网站首页 > 腾讯移动安全实验室2017年手机安全报告

腾讯移动安全实验室2017年手机安全报告

时间 :2018/1/15 标签 : 应用安全 安全报告 浏览量 : 6733

摘要

手机病毒

      2017年Android新增病毒包1545.10万个,同比下降34.02%。其中支付类病毒包新增9.26万个,同比下降79.61%。

      2017年Android手机病毒感染用户数为1.88亿。其中支付类病毒感染用户数为974.95,相较2016年下降了71.69%。

      2017年,腾讯手机管家共查杀病毒12.42亿次,同比增长54.93%。

      2017年手机病毒类型以流氓行为和资费消耗为主,占比分别为47.45%和34.77%。

      2017年广东省手机病毒感染用户最多,占比为11.19%,河南和江苏分列二三位。

      2017年手机病毒来源渠道主要以手机资源站、二维码和软件捆绑为主,占比分别为23.51%、17.94%和15.31%。

垃圾短信

      2017年,腾讯手机管家用户共举报垃圾短信13.81亿条,同比增长29.20%。

      2017年,垃圾短信类型依旧以广告类为主,占比超90%,诈骗短信占比3.23%。

      2017年,诈骗短信举报数量为4.43亿条,相较2016年同比下降60.88%。

骚扰电话

      2017年,腾讯手机管家用户共举报骚扰电话超3.97亿,同比下降33.41%。其中诈骗电话为6716.55万,同比下降59.12%。

      2017年,iOS用户共标记骚扰电话2573.45次,其中诈骗电话为434.22次,占比16.87%。

      2017年,骚扰电话类型主要以响一声为主,占比50.91%,诈骗电话占比16.04%。

      根据腾讯手机用户主动上报的恶意线索显示,转账、冒充领导、我犯法了和索要验证码是骚扰电话中最常见的关键词,占比分别为26.79%、18.80%、15.04%和13.53%。

      广东省为2017年用户举报骚扰和诈骗电话最多的省份,占比分别为9.47%和10.96%。深圳是骚扰和诈骗电话用户举报数最多的城市。

恶意网址

      2017,腾讯移动安全实验室检测恶意网址数量2837.33万,拦截恶意网址1782.23亿次

      2017年,恶意网址类型中色情网站排名第一,占比52.42%,博彩网站和信息诈骗紧随其后,占比分别为32.76%和11.57%。

风险WiFi

      2017年,根据腾讯WiFi管家数据显示,公共WiFi总数达3.36亿,连接公共WiFi人群以35岁以下年龄层用户为主,男性用户多于女性。

      2017年,绝大多数WiFi未发现风险,风险WiFi占比11.37%,其中低风险WiFi为11.08%,高风险WiF为0.29%。

      2017年,高风险WiFi行为以ARP攻击为主,占72.72%,其次为虚假WiFi,占比21.70%。

      2017年,风险WiFi主要分布在二三四线城市,占比分别为29%,23%和26%。

 

第一章 2017年手机病毒现状分析

      据工信部发布的《2017年9月通信业主要指标完成情况》中的数据表明,截至今年9月,移动互联网用户总数超过12.34亿户。智能设备爆发式增长,存储着的个人核心隐私信息越来越多,价值随之越来越高,是不法分子紧盯着的目标。手机病毒的牟利性使得病毒制造者趋之若鹜,制造各种手机病毒。

      2017年,基于腾讯移动安全实验室新增病毒包数、手机病毒感染用户数、病毒查杀次数、感染地域分布等数据进行统计分析发现,Android平台的安全风险状况依然不容小觑。

1.1 2017年手机病毒包增长趋势减缓

      在经历了前两年的高速增长后,2017年手机病毒包增长速度减缓,共新增1545.10万,同比下降34.02%。

     

       从时间上看,2016年后三个季度新增病毒包数量庞大,全年新增量都在百万以上,进入2017年后情况有所好转。从5月份开始,每月新增病毒包数始终低于2016年同时期,其中11月新增病毒包81.71万,为全年最低值。

1.2 2017年感染病毒用户1.88亿 主要集中在中东部省份

    

      2017年,Android平台手机病毒感染用户数为1.88亿,与去年相比下降62.36%,但总数仍十分巨大。

      2017年手机病毒感染用户数普遍低于前两年,总体呈逐月下降趋势,其中1月病毒感染用户最多,10月最少。

    

      地域方面,经济发达的沿海地区和部分人口密集的内陆省份成为病毒感染用户分布的重灾区。广东继续领跑手机染毒用户最多的省份,占比高达11.19%。河南、江苏、四川、山东、浙江、河北、湖南、江西和广西感染用户数同样巨大,分别占据了6.45%、5.89%、5.88%、5.86%、5.61%、5.09%、4.53%、3.87%和3.74%的比例。

1.3 2017年腾讯手机管家共查杀安卓病毒12.42亿次

      

