2012年9月，基于腾讯手机管家安全产品服务的腾讯移动安全实验室一共截获30501个病毒软件包，Android平台截获29194个，占据病毒总数96% 的比例;Symbian平台截获1370个。

　　2012年9月份以来，Android病毒软件包总数进一步增长，环比增长11.6%，相对于8月份43%的增长率，Android病毒软件包增势开始放缓。但Android病毒软件包的数量仍然然呈现出持续大规模的增长态势。

　　在Android平台，资费消耗、恶意扣费、隐私窃取类病毒进一步发展并呈现新的特征，许多手机新型病毒同时存在恶意扣费与隐私窃取的病毒特征，扣费与窃取隐私于无形之中。比如9月腾讯手机管家查杀的黑暗骑士手机病毒伪装成凤凰新闻网、91手机助手、前程无忧客户端等共80多款知名软件，会私自定制SP业务实施扣费，同时联网窃取用户隐私，波及用户多达70多万。

　　另外，9月份腾讯移动安全实验室截获一款名为隐私蛔虫(a.privacy.laucass)手机病毒，可以收集手机上的所有图片、音乐、视频等强隐私内容，在短短5天内感染了20万用户，危害极大。

　　Android手机病毒紧盯用户钱袋追求快速盈利的趋势未减，表现为9月份以来Android平台的恶意扣费类病毒呈现上升势头，早在7月份腾讯手机管家首家查杀并曝光的“伪画皮”Andriod病毒，在9月份“伪画皮2”却又卷土重来，该病毒模拟扣费接口疯狂吸金，感染了如酷狗音乐、搜狗输入法等20多款知名软件，导致大量用户资费被扣。

　　9月份以来，Symbian系统手机用户不断向Android与iOS系统用户转化，导致Symbian系统衰落的趋势进一步加剧，这个月来，Symbian手机病毒发展进一步趋缓，9月腾讯移动安全实验截获的Symbian病毒软件仅为1370个，环比下降8%。Symbian手机病毒发展趋势呈现出稳定固化与缓慢下降的特征，但Symbian制毒者与制毒机构针对Symbian系统投毒的稳定特征并未改变，因此依然需要引起一定程度的重视。

　　一、Android系统平台病毒特点

　　1.1主要特点

　　9月份月以来，相对上月，Android手机病毒的占比情况呈现出更加均衡化发展的特征。资费消耗类病毒占比29%，位居第一位，但相对上月，所占比例已大幅减少。9月份，诱骗欺诈与隐私窃取类病毒分别占据24%与21%的比例。另外，恶意扣费类病毒占比13%，远程控制与系统破坏类病毒分别占比10%与3%。

　　隐私窃取类病毒在9月份呈现出鲜明的特征：病毒安装后窃取用户短信、联系人、手机固件、GPS、甚至伪装成系统软件偷偷录音收集手机用户图片、音乐、视频等重要私密信息，同时造成大量资费消耗。与此同时，隐私窃取类病毒开始具备针对特定区域病毒进行感染的特征，比如隐私蛔虫集中在广东、江苏、辽宁、北京率先蔓延，感染了20多万用户。

　　Android资费消耗类病毒特征表现为，往往未经允许通过偷偷下载安装包，无提示私自下载推广软件、修改浏览器书签消耗大量资费，或者隐私窃取类病毒通过将隐私不断的上传到指定的服务器而消耗大量资费。

　　远程监控类病毒往往通过开机强制启动，从远端服务器自动下载恶意脚本代码等行为消耗用户流量;恶意扣费类病毒在这个月开始卷土重来，这类病毒通过在后台模拟点击中国移动MobileMarket的扣费接口，让用户不知不觉被扣费。

　　资费消耗类病毒往往体现为病毒安装后，通过私自联网、私自下载恶意插件、安装恶意子包的过程的消耗大量手机用户资费，同时，在隐私窃取类、远程控制类病毒当中，通过在联网或者在从远端服务器下载恶意脚本的过程中，大肆消耗用户资费，资费消耗类病毒特征往往体现在所有的病毒行为之中。

图1：2012年9月Android病毒类型分布图

　　1.2典型病毒

　　以下是2012年9月在Android平台发现的一些较为典型的病毒：

　　a.payment.MMarketPay.b.[伪画皮2]

　　该病毒能通过偷偷切换APN为CMWAP，然后后台模拟点击中国移动MobileMarket的扣费接口并验证，并拦截扣费的回执短信，让用户不知不觉被扣费。

　　a.rogue.smszombie.b

　　该病毒诱导用户安装恶意子包，不断重复弹出安装页面，具有监控用户收件箱、插入恶意短信、私自发送和拦截短信的行为，同时诱导用户激活设备管理器，使用户无法正常卸载。

　　a.privacy.laucass.[隐私蛔虫]

