腾讯移动安全实验室
腾讯移动安全实验室(TencentMobileSecurityLabs),是基于MTAA的策略,为MTAA平台制订技术架构与规范、为合作伙伴制订合作政策与规范,并负责整个开放平台的开发、维护、优化,以及开放平台策略的实施与实现,力求使MTAA开放平台成为一个开放、增值、孵化产业链生态的坚实平台。
1、背景
伴随着移动终端的多样性发展和智能化演进,终端上所承载的各类应用、特别是高端商务应用业已成为移动运营商新的收入来源和核心业务增长点,如手机网上支付、电子商务、基于位置的服务等富有特色的一系列增值服务,这将极大地激发运营商、终端厂商、增值服务提供商对终端安全保障体系的关注和投入,移动终端安全已成为新的产业链。
腾讯公司作为中国最大的互联网综合服务与增值应用提供商,从用户、行业的业务需求出发,凭借多年服务海量用户而积累的丰富经验,致力于打造互联网、特别是移动互联网终端的安全保障体系。腾讯终端安全架构,(以下简称MTAA),以及基于MTAA的腾讯移动安全实验室,于2010年6月17日,宣告面世。
关于MTAA
说到腾讯移动安全实验室,MTAA是不可不提的。MTAA是MobileTerminalsAssuranceArchitecture的英文简称,严格来说它是腾讯提出的一套安全架构方案,因此MTAA并没有直接的实体化表现,多存在于技术文档里面。而为人熟知的手机杀毒软件——腾讯手机管家就是基于MTAA移动安全架构体系下设计的手机安全产品。2013年腾讯将MTAA升级至4.0,利用更强大的技术、丰富的资源以及与产业链密切的合作关系,推动行业共建完善的“手机健康标准”,保护移动互联网健康向前发展。
2、安全报告摘要
2013年全年,腾讯手机管家用户举报垃圾短信达到7.39亿,其中诈骗短信举报超过2141万。
2013年,手机病毒增势迅猛,腾讯移动安全实验室在2011年全年截获的病毒包是2.5万个。2012年全年截获的病毒包数快速增长到17.7万,是2011年截获病毒包数的近7倍。2013年,手机病毒包井喷式增长,前三季度就达到57.1万,是2012年截获病毒包总数的3.21倍,是2011年的32.48倍。
而2011年、2012年和2013年前三季度截获手机病毒包数对比,三年间病毒包数增长了31倍多。2013年前三季度为用户查出的病毒次数已经是2012年的2倍多。
2013年11月,基于腾讯手机管家服务的腾讯移动安全实验室共检测截获Android、Symbian手机病毒包总数共71154个。其中,截获的Android平台病毒包达到68512个,Symbian截获病毒报告2642个,Android系统截获的病毒包占两大平台截获病毒包总数的96.29%。
2013年11月,手机用户染毒人次达到1172万,腾讯手机管家用户查杀手机病毒次数近1909.9万次。
2013年11月底,用户主动举报骚扰短信累计超10.39亿条,2013年11月新增用户主动举报垃圾短信数为0.61亿条。
2013年11月,骚扰电话在该月呈现激增趋势,腾讯手机管家用户标记骚扰电话总数达到2501.37万个。
2013年10月,基于腾讯手机管家服务的腾讯移动安全实验室共检测截获Android、Symbian手机病毒包总数共83414个。其中,截获的Android平台病毒包达到80671个,Symbian截获病毒报告2743个,Android系统截获的病毒包占两大平台截获病毒包总数的96.7%。
2013年10月,手机用户染毒人次呈现继续平稳增长的趋势,达到1143.8万。
2013年10月,打包党针对电子商务、银行、网购类APP疯狂二次打包,大肆植入恶意代码或广告插件,二次打包的“建设银行”APP有9个,是被二次打包次数最多的手机银行APP。二次打包的团购类应用“艺龙旅游”APP更是达到203个。而交通银行、农行掌上银行、中国银行手机银行、浦发手机银行、邮政储蓄等APP,均被病毒a.expense.googla.a感染,手机购物安全形势变得严峻。
在2013年10月,腾讯手机管家用户举报的冒充各银行支付类诈骗短信中,91.96%的冒充工商银行。其中8%是冒充中行,冒充其他银行的仅占0.04%。
2013年10月份是国庆长假阶段,市民网购比重快速上升,加之10月处于换季月份与双十一前夕的特殊时段,网购行为参与人数增长,与此同时,各种与网购支付相关的短信诈骗频发。诈骗分子围绕着市民网络购物流程从购物订单、到银行支付、到快递送货的系列环节均设置各种诈骗话术,并通过后续系列手段引诱用户掉入圈套。腾讯移动安全实验室针对2013年10月的网络购物诈骗类短信与手机银行、购物APP进行了系列监测研究。