      在新增病毒包数和病毒感染用户数都大幅度下降的情况下,2017年腾讯手机管家查杀病毒次数却再次创下新高,总数高达12.42亿。一方面,从查杀次数的增长可以看出如腾讯手机管家等手机安全软件可靠性正在全面提升,另一方面,这一庞大的数字也再次给广大手机用户敲响了手机安全形势依旧严峻的警钟。

1.4 2017年手机病毒类型:以流氓行为和资费消耗为主

      

      2017年手机病毒类型依旧以流氓行为、资费消耗和隐私获取为主,占比分别为47.45%、34.77%和9.65%。随着病毒的多样化复杂化,一款病毒往往会同时兼具多个行为特征。

      流氓行为病毒私自执行具有流氓属性的恶意行为,如频繁下载推送应用,匿名弹窗、推送浮窗广告等等,严重影响用户使用手机。例如一款名为“TigerEyeing”的家族病毒木马,长期潜伏用户设备,窃取用户隐私数据包括设备信息(包括手机型号、imei、imsi、uuid、网络、应用安装列表信息、内存和sdcard容量等),应用安装列表,设备内存和sdcard容量等信息上报服务器,并定期与服务器通信获取需要安装的插件应用配置信息,使用DroidPlugin框架来加载运行插件应用,并在运行一段时间后,删除运行过的插件应用,神不知鬼不觉的进行各种恶意推广、恶意广告等流氓行为。

      资费消耗类病毒通常在用户不知情或未授权的情况下,通过发送短信、频繁连接网络等方式,导致用户资费损失。今年1月底审判的国内首宗利用恶意扣费软件扣取手机用户巨额话费案件,使隐匿在恶意扣费软件背后的产业链条、具体运作手法浮出了水面。这类短信扣费类木马分为两大流派,势力最大的一派以暗扣类游戏为主(占据市场份额最大),它们深谙用户心理,利用用户操作习惯,设置陷阱诱骗用户点击通过订阅SP服务进行变现。另外一派则以后台无图标应用为主,通过ROOT恶意木马,ROM预装等方式偷偷潜伏进去用户设备,后台自动发送SP扣费短信进行变现。

      隐私获取类的病毒软件越来越常见,已经成为不法分子窃取用户隐私的主流渠道,所窃取的隐私范围也更加广泛细致。由中国反网络病毒联盟(ANVA)曝光了的Strong Service病毒,会伪装成系统应用,通过网络上传用户的地理位置信息、浏览器书签、通讯录、短信内容等隐私信息,对用户的隐私安全造成极大伤害。

      此外,恶意扣费、诱骗欺诈、系统破坏、远程控制和恶意传播也是常见的病毒类型,所占比例分别为2.95%、2.93%、1.11%、0.99%和0.15%。

1.5 2017年手机支付类病毒下降79.61%

    

      2017年腾讯手机管家共截获新增支付病毒包9.27万个,同比下降79.61%,新增速度四年来首次呈现下降趋势。

    

      较之2016年大幅度的下降趋势,2017年新增支付类病毒包数在2016年的基础上继续小幅度下降,8月新增病毒包数最多,12月最少。

   

      2017年支付类病毒感染用户数也大幅减少,总数为974.95万,相较2016年下降了71.69%。

1.6 2017年安卓手机病毒渠道来源持续多样化

      借助多样化传播渠道,手机病毒得以快速隐秘传播,用户感染风险也随之增长。手机资源站、二维码、软件捆绑、电子市场、网盘传播、ROM内置和手机论坛等都是主要的病毒来源渠道。

      手机资源站对于应用的安全性要求较低,资源良莠不齐,恶意应用很容易上架传播, 因此以23.51%的占比成为手机病毒传播的主要来源渠道。

      二维码技术的成熟使其广泛应用在手机支付、网站跳转、获取信息等场景,制作生成门槛的降低使普通人也能通过各类制作软件和应用轻松生成。二维码从外观上难以辨别安全性的特征,为别有用心的人提供了便利。病毒制造者通过将恶意代码嵌入二维码中,并进行发散传播,其占比超过17.94%。12月底央行出台的500元每天的“静态条码”收款限制政策,正是基于此病毒来源渠道潜在的风险。

      通过软件捆绑进行的病毒传播已成为常态,占比达15.31%。病毒通过捆绑热门软件进行打包传播,同时病毒针对游戏类、工具类应用植入恶意代码、二次打包篡改软件版本的行为日趋频繁,这些现象的存在都提高了用户下载相关应用的风险,增加手机病毒的用户感染量。

      电子市场以14.65%的占比排名第四。手机安全厂商病毒查杀引擎的接入让大部分手机病毒在上线前即可被检测拦截,无法进行传播,这也是电子市场病毒传播比例有所下降的原因。但病毒无法被检测的乱象依旧存在于一些中小型电子市场中,急需进一步整改和规范化管理。

      国产手机品牌的持续发展让二手机市场保持繁荣,ROM内置渠道来源病毒也因此保持稳定的增长趋势。网盘传播和手机论坛同样占据了12.19%和6.72%的比例,由此可看出,手机用户通过非正规渠道下载应用的风险依旧无处不在。

 

第二章 2017年垃圾短信现状分析

2.1 2017年垃圾短信举报量达13.81亿

    

