其中Symbian平台截获被植入病毒软件包数16521个，Android平台截获被植入病毒软件包数8883个。2011年下半年，特别是第四季，Android平台病毒增长开始进入迅猛发展期。

    2011年全年，Symbian平台截获被植入病毒软件包数16521个，其中诱骗欺诈占42%、资费消耗占27%、系统破坏类占了22%，这三类病毒占据了Symbian平台病毒的绝大部分。诱骗欺诈也是Symbian平台病毒最常用的方式，Symbian病毒通过解包再重新打包，设置包中包伪装成正常软件来推广已经成为最惯常的手法。



    (图1：2011年全年Symbian病毒类型分布图)

    2011年全年，Android平台截获被植入病毒软件包数8883个，其中资费消耗占29%、隐私获取占25%、诱骗欺诈类占了18%，恶意扣费占14%。由于Android平台开源开放特点，各种权限也轻易被手机病毒获取，许多病毒都会获取联网下载权限用于获取远程指令、下载插件、推广应用进而消耗用户的数据流量;此外病毒还会获取访问用户隐私信息如联系人、短信、地理位置、IMEI号、储存信息等等，因此隐私问题在Android平台显得尤为突出。



    (图2：2011年全年Android病毒类型分布图)



    (图3：2011年全年手机病毒综合发展轨迹)

    第四阶段：由于手机应用自身的传播需求越来越大，厂商也提供了对应的推广渠道费用支持，并直接或间接地为手机病毒提供了新的利益线，病毒开始采用类似广告插件、捆绑下载等方式进行复合式传播，这一阶段发展一直持续至今，也是未来病毒发展的大趋势之一。

    4. 软件捆绑：热门软件尤其是手游软件经常包含病毒或者远程下载，占12%;



    (图4：2011年全年手机病毒各传播渠道来源比例)

    第六章 2011年度各类典型病毒案例

    病毒平台：android



    (2)病毒名称：a.payment.live.a.[伪google服务框架]

    病毒描述：该病毒主要通过其他恶意软件进行传播。当恶意软件安装后，会弹出所谓“用户许可协议”引导用户点击，用户点击“确定”按钮后病毒会被静默安装到手机上，并进一步深度伪装成系统关键程序，即“Google服务框架”，高度模拟系统程序的图标，名称描述有细微差别，表面上跟一般的系统关键程序无异，单看表面甚至还有可能骗过专业工程师的眼睛，对于一般的手机用户更可能是完全“隐形”。它属于独立封装式伪装类病毒。

    病毒平台：Symbian



    (4)病毒名称：s.payment.googlemap.b.[伪谷歌地图]

    病毒描述：该病毒以“Google Maps”为名诱使用户下载安装，病毒激活后会无提示自动联网，并下载一款名叫“程序管理”的恶意插件，无提示自动安装。该插件一旦被激活，便会在后台私自定制收费SP业务，用户将会收到运营商发送的扣费提醒短信“尊敬的客户，您好!您于**时间点播了北京***公司的冰***传奇T业务，资费每次** 元……”给用户带来严重的经济损失;同时，该恶意插件无法卸载，造成手机或软件无法使用!

    病毒平台：android

    病毒平台：android

    病毒描述：病毒描述：该病毒以知名的通讯管理软件“柳丁来电”为名，诱使用户下载安装，非官方版本，是被其他恶意者篡改过的盗版软件，比正版软件多出两个进程，进程无法完全退出，占用大量系统资源，影响手机或其他软件的正常运行，同时无提示偷偷联网，在后台进行反复的下载与上传，持续消耗用户数据流量，给用户带来高额的流量费，系统增强软件一下子变成了话费吸血鬼。

    病毒平台：android



    (2)病毒名称：a.payment.mj.[麻吉吸费木马]

    病毒描述：该病毒以正常软件名义诱导用户下载安装，一旦激活便试图向多个以106开头的号码发送信息，订购了SP高额业务，同时屏蔽运营商的订购短信，在用户无法察觉的情况下带来经济损失。

    病毒平台：Symbian



    (4)病毒名称：a.payment .keji.[饥渴吸费魔]