　　该病毒伪装成系统软件骗取用户安装，启动后可能会发送短信、彩信,获取GPS地理位置、偷偷录音、并收集手机上的所有图片、音乐、视频等内容信息，可能会给您的手机安全造成一定的威胁。

　　a.expense.apkquq.b

　　该病毒安装后，未经用户允许私自下载未知安装包，消耗用户流量，给用户造成资费消耗。

　　a.fraud.nduoa

　　该软件曾被较多用户投诉其伪装为Android应用市场类软件诱骗用户更新，对软件内容请仔细辨别，谨慎使用

　　a.privacy.unisms

　　该病毒安装后，窃取用户短信信息、GPS位置信息、联系人信息、手机固件信息，同时上传到指定服务器，同时发送短信到指定号码，给用户造成资费消耗和隐私泄露。

　　a.privacy.mimijk

　　该软件安装后，可以作为其它手机的远程控制端，拥有获取其它手机通话记录和GPS地理位置的功能，可能给他人的隐私造成风险，请谨慎使用。

　　a.expense.g3app.a

　　该病毒捆绑在热门应用中，植入恶意推广广告，无提示私自建立推广快捷方式，修改浏览器书签，同时存在无提示私自下载推广软件的行为，给用户造成资费消耗。

　　a.expense.fakeFlashPlayer

　　该病毒伪装成flashPlayer欺骗用户安装，病毒被安装后会监听您的短信信息，并会私自发送短信、删除短信，可能给您的手机造成一定的威胁。

　　a.expense.mdk.c

　　该病毒安装后，开机强制启动，从远端服务器自动下载恶意脚本代码，私自下载未知应用程序安装包，消耗用户流量，给用户造成资费消耗。

　　二、Symbian系统平台病毒特点

　　2.1主要特点

　　这个月以来，Symbian系统共截获1370个病毒软件包，其中，资费消耗类病毒占据30%的比例，位居第一，系统破坏与诱骗欺诈类病毒分别占比26%与25%，隐私破坏与恶意扣费分别占据12%与7%的比例。综合今年Symbian系统的病毒特征可知，Symbian系统手机病毒类型分布基本趋于稳定，资费消耗、隐私获取、诱骗欺诈这三种常态传统的病毒类型在Symbian系统一直是主要病毒类型。

　　在Symbian系统，9月份的病毒特征是，在病毒安装激活后，会静默安装恶意插件，消耗流量的同时，破坏系统资源并影响其他软件的运行，而诱骗安装、私自联网、泄露用户隐私同时私发短信，并且分区域定制SP收费业务也成为Symbian病毒这个月非常明显的特征。

　　Symbian系统平台在9月份呈现持续衰落趋势，制毒者或制毒机构逐步缓慢降低对Symbian系统的病毒投放权重，由于制毒者或制毒机构的趋利性，隐私保护与恶意扣费类病毒开始呈缓慢上升趋势，隐私窃取类病毒进一步发展，从窃取手机用户地理位置到开始收集用户短信、照片等重要隐私，也因此导致在Symbian平台病毒种类从三分天下的稳定特征走向均衡性与多元化的趋势与发展格局。

图2：2012年9月Symbian病毒类型分布图

　　2.2典型病毒

　　以下是2012年9月在Symbian平台发现的一些较为典型的病毒：

　　Symbian典型病毒：

　　s.expense.mwcqsvr

　　该病毒自激活后常驻后台私自联网，并静默安装一款无法手动卸载的恶意插件，无法完全关闭，占用系统资源，可能影响手机和其他软件的正常使用。

　　s.privacy.patch.a

　　该病毒安装后无图标生成，自激活后私自联网，有可能泄露用户隐私;私发短信，可能定制SP收费业务;占用大量系统资源，影响手机和其他软件的正常运行。

　　s.expense.album.c

　　该病毒安装后无图标生成，无提示私自联网，静默安装其他恶意插件;占用大量系统资源，无法完全关闭，可能影响手机和其他软件的正常运行。

　　三、9月重点关注的手机病毒

　　3.1 “隐私蛔虫”病毒(Android平台)

　　9月下旬，腾讯手机管家首家截获了一款名为隐私蛔虫(a.privacy.laucass)手机病毒，该款隐私获取类病毒已经不再满足于上传手机固件信息、手机位置信息等弱隐私信息，而是上传视频和照片等强隐私信息。