      根据腾讯移动安全实验室数据显示,2017年腾讯手机管家用户垃圾短信举报总量继续增长,总数为13.81亿,增长29.20%。

      相比于2014和2015年,近两年垃圾短信数量更加庞大,且都出现了11月份垃圾短信数量激增的情况。11月份是各大电商平台的双11活动促销季,购物狂欢的背后是垃圾短信的泛滥。不分时段、不顾公众意愿狂轰滥炸的垃圾短信,不仅给公众的生活带来不便与困扰,也再次引发了人们对隐私泄露问题的忧虑和深思。

      在用户举报垃圾短信的地区中,广东用户举报最多,占据了12.11%的比例。江苏和浙江紧随其后,占比为6.52%和5.26%,山东、四川、河南、河北、北京、湖南和上海同样排名前十。十大城市垃圾短信的总和超过50%。

      城市方面,深圳的垃圾短信最多,其总量远远超过其他城市,是垃圾短信第二大城市苏州总量的2倍多,成都、广州和东莞等地也紧随其后。

2.2 2017年垃圾短信类型:广告类占比超90%

      广告短信依旧是占比最多的垃圾短信类型,高达94.32%。诈骗短信排名第二,占比3.23%。数量惊人的广告短信,多年来一直饱受诟病。大多数广告短信不顾用户个人意愿,尤其是双11,双12等电商促销节,高频率、不分时段的发送短信扰乱正常生活,对用户造成 “软伤害”和隐性伤害”

      诈骗类短信占比较小,但造成的实际损害最大,一旦用户不慎轻信中招,往往蒙受财产损失,是一种“硬伤害”。无论是哪一类垃圾短信,都和用户隐私泄露问题离不开关系。

2.3 2017年诈骗短信同比下降60.88%

    

      2017年,腾讯手机管家共收到用户举报诈骗短信4432.90万条,同比下降60.88%,这也是四年来首次出现下降趋势。

      整体来看,2017年诈骗短信举报数在2月短暂上升后开始下降,并在10月降到最低值,其中2月份和10月份单月短信数量相差将近600万条。

      沿海城市不仅是垃圾短信重灾区,同样也是诈骗短信最多的地区。广东诈骗短信占比17.71%,是用户举报诈骗短信最多的省份。诈骗短信十大省份其他榜上有名的城市分别为辽宁(6.67%)、四川(6.35%)、河南(5.09%)、浙江(4.77%)、吉林(4.09%)、河北(4.04%)、江苏(4.01%)、福建(3.72%)和山东(3.69%)。

 

      深圳是用户举报诈骗短信数最多的城市,广州紧随其后,占比分别为6.63%和3.73%。深圳和广州庞大的诈骗短信数,也是广东省领跑诈骗短信第一大省份的重要原因。大连位列前三,占比3.25%。其他排名前十的城市还有成都、长春、东莞、沈阳、苏州、福州和西安。

2.4 2017年常见的诈骗短信类型

    

      据腾讯手机管家监测数据显示,2017年最常见的诈骗短信类型分别为非法贷款、病毒软件、恶意网址、网购、伪基站和高薪招聘。诈骗短信类型多样,诈骗分子通过编造各种名义和场景增加迷惑性,对用户进行诱骗。

      从数据中可以看出,一半以上的诈骗短信以非法贷款作为由头,占比远远高于其他类型,这与近年来大大小小的网络贷款平台、金融平台如雨后春笋纷纷冒出离不开关系。

      短信的特性使得病毒软件、恶意网址往往以链接的形式内嵌在短信内容里,以各类名义诱骗用户点击,并导致用户手机被植入病毒遭受控制,或引导用户登录钓鱼网站泄露隐私信息、造成财产损失等严重后果。

      伪基站也一直是诈骗短信治理的顽固毒瘤,虽然经过整改后数量大幅减少,但其背后巨大的黑色产业利益链,还是让伪基站类诈骗短信在一些三四线城市中屡禁不止,今年仍占据了9.77%的比例,位列第四名。
      

第三章 2017年骚扰电话现状分析

3.1 2017年骚扰电话标记数有所下降

      根据腾讯移动安全实验室数据显示,2017年腾讯手机管家用户标记骚扰电话超3.97亿次,较去年下降33.41%,为近年来最低,但整体基数仍然十分巨大。

      与2016年的大幅度波动相比,2017年骚扰电话总体呈平稳下降趋势,1月最高,12月最低。

      广东、江苏和山东是骚扰电话标记数最多的三个省份,其次是四川、河南、浙江、北京、河北、湖南和湖北,占比分别为9.47%、5.66%、4.90%、4.60%、4.31%、3.84%、3.72%、3.36%、3.12%、2.61%。

    

      深圳依旧在城市排名中稳占第一,是骚扰电话标记数最多的城市,总数达256.59万,其他上榜的城市也多为省会城市或经济发达城市,如苏州、广州、成都等。骚扰电话标记数的十大城市与垃圾短信的十大城市大致重合。

3.2 2017年骚扰电话类型

    