3、其他报告摘要
腾讯移动安全实验室2013年度手机安全报告
腾讯移动安全实验室2013年11月手机安全报告
腾讯移动安全实验室2013年第三季度手机安全报告
腾讯移动安全实验室2013年8月手机安全报告
腾讯移动安全实验室2013年7月手机安全报告
腾讯移动安全实验室2013上半年手机安全报告
腾讯移动安全实验室2013年5月手机安全报告
腾讯移动安全实验室2013年4月手机安全报告
腾讯移动安全实验室2013年第一季度手机安全报告
腾讯移动安全实验室2013年2月手机安全报告
腾讯移动安全实验室2013年1月手机安全报告
腾讯移动安全实验室2012年手机安全报告
4、Android病毒
在2013年10月,Android病毒行为类型比例统计中,资费消耗类病毒行为占比49%;隐私获取与恶意扣费类分别占比12%,诱骗欺诈类占比11%;流氓行为与恶意传播类病毒均占7%的比例,远程控制类与系统破坏类分别均占1%的比例。占比达49%的资费消耗类病毒大多附带恶意推广的特征,未经用户允许在后台私自下载软件与推广软件,消耗用户资费。比如腾讯手机管家率先查杀的“伪91助手”(a.expense.longjiang),该病毒安装后会提示用户更新,然后下载多款其他手机应用,这些应用同样被二次打包了另一Android病毒(a.expense.zxtd),会带来严重的恶意扣费问题。在扣费类、恶意传播、隐私窃取类等病毒类型中,基本都附带资费消耗的特征,这导致资费消耗类病毒长期居高不下。
5、Symbian病毒
2013年第三季度,在Symbian系统病毒行为中,资费消耗类病毒行为以29%的占比位居第一;系统破坏类和诱骗欺诈类病毒行为占比持续稳定在一个较高水平,均占22%的比例;恶意扣费类病毒行为占比12%;隐私获取类病毒行为占比10%;流氓行为、恶意传播和远程控制分别占比2%、2%与1%。
Symbian系统手机病毒行为更加均衡化合多元化。资费消耗与系统破坏类病毒发展稳定,在Symbian系统,系统破坏类病毒长期占有相当大的比例,成为Symbian病毒中一个较为典型的特征。此类病毒往往开机自启后常驻后台运行,无法手动将其卸载,占用大量系统资源,可能影响手机和其他软件的正常运行。
6、手机病毒分布
2013年11月,各城市的手机用户垃圾短信举报非常活跃,腾讯移动安全实验室统计监测,深圳市是垃圾短信举报最多的城市。其后依次是北京、广州。手机用户举报垃圾短信最多的十大城市排名依次分别为:深圳、北京、广州、上海、昆明、武汉、西安、成都、连云港、杭州。
可以看出,垃圾短信用户举报城市分布基本以国内一二线大城市或省会城市为主,体现出人口密集、经济发达城市的手机用户是垃圾短信发送者的主要目标群体,在这些区域中心城市的手机用户,垃圾短信举报拦截防骚扰意识更加强烈;另一方面,由于垃圾短信以广告类为主,而垃圾短信制造者与发送者针对各地中心城市用户发送垃圾短信,可以更加精准的面向相关的目标手机客户实现有效转化。
2013年10月,在Android系统,广东省手机中毒用户比例排名全国第一,占据全13.59%的比例。在Android系统,前十大中毒省份排名与染毒手机用户占全国的比例依次是:广东(13.59%)、浙江(8.06%)、江苏(6.21%)、北京(5.59%)、河南(5.20%)、四川(4.36%)、福建(4.41%)、广西(3.77%)、山东省(3.57%)、河北(3.62%)。排名前十的省份感染总比例达到58.37%。
2013年10月,广东依然是Android恶意软件安装用户聚集的重灾区。2013年以来,广东连续10个月居于手机染毒用户排名第一的省份。
腾讯移动安全实验室分析,2013年,手机染毒各省份的比例呈现出一种比较稳定的状态,在广东、江浙地区、北京等Android手机用户聚集区,由于刷机产业发达,水货手机供销货渠道畅通,在利润的驱动下,制毒者或制毒机构与打包党更容易与少量水货手机厂商、非法移动广告商形成利益同盟与黑色产业链,通过利益分成,大量水货手机中被植入恶意软件或者恶意广告插件。另外,各种打包党通过篡改知名APP上传到各大APP下载中心供用户下载,移动互联网产业发达,Android智能手机用户多的地区因此染毒比例较高。广东、北京、江浙地区等经济发达地区成为重灾区。
另外,在Android系统,河南、四川、福建、广西、山东等经济发展省份的染毒手机用户正在快速增长。这种增长趋势基本与当地经济发展状况、平均Android手机拥有比率呈正相关趋势。