    病毒描述：该病毒捆绑正常手游软件诱导用户安装，安装主程序后启动，提示升级，用户一确认升级便安装了该病毒子包;同时该病毒尝试利用系统漏洞获取root权限，进行静默安装。病毒激活后，每隔数分钟向号码106***56发送信息，并屏蔽10086短信，同时，在后台拨打指定号码，该号码通过服务器远程设定，可能会消耗用户大量的资费;另外该病毒会终止某些安全应用，给用户的手机带来严重安全隐患。

    病毒平台：android



    (6)病毒名称：a.payment .zchess.[爱情连陷]

    病毒描述：该病毒以“爱情**”名义诱导用户下载安装，每次启动都会发送扣费信息到以106开头的扣费端口，并删除回执短信，给用户造成严重的经济损失;同时该病毒还收集IMSI、地理位置等用户信息上传到服务器造成用户个人隐私的泄露。

    病毒平台：android



    (2)病毒名称：a.payment .ms

    病毒描述：该病毒注入到正常的应用诱导用户下载使用，自动激活后在后台随机向指定的SP端口号发送扣费短信，同时屏蔽SP商的确认短信，可能会给用户造成严重的经济损失;该病毒服务器地址为：http://223.*.*.176/**/trs ，病毒会把云端指令的操作记录发送到指定的手机号，泄漏用户隐私，具有严重的安全隐患。

    病毒平台：android

    (4)病毒名称: a.payment .dg.a.[系统杀手]

    病毒描述: 该病毒被内置到ROM内，具有系统最高权限，不但不能通过正常途径卸载，而且能够阻止指定安全软件(指定的安全软件是由云端指令拉取的)安装，同时发送大量的扣费短信并删除指定号码发送的短信，给用户带来严重的经济损失。



    (5)病毒名称：a.remote.jz.[变形偷窥王]

    病毒描述：该病毒常吸附在被篡改过的知名软件特别是益智类手游中，病毒激活后会驻后台发送短信，泄露用户隐私;同时，根据服务器返回的指令执行后台拨打电话，在用户毫不知情的情况下肆意消耗用户资费;通过云端控制将不明软件安装在用户手机中并卸载干扰病毒运行的其他软件;驻后台悄悄的自动记录本机所有的短信内容和通话记录，分别存放在名为zjphonecall.txt和zjsms.txt的文件中，并且定期上传到指定的服务器lebar.gicp.net，严重侵害用户的隐私。

    病毒平台：android

    病毒平台：android

    病毒描述：该病毒是在一款具有监听功能的软件，安装激活后能被远程手机进行指令操控，按指令把手机里的通话记录、短信、位置等隐私内容并发送到指定号码。此外，该病毒还按指令进行通话录音，极大地侵犯了用户的隐私。



    (2)病毒名称：a.remote.Netvision

    病毒描述：该病毒安装后无图标，并且开机自启动。病毒运行后会监听手机收件箱，并根据其他接收到的指令，将收件箱中的短信内容转发到指定号码，给用户隐私带来严重安全威胁。

    病毒平台：android

    病毒平台：android



    (5)病毒名称：a.remote.CarrierIQ

    病毒描述：该病毒通常被内置到ROM，启动后将记录用户使用行为，收集用户地理位置和当前移动运营网络信息，并定时收集用户隐私信息回传到指定服务器，严重侵害用户隐私。



    (6)病毒名称：a.privacy.mailx.[古哥]

    病毒描述：该病毒是一款间谍软件，安装后无启动图标，并在后台自动启动程序，读取用户短信信息、通话记录和QQ聊天记录等信息，通过邮件的形式发送到指定邮箱，严重泄露用户的隐私信息。

    病毒描述：该病毒是一款具有监听功能的软件，它能够进行通话监听、隐秘的环境监听、跟踪定位、短信监控、截获通话记录、电子邮件监控、后台信息管理、换卡通知、远程遥控等。请仔细鉴别。



    (8)病毒名称：a.remote.droiddream.[隐私盗贼]

    病毒描述：该病毒经常捆绑在一些常用软件及手游软件上，安装后病毒会利用Android平台上的系统漏洞获取手机root权限，并在后台静默安装内嵌子包，同时搜集手机上的IMEI、IMSI、SDK等信息，发送到指定服务器并在后台下载一些其他恶意安装包，给用户的隐私带来严重安全威胁。

    病毒平台：android

    病毒平台：android

    病毒平台：android



    (4)病毒名称：a.consumption.iddIx.[伪google系统升级服务]