      2017年,在用户标记的3.97亿个骚扰电话中,响一声、广告推销、诈骗电话、房产中介和保险理财是最常见的几大类型。

      响一声以50.91%的占比排名第一,这类骚扰电话通常以诱导用户回拨并实施诈骗或进行广告推广等为目的,令用户不胜其扰。

      危害性最大的诈骗电话紧随其后,占据了16.04%的比例。诈骗分子通常以转账到安全账户、假冒领导、事主犯法了等骗术进行诈骗,以此牟利。

      与广告短信占垃圾短信绝大部分比例一样,广告推销在骚扰电话中也占有不小比例,排名第三,占比14.66%。

      房产中介和保险理财等其他骚扰电话,占比虽然不大,但仍然是对用户生活造成困扰,屡禁不止。

    

      根据腾讯手机管家用户主动上报的恶意线索数据显示,转账、冒充领导、索要验证码、我犯法了和网络订单有问题是常见的骚扰电话恶意线索关键词。

      转账到安全账户占比26.79%,是用户上报最多的恶意线索。诈骗分子以金钱利益作为诈骗的最终目的,因此要求受害者进行转账也是他们常用的手段之一。索要验证码也同样处于此目的,占比高达15.04%。

      电话只能听其声,不见其人,但可以实时互动,非常方便诈骗分子躲在电话背后,利用和操纵受骗者的恐惧心理,冒充各种身份,扮演各类角色,进行诈骗。排名第二的冒充领导,就是这样类诈骗电话的经典类型,也是多年来屡见不鲜的骗局。相较于早年粗糙的单纯利用受骗者恐惧和服从心理的诈骗形式,近年来随着隐私泄露问题的加剧,诈骗分子也对骗局进行更加精心的策划,迷惑性更强。

      骗子还会通过冒充公检法、熟人亲友、运营商等等,用过精心设计的话术,最终达到诱骗受骗者向其转账的目的,以此敛财。

      除此之外,发票类、非法贷款、金融投资广告推销等也是骚扰电话中常见的恶意线索关键词。

3.3 2017年诈骗电话标记数为6716万

    

      2017年诈骗电话数量在2016年的基础上继续下降,总标记数接近6716.55万,下降59.12%。

      2017年各月诈骗电话标记数均低于2016年同时期,整体呈平稳下降的趋势,并在12月降至最低。

    

      诈骗电话地域分布与骚扰电话相类似,主要分布在中东部省份。排名前十的省份分别为广东、江苏、山东、四川、北京、河南、浙江、湖南、河北和湖北。

      诈骗电话标记数最多的十大城市则是深圳、广州、苏州、成都、东莞、武汉、西安、南京、郑州和无锡。

3.4 2017年iOS骚扰及诈骗电话现状

      iOS方面,2017年骚扰电话总标记数为2573.45万,其中1月为最高峰,单月标记数为304.75万,此后则整体呈下降趋势,在11月降至最低后,12月有所回升。相较而言,iOS诈骗电话变化相对平稳,全年总标记数为434.22万,占骚扰电话标记数的16.87%。

 

第四章 2017年恶意网址现状分析

4.1 2017年恶意网址拦截次数达1067亿次

    

      2017年全年,腾讯手机管家共计检测恶意网址2837.33万次,整体波动较大,第三季度有较明显的下降,9月份检测网址数量降到最低,为116.36万次。

 

      在完成对恶意网址的有效检测的同时,2017年腾讯手机管家共拦截恶意网址超1067亿次,单月拦截次数都在61亿以上。恶意网址是用户手机安全不可忽视的一个毒瘤,互联网安全形势依旧严峻。

4.2 2017年恶意网址类型:色情网站最多

 

      根据腾讯手机管家拦截的恶意网址数据分析得出,色情网站是最常见的恶意网址类型,占比超过一半。博彩网站和信息诈骗分别位列第二、第三,恶意文件、社工欺诈和虚假广告虽然占比较低,但其危害同样不可低估。

      恶意网址通常是指通过仿冒银行、电子商务或运营商官网等真实网站的URL地址及网页内容,让用户在进入网站后无法准确辨别,进而窃取用户提交的银行账号、密码等个人隐私信息,造成用户资金损失,危害性十分严重。

      内嵌在诈骗短信中是恶意网址常用的传播手段,用户在看到短信内嵌网址时,应提高警觉,切勿随便点击,以免造成损失。

 

第五章 2017年风险WiFi现状分析

5.1 2017年公共WiFi数量达3.36亿

      智能手机、平板电脑的持有量越来越大,公共WiFi的需求量也日益增长。根据腾讯WiFi管家数据显示,2017年公共WiFi数量呈现小幅度稳步增长,截至12月,公共WiFi总量从1月份的2.37亿增长至3.36亿。这些公共WiFi,广泛分布在商场、地铁、机场、娱乐场所等。

5.2 2017年公共WiFi使用主力军:35岁以下人群 男性多于女性

      从年龄段上看,2017年使用公共WiFi的多是35岁以下人群,占比76.97%,36-45岁、46岁-55岁和55岁以上人群的占比则分别为16.70%,5.31%和1.02%。这一情况与各年龄层用户上网需求与流量需求是相对一致的。