在Symbian系统,2013年10月,广东省依然是手机染毒占全国的比例最高的省份,达到9.62%。染毒占全国的比例排名前五的省份依次是广东、四川、山东、河南、辽宁。比例分别为:9.62%、6.64%、6.32%、6.09%、5.35%。Symbian系统染毒重心偏向于中部经济发展省份的趋势越来越明显。其中,四川、山东、河南、辽宁四省成为2013年长期以来的Symbian手机染毒大省,在这些地区,Android手机用户逐渐快速普及,但许多Symbian手机忠实用户也一定程度上依然存在。随着Symbian系统的进一步边缘化,Symbian正在逐步退出历史舞台。
7、病毒来源分析
2013年10月,在手机病毒来源渠道方面,第三方电子市场和手机论坛渠道是恶意软件传播的主要途径。第三方电子市场的病毒来源渠道依然占比最高,达到23%。手机论坛占比为20%,位居第二大病毒来源渠道,相对第三季度,10月份的手机论坛渠道病毒比例稍有降低。手机论坛下载APP的用户属性方面,资深手机玩家占据一定比例,随着手机安全观念的普及,用户对手机论坛的恶意软件有一定的警惕性与嗅觉。但手机论坛作为手机玩家的重点聚集地,染毒比例长期居高不下。
各大电子市场是用户下载APP的主力市场,也是手机APP被篡改打包病毒的主要风险渠道。电子市场的风险值引起了各大商家的重视,许多知名电子市场已经接入了手机安全厂商的安全检测。
软件捆绑传播长期居于高比例,在2013年10月达到18%,在病毒来源渠道中位居第三。制毒者或制毒机构通过植入恶意代码或者恶意广告插件捆绑知名软件二次打包可以迅速感染广大手机用户。软件捆绑已成为主要的病毒来源渠道。
ROM内置渠道成为手机染毒的重要渠道。部分不良水货商,以及部分互联网上的第三方ROM制作者基于黑色利益链分工,将病毒刷到手机的ROM。刷机日渐用户增多,部分刷机平台缺乏ROM的安全检测机制,ROM中毒比例在10月份快速攀升到12%。另一方面,二维码染毒比例依旧在缓慢增长,在2013年10月,用户二维码染毒比例达到7%。
8、规避病毒方法
垃圾短信产生原因及解决之道
垃圾短信正在广泛的侵扰市民的正常通信和私人空间生活,许多短信群发公司通过聚敛客户,业务遍及房地产、汽车、并形成地下垃圾短信产业链。随着新型诈骗短信案例增加,广大受骗手机用户经济财产受损,引发信任危机和情感伤害。
总体而言,垃圾短信总量或正在有所降低。这源于腾讯手机管家等国内手机安全厂商的骚扰拦截机制和识别机制不断提升优化,另一方面,手机用户防骚扰意识也在逐步提升。另外,目前三大运营商开始多措施治理垃圾短信。
从严治理垃圾短信,需要运营商、*多部门联动监管,并与手机安全厂商等建立广泛合作,做到对垃圾短信从内容生产到发布传播的整个环节的防控、监管、整治,加强对垃圾短信法律规范,提高其违法成本,才能更大程度降低垃圾短信对用户带来的伤害。
腾讯移动安全实验室专家建议
随着Android手机安全形势变得更加复杂,手机用户应逐步提升手机安全意识,腾讯移动安全实验室专家对手机用户做出如下建议:
1.双十一网购季来临,手机用户对于密码器过期类、网购支付货款被冻结、快递地址不详等与网银支付、网络购物相关的诈骗短信应果断举报并开启腾讯手机管家骚扰拦截,有效拦截诈骗类垃圾短信。
2.在11月的电商网购狂欢季节,大量打包党跟随手机用户对网购支付APP流行趋势,针对各类电商购物类APP篡改二次打包植入病毒代码或广告插件变得频繁,手机用户应通过正规安全的渠道下载官方版支付、电商等各类手机APP,比如可在腾讯手机管家“软件游戏”下载应用,可确保绿色安全。
3.刷机用户应注重ROM安全。许多水货手机出货前就已经刷机或者内置了各种流氓软件,而这些刷入或内置入ROM的恶意软件包一般很难用常规手段卸载或清除,新买的手机应及时下载腾讯手机管家,获取Root权限,并在安全渠道刷ROM包。在国内,腾讯手机管家首家发起成立了腾讯ROM安全联盟,凡是加入该ROM联盟内的刷机厂商上线的ROM包,均已通过“腾讯ROM安全联盟”检测并可确保绝对安全。有刷机需求的用户可选择已加入腾讯ROM联盟内的厂商甜椒刷机、刷机精灵下载安全纯净的ROM。
4.随着二维码的流行,目前已成为增长最快的染毒渠道,风险进一步增大,手机用户不要见码就扫,最好安装具备二维码恶意网址拦截的手机安全软件进行防护,或者安装带有安全识别的二维码工具进行二维码扫描,如此可降低二维码染毒风险。
5.用户还可以关注@腾讯移动安全实验室、@腾讯手机管家的官方微博以及相关的“恶意软件曝光”行动,对手机安全资讯做到全面把握和掌控,安享移动互联网生活。