    病毒描述：该病毒激活后便后台无提示自动联网下载病毒子包，消耗用户流量，给用户带来一定的经济损失;下载完成后不定时提示“系统更新”，一旦用户点击，便安装病毒子包，下载的病毒子包可能给用户带来严重的安全威胁;若用户不点击，该病毒便不定时提示，严重影响用户正常使用。

    病毒平台：android

    病毒平台：android

    病毒平台：Symbian



    (2)病毒名称：s.consumption.NiceAlarm.[伪完美闹钟]

    病毒描述：该病毒的最大特点是伪装成“完*闹钟”工具软件，引诱用户下载安装。该病毒一旦发作，手机便会自动联网静默下载多款病毒软件，大量占用手机内存，肆意破坏手机的安全软件和操作系统，导致手机频繁重启、无法使用，让许多的用户苦不堪言。

    病毒平台：android



    (4)病毒名称：a.privacy.atools.[万能定时器]

    病毒描述：该病毒伪装成一款定时软件，并在运行时自动获取root权限，可能联网下载并静默安装其它恶意应用，对用户手机安全造成威胁。

    (5)病毒名称：s.consumption muflash.[疯狂屏保]

    病毒描述：该病毒以“疯*屏保”为名引诱用户下载安装，启动后转入后台无提示强制联网，消耗一定上网流量;同时，自动扫描手机上的安全软件，并关闭其进程运行，给用户手机安全带来严重威胁。

    (6)病毒名称：a.privacy.mmainservice.a

    病毒描述：该病毒经常伪装成系统软件，启动后从后台服务器静默下载子包，在破解Root权限后进行静默安装，这一系列动作都在用户不知情的情况下完成，给用户的手机安全带来严重威胁。

    病毒平台：android

    病毒平台：android

    6.7 rom内置病毒

    病毒平台：android

    (2)病毒名称：a.payment.dg

    病毒描述： 该病毒安装后没有启动图标，病毒一旦激活便在特定的时间向某些特定的SP号码发送扣费信息，还会删除相关的反馈信息，让用户在不知情的情况下被扣除高额的话费;同时该病毒还会自动后台联接网络，读取并且上传用户手机IMEI、IMSI和手机号码等信息，造成用户个人隐私的泄露。

    病毒平台：android

    (4)病毒名称：a.privacy .ju6.[伪谷歌升级]

    病毒描述：该病毒安装后没有启动图标，一旦激活便后台自动下载安装其他应用还可能卸载手机应用，不但消耗用户流量，给用户带来一定的经济损失，还可能给用户带来进一步的安全隐患;同时，该病毒还会上传用户数据，跟踪用户位置，造成用户隐私泄露。

    (5)病毒名称：a.payment.dg.a.[系统杀手]

    病毒描述：该病毒被内置到ROM内，具有系统最高权限，不但不能通过正常途径卸载，而且能够阻止指定安全软件被安装，同时发送大量的扣费短信并删除指定号码发送的短信，给用户带来严重的经济损失。

    第七章 专家支招：如何规避病毒风险

    病毒的伪装能力千变万化，单凭肉眼判断识别已经变得越来越困难，多种新技术的结合运用更让病毒如同隐形。建议手机用户需要下载软件的时候，选择口碑不错、评价比较好或者是打分比较高的软件，对于一些知名软件尽可能到其官方网站进行下载，不要轻易下载安装来历不明的陌生软件。安装如QQ手机管家一类专业的手机安全软件开启保护，及时升级病毒库，定期扫描查杀，可以避免手机中毒等问题而造成的严重损失。

    目前，QQ手机管家最新版已经可以实现对各类病毒进行独家精准查杀。用户可以立即在线更新QQ手机管家病毒库实现精准查杀，或者登录QQ手机管家官方网站(http://msm.qq.com)下载最新版本的QQ手机管家，并立即升级病毒库至最新版。

    为了能够保证下载的安全，建议用户到腾讯应用中心、QQ手机管家的"软件管理"中下载，这些应用都经过QQ手机管家安全认证，可以有效保证应用的安全。也可以使用QQ电脑管家的手机管理功能，直接在电脑上安装QQ手机管家，同时还提供万款手机软件免费安全下载。用户还可关注@腾讯移动安全实验室 的腾讯微博，掌握最新的手机安全资讯。