      性别方面,2017年使用WiFi用户以男性为主,占比为55%,比女性用户多出了10%。

5.3 2017年风险WiFi占比11.36%

 

      从腾讯WiFi管家监测数据可以看出,2017年大多数公共WiFi未发现风险,风险WiFi占比11.36%。

      风险WiFi包括低风险WiFi和高风险WiFi。低风险WiFi指未加密、未经认证,存在潜在风险的WiFi,占比11.07%。高风险WiFi则指已经确认了有SSLStrip攻击、ARP攻击、DNS攻击或虚假WiFi行为的WiFi,占比0.29%,比例虽小,危害却很大。

5.4 2017年风险WiFi攻击行为以ARP攻击为主

      风险WiFi的攻击行为,主要是ARP攻击,占比为72.72%,其次是虚假WiFi,占比21.70%,DNS攻击和SSLStrip分别占比4.78%和0.8%。

      风险WiFi喜欢以“免费”“free”等字眼引诱用户连接,或者仿冒用户熟悉的SSID,如运营商CMCC、ChinaNet、ChinaUnicom,知名路由器Netcore、dlink等。为了更方便用户接入,风险WiFi一般不设密码。

      黑客在人流密集的公共区域搭建公共虚假WiFi,通过无线路由、网卡设置,发射WiFi热点、设置共享网络,待用户连接进入钓鱼网址后,窃取用户网络上传原始数据包,获取用户身份信息、网银账号密码等隐私数据。而完成这一切,黑客仅需一台电脑、一套无线网络及一个网络包分析软件,即可设置一个无线热点AP。

5.5 2017年风险WiFi主要分布在二三四线城市

      在城市分布上,风险WiFi在各线城市均有分布,总体来看各线城市之间的比例相差不大。二线城市风险WiFi比例最大,四线三线城市次之,五线和一线城市比例最小。

 

第六章 2017年十大手机安全事件

1.WiFi重大安全漏洞:WPA2安全加密协议已被破解

      2017年10月,比利时相关研究机构表示,用于保护WiFi网络安全的WPA2 安全加密协议已被黑客破解。WPA2的官方定义是用于保护现代Wi-Fi网络的安全协议。从最浅易的层面上讲,这个安全协议就是我们连接WiFi时输入的密码,除了可以防止蹭网,更重要的是防止你使用WiFi进行的通信信息被别人窃取。一旦这个安全协议被破解,黑客将可以窃听任何联网设备。

 

      据比利时鲁汶大学的Mathy Vanhoef称,黑客们已经找到一种操纵该安全协议背后的加密因素的途径。此次WiFi安全漏洞主要源于安全标准本身,而非个体设备问题,但还是会对连接到WiFi网络的设备产生影响。

2.手机勒索病毒频发 腾讯守护者助力警方侦破手机勒索病毒第一案

      2017年6月,随着肆虐全球的WannaCry勒索病毒的爆发,国内有开发者迅速跟进发布了一款基于安卓的手机版WannaCry病毒加密用户的常见文件(比如照片,office文档等)勒索钱财,并且利用外挂名义传播到部分用户。

      NSA“永恒之蓝”黑客武器的泄露,也使得其他黑产分子有样本可循,仿效相关PC病毒的制作方法,利用现有的病毒制作工具,制作出新的勒索病毒,公然向用户个人索要赎金。今年6月,“守护者计划”安全团队发现,一种新型手机勒索病毒冒充时下热门手游的辅助工具诱导用户下载,且与PC版“永恒之蓝”病毒的界面和勒索手法几乎一致,病毒运行后会对手机中的照片、云盘等目录下的文件进行加密,向用户索要赎金。

      6月7日,在腾讯守护者计划安全团队和腾讯手机管家的配合下,河南安阳警方成功抓获勒索病毒制作者嫌疑人,成为腾讯守护者助力警方侦破手机勒索病毒第一案。

3.安卓惊现Janus高危漏洞 黑客可任意篡改官方应用

      12 月 4 号,Google通过其官方网站通告了高危漏洞 CVE-2017-13156(发现厂商命名为 Janus),该漏洞可以让攻击者无视安卓签名机制,对未正确签名的官方应用植入任意代码。目前安卓 5.0~8.0 等个版本系统均受影响。

      攻击者可将包含任意恶意代码的 dex 文件植入到包含 Janus 漏洞的正规应用进行拼接,然后通过不良应用市场,地下暗流等渠道推送给用户,诱导用户替换官方的正常应用。用户一旦不慎点击升级安装将会自动执行恶意植入的 dex 恶意代码,从而导致用户隐私数据被泄露。值得注意的是如果被嵌入恶意代码的应用包含有系统级权限,那么被植入的恶意代码可继承其系统权限,访问系统的任何敏感信息(如手机银行信息、三方支付数据等),甚至成为超级管理员完全接管系统。

4.蓝牙协议爆严重安全漏洞  影响超53亿设备

      2017年9月,安全研究人员在蓝牙协议中发现了8个零日漏洞,这些漏洞可影响超过53亿设备——从Android、iOS、Windows以及Linux系统设备到使用短距离无线通信技术的物联网设备,无一幸免。攻击者可在无需与你进行任何交互的情况下远程接管你的设备。利用这些漏洞,物联网安全公司的研究人员设计了一个名为“BlueBorne”的攻击场景,允许攻击者完全接管支持蓝牙的设备,传播恶意软件,甚至建立一个“中间人”(MITM)连接,以实现在无需与受害者进行任何交互的情况下,轻松获取设备关键数据和网络的访问权。

      研究人员表示,想要成功实施攻击,必备的因素是:受害者设备中的蓝牙处于“开启”状态,以及很明显的一点,要尽可能地靠近攻击者的设备。此外,需要注意的是,成功的漏洞利用甚至不需要将脆弱设备与攻击者的设备进行配对。实验室研究团队负责人声称,在实验室进行实验期间,他的团队成功构建了一个僵尸网络,并使用BlueBorne攻击顺利安装了勒索软件。

      在Android平台,只要开启了蓝牙功能,没有打补丁的情况下,黑客可以远程发起攻击,并且可以不断尝试直至攻击成功,因为Android的蓝牙服务崩溃后,系统会自动重启该服务,用户感知不到。攻击成功后,能获取的权限非常高,可控制摄像头、拍照、截屏、启动应用、唤醒手机、读取通信录、照片、文档,可控制手机键盘、可模拟用户点击,对用户网络相关服务有完整控制权限,可监控用户网络流量、可发起MITM攻击;对于病毒来说,可以利用该漏洞,在被攻击手机上下载恶意应用,然后模拟用户确认,进行安装。

5.Judy恶意软件来袭,全球已感染超3600万安卓手机

      2017年6月,根据国外资讯安全网站报道,全球有超过3600万台安卓设备被植入恶意广告点击软件“Judy”,该恶意软件成功运行后,就会将感染设备的信息发送到目标页面,并进行广告点击操作,产生大量非法流量,为攻击者创造不正当收入。

      这款名为“Judy”的恶意软体,暗藏于韩国手游《Chef Judy: Picnic LunchMaker》中,但其实暗藏恶意软体的游戏共有41 款,皆由韩国厂商Kiniwini 开发,并由Enistudio发行。由于游戏几乎都是以Judy 作为主角,因此才有此称。

6.恶意软件CopyCat肆虐全球 已感染1400万部安卓设备

      2017年,一款名为的CopyCat的恶意软件肆虐全球,至少感染了1400万部Android设备。CopyCat是一个完全开放的恶意软件,具有广泛的传播性,包括生根设备,可建立持久性和注入代码到Zygote,然后在Android操作系统中启动应用程序的守护进程,允许恶意软件控制设备上的任何活动。

      该恶意软件主要集中从广告行业中汲取利润,并采用巧妙的技术方法,从事广告软件运作从而获取丰厚利润。CopyCat广告系列在2016年4月至5月期间达到顶峰。研究人员认为,该广告系列通过流行应用程序传播,重新打包恶意软件,并从第三方应用商店下载,以及网络钓鱼诈骗。

7.摄像头存在安全隐患 用户隐私或遭泄露

      2017年6月,央视曝光不法分子通过某扫描APP,可破解用户家中智能摄像头的IP地址,远程操作摄像头,盗取或截取摄像头中的画面。破解的摄像头IP地址也被公开叫卖,用户的隐私荡然无存。

      家用摄像头使用中还需搭配相应软件来操作,摄像头远程操作软件也可能潜藏窃取隐私的风险。腾讯手机管家查杀两款病毒软件“城市监控头”和“间谍眼”,以公共场所摄像头地址为由,诱导用户下载安装。其中,“城市监控头”包含名为“a.privacy.spyey”的木马病毒,其风险在于偷偷读取用户IMEI、地理位置等隐私信息并上传至远端服务器,同时监控他人隐私信息,给用户造成信息泄露。

8.Lipizzan间谍软件 监控用户手机并窃取隐私

      2017年7月,Google披露了一款名为Lipizzan的间谍软件家族(疑似采用的网络武器公司Equus Technologies的技术)试图监控用户的手机,可窃取用户的电子邮件、短信、地理位置、屏幕截图等用户隐私数据。受影响的APP包括Gmail,Hangouts,LinkedIn,Messenger,Skype,Snapchat等。

      腾讯移动安全实验室/反诈骗实验室经过技术分析确认Lipizzan存在间谍行为的包是com.android.mediaserver,主要包含以下功能:通话录音,VOIP网络电话录音,麦克风录音,位置监控,屏幕截图,调用摄像头拍照,上传用户的设备信息和存储的其它文件,其它用户隐私数据 (通讯录、通话记录、短信、 指定应用的本地存储数据)。

9. 谷歌下架300个隐匿DDoS攻击的Android软件

      2017年,研究人员发现首个 Android DDoS 恶意程序,名为WireX的僵尸网络,一旦用户安装,即可潜入用户设备安装启动后门模块,通过用户的手机DDos攻击了多个内容分发网络(CDN)和内容提供商(比如Akamai,Cloudflare)。中招以后,手机就会成为犯罪团伙的肉鸡,犯罪团伙可以利用安装的后门程序发送DDoS,会导致手机流量消耗上网变卡。

      至少有300个受僵尸网络病毒感染的恶意应用程序寄生于Google Player应用市场里, 受感染的应用程序多是低品质且功能常见的应用程序,包含影片播放器、铃声、档案管理工具等,下载地区多集中在俄罗斯、中国和其他亚洲地区,100多个国家受到影响。

      Google已将这300个受感染应用程序自Google Play下架、从用户设备中移除,并推出认证计划Google PlayProtect,保护这类的恶意应用程序被重新安装。

10. 外媒曝光安卓手机两大漏洞:点击劫持漏洞和虹膜识别欺骗漏洞

      据外媒报道,在安卓手机上发现了分别攻击系统和硬件的两种漏洞:点击劫持漏洞和虹膜识别欺骗漏洞。这两大漏洞如果被木马病毒利用,将造成不可估量的恶劣影响。

      点击劫持漏洞,简单来说就是用户每一次点击操作手机屏幕,都有可能被黑客监控和劫持,造成聊天内容、账号密码、手机联系人等个人隐私泄露。这一漏洞覆盖了包括7.1.2版本在内的所有安卓系统,更可怕的是,即使黑客对漏洞进行攻击,普通用户也无法察觉。研究人员已成功在20名用户手机上做了实验,却并未有人发现其中的恶意行为。

      相比之下,虹膜识别欺骗漏洞更令人细思极恐。不久前,三星发布了搭载虹膜识别功能的Samsung Galaxy S8手机,可以让用户实现刷脸解锁手机的极致体验。但即使是这一行业最前沿的身份识别技术,仍然存在漏洞,黑客只要给你拍张照片,对图像中的眼睛进行特殊处理,即可欺骗虹膜识别功能,在不经过本人刷脸的情况下,直接解锁你的手机。

      腾讯移动安全实验室目前暂未发现利用这些漏洞的病毒,但其存在的安全隐患不容忽视。

 

第七章 2017年手机安全特征与趋势分析

1. 用户移动设备的价值越来越大,但普通大众的安全意识和安全防御手段并未同步提升

      智能移动终端爆发式增长,移动互联网的发展使手机成为日常生活不可或缺的一部分,使用时长的不断增加使得手机等移动智能设备上存储着大量敏感的隐私信息,随着手机功能的增强,价值越来越大,与之相伴的是越来越严峻的安全挑战,但当前的安全防御手段极其有限。

      受限于移动设备的性能以及安卓设备的机制限制,目前安全厂商仅能对应用安装进行安全检测。同时,安卓平台严重的碎片化使得新版本内核的安全功能没办法及时入地,存在的大量已知高危漏洞让大量的低版本安卓用户面临更严峻的安全风险,各种利用漏洞获取权限的病毒也越来越多。2017年年底爆发的安卓重大通用漏洞高危漏洞 CVE-2017-13156,可让攻击者无视安卓签名机制,对未正确签名的官方应用植入任意代码。

      对于一些用户量巨大的刚性需求比如色情、游戏破解,即使安全软件报毒以后也存在大量的用户会选择忽略结果,一旦允许以后,后面发生的行为将不能获得安全防护功能。ROOT设备,广告骚扰,应用恶意安装,短信扣费等恶意行为将会对用户造成巨大的风险。

2. 病毒家族化,幕后的规模化公司控制着庞大的流量

      用户量影响巨大,行为隐蔽的病毒背后通常存在相当规模的公司在幕后进行运作。各种披着上市、创业公司等外皮的团伙,利用各种手段试图控制大量的用户流量,然后通过流量变现进行牟利:

      手段1:手机被控制刷量

      拥有百万用户量的GhostFramework会在线下渠道被预装到用户手机里,然后用来完成刷流量,安装不明应用,弹广告等任务,幕后的公司则通过这些流量变现谋取利益。

      手段2:利用手机刷社交聊天软件流量

      拥有百万用户量的mmghost,通过预先植入手机的方式进入到用户设备,然后控制这些设备刷媒体号来进行牟利。

      手段3:利用色情流量刷广告等

      杭州某家科技公司,控制着日规模20万用户的色情渠道,以色情的名义诱导用户安装,一旦用户安装后会推广安装大量不明应用,弹出广告,以及进行短信扣费等行为。

3. 电信诈骗与移动木马结合,传统电信诈骗再升级为移动木马诈骗

      在早期的传统网络诈骗中,诈骗者仅依靠给目标群体打电话诈骗,诈骗成功的关键在于诱导用户通过ATM、网银等方式向诈骗者的账号转账,因此用户感知度比较高,成功率较低。由于移动设备存储着用户更多的隐私信息,移动木马与电信诈骗结合后,较之过去的PC远程诈骗,不仅提高了隐私窃取能力、远控能力等,同时还降低了用户感知度,在用户完全不知情的情况下完成远程转账。移动木马诈骗可以实现通话控制(拦截用户通话,不允许用户拨打110等电话求证)、短信控制(拦截网银等支付验证码信息,自动同步给诈骗者)、获取手机联系人信息、地理位置等,其危害性大大增强。

4. 移动支付成主流,手机支付安全引关注

      近几年蓬勃发展的手机支付,使得手机成为了一台移动的小金库,人们可以随时随地发起网上支付。手机新的钱包属性引起不法分子的高度重视,不法分子可以通过各种手段完全控制用户手机(特别是在手机root情况下),进而控制更多的用户隐私信息(如短信内容、通话记录、地理位置等隐私信息)来精确了解用户群体,实施更加精准的攻击。

      支付类病毒作为危害程度最大的木马病毒之一,主要通过短信内嵌恶意网址的形式进行传播,这类病毒通常会窃取用户短信验证码,并结合其他非法渠道获得的个人隐私信息完成转账,造成用户财产损失。据腾讯移动安全实验室数据显示,2017年新增支付类病毒包9.27万个,感染用户数254万,相较2016年虽有所下降,但手机支付安全仍然面临巨大挑战。

5. 国家层面加快信息安全、网络安全等方面立法进程

      近年来,以电信网络诈骗犯罪为代表的信息安全事件持续多发,隐私泄露方式复杂隐蔽,构建完善的信息安全保障体系迫在眉睫。12月24日,全国人大常委会建议通过加快个人信息保护法立法进程、加大打击力度等方式,进一步加大用户个人信息保护力度,加快完善网络安全法配套法规规章,加快《关键信息基础设施安全保护条例》《网络安全等级保护条例》的立法进程

      这意味着国家层面通过加快立法进程、加大监督检查力度、加大打击力度等方式,进一步加大用户个人信息保护力度。

 

第八章 安全专家建议

      2017年,基于Android手机严峻的安全形势,腾讯移动安全实验室专家对此提出如下建议:

1. 通过正规安全的渠道下载官方版支付、工具、游戏等手机应用。纵观各类病毒木马的传播渠道,多在手机资源网站、论坛、恶意广告推广等渠道传播扩散,其中通过手机资源站传播的手机病毒占比达到23.53%。建议从官方网站或正规应用市场下载安装应用,最大限度的保证下载应用的安全性。

2.增强对恶意软件的识别能力,谨慎下载安装各类破解以及盗版应用。恶意软件经常伪装成游戏类、色情类等应用,或通过重打包流行应用诱导用户下载,软件名通常带有外挂、破解、刷钻、神器、免费等字眼,诱导用户下载安装;安装包一般较小,通常为几百kb;勒索软件通常会诱导激活设备管理器,在安装和使用时需要留意。

3. 保护个人隐私信息,不轻易向他人透露个人信息。保护个人账号、密码、身份证信息等关键个人隐私信息。养成良好的习惯,丢弃含有个人信息的机票、车票或快递单据前先做相应的信息涂抹处理。大数据时代下,谨防各类应用获取越界权限;谨防来历不明的恶意软件窃取隐私,2017年手机病毒类型中,9.65%的病毒属于窃取隐私型。

4. 移动支付需谨慎,避免在不明网络环境下进行移动支付。在连接公共网络时,不随意进行移动支付,以免支付账号密码等信息被窃取。静态二维码容易被不法分子掉包或嵌入木马病毒,扫描支付时要谨慎,如情况允许,尽量选择让商家扫描用户的动态二维码。

5.及时更新手机应用版本和手机安全软件。利用安卓系统的漏洞获取权限进行攻击的病毒越来越多,低版本安卓用户存在的大量已知高危漏洞面临更严峻的安全风险,及时更新手机系统有助于修补漏洞,避免已知漏洞被恶意应用。病毒各功能高度模块化,且功能模块由云端控制下发更新,同时与其他应用配合更新自身,保证应用进程长期处于活跃状态,建议以日为周期更新杀毒引擎病毒库,并开启云查杀功能。针对最新流行且难以清除的病毒或者漏洞,可下载专杀工具及时查杀或修复。同时开启腾讯手机管家骚扰拦截功能,可有效拦截诈骗电话、短信,提升手机安全。

 

 

关于腾讯安全实验室

腾讯移动安全实验室:基于腾讯手机管家产品服务,通过终端安全平台、网络安全平台和硬件安全平台为移动产业打造云管端全方位的安全解决方案。其中腾讯御安全专注于为个人和企业移动应用开发者,提供全面的应用安全服务。

腾讯安全反诈骗实验室:汇聚国际最顶尖白帽黑客和多位腾讯专家级大数据人才,专注反诈骗技术和安全攻防体系研究。反诈骗实验室拥有全球最大安全云数据库并服务99%中国网民。

 

腾讯移动安全实验室2018年1月11日

版权声明:本报告中凡注明来源于“腾讯手机管家”等一切图表数据及研究分析结论均属于腾讯公司版权所有,如需转载或摘编,敬请注明出处。