　　该病毒以android system为名诱导用户下载，一旦用户安装成功，便潜伏在手机后台，该病毒启动后会获取GPS地理位置、偷偷录音、并收集手机上的通话记录、图片、音乐、视频等强隐私内容，可能让用户遭遇艳照门、商业机密泄露、诈骗等各类危害用户生活的问题。传播感染速度极快，该病毒仅用5天时间就感染了20万人，已经在无安全检测的电子市场和手机论坛大肆传播，主要感染了如酷狗音乐、搜狗输入法等20多款知名软件。目前腾讯手机管家已经独家查杀。

　　3.2 “伪画皮2”病毒

　　早在7月份，腾讯移动安全实验室曝光了“伪画皮”Andriod病毒，该病毒可以模拟扣费接口疯狂吸金，导致了10万手机用户感染。两个月过去了，“伪画皮”病毒却再一次卷土重来。9月，腾讯移动安全实验室又截获了伪画皮2(a.payment.MMarketPay.b)，伪画皮2病毒依靠捆绑在热门正常应用中传播，从而起到很好的伪装和欺骗效果。目前，有20多款知名Android软件被感染，比如，酷狗音乐、搜狗输入法、中华万年历等，预计感染的软件数量仍将不断增长。

　　伪画皮2 会通过偷偷切换APN为CMWAP，然后后台模拟点击扣费接口并验证，然后拦截扣费的运营商回执短信，让用户不知不觉被扣费。病毒扣费手法高端，能自主完成一系列的验证以及扣费操作。

　　另外，该病毒可能将图片发送给远程服务器分析验证码，并将其发送到M-market网站，用户在下载应用时，可能就会莫名其妙的为这些应用付费。

　　手机病毒区域分布

　　进入2012年9月以来，手机病毒迅猛增势稍有减弱，但Android手机中毒用户的区域分布并没有太大的变化，前五的排名依次是广东、浙江、江苏、北京、辽宁。广东占比15.81%，依旧毫无悬念的雄踞榜首，与8月份相比，浙江中毒手机用户占比8.14%，环比上升1.56%，排名第二，相对应的，江苏省下降一位，占比7.69%。江苏浙江两省的比例达到16.12%，两省之和再次超过广东省的中毒手机用户数。在Android平台，前5省的手机中毒用户占据了全国中毒手机的44%的比例;前15省的中毒手机比例则达到全国的77.88%。

　　Android系统平台的第三方应用商店的审核机制尚不完善，这反过来促使手机病毒向特定区域集中与加速。在广东、江浙、北京等经济发达省份与直辖市，许多唯利是图的手机厂商也开始与不法SP合作，导致预装恶意软件变得进一步泛滥，这个产业的黑色双赢产业链由于利益关系变得更加稳固。刷机产业与需求在这些地区同样兴盛，制毒者或者制毒机构利用刷机渠道内置病毒变得更加普遍。

　　制毒者与制毒机构通过各种渠道收集手机用户隐私，这些隐私被用来打包贩卖或用于盈利，对于制毒者与制毒机构而言，各种隐私贩卖途径也正在加速扩展。而最大化的追求利润是制毒者或制毒机构的主要目标，这同时决定着手机病毒的区域投放类型，在Android系统，北京、江苏、浙江与广东等省份或直辖市，经济发达，资费消耗类病毒占据主流;而在辽宁、四川、湖北、福建等经济发展地区，隐私窃取、恶意扣费类病毒迅速增长。

　　与此同时，北京、辽宁、江苏、四川等直辖市与省份是Symbian、Android手机中毒用户均集中分布的区域。在这些地区，Symbian、Andorid手机用户均大规模存在，同样也处于换机大潮的核心区域，但这些地区从Symbian转化到Android系统的新兴智能机用户增长较快，新兴用户缺乏手机病毒防御措施，手机中毒的几率较高;而另一方面，这些地区Symbian中老年忠实用户却更加稳定，比重也较大，加之中老年用户群体手机安全意识相对淡薄，这促使这些区域的Symbian用户手机中毒比例占据着较大的用户比重。

　　在symbian系统，广东省中毒手机占比11.01%，业内知名，排名前五的省份与直辖市依次是广东省、浙江省、辽宁省、北京市、江苏省。在Symbian平台，广东省虽依旧处于第一位，但是占据比例低于Android系统，并呈现缓慢下降的趋势，原因在于，广东省是智能手机用户大省，同时也处于Symbian用户换机大潮的前沿阵地，加之作为华南地区最大的电子产品集散中心区域，广东省的Symbian用户向Android系统用户转化正在加速。

图3：2012年9月前15名手机病毒主要分布区域(数据来源：腾讯移动安全实验室)

　　五、传播渠道来源分析

　　电子市场作为用户下载软件的第一大来源。同时也是第一大手机病毒传播渠道，但目前电子市场的传播渠道正在削弱，这主要是因为手机病毒的传播方式趋向多样化，病毒来源渠道的比重趋向均衡化。

　　目前，电子市场与手机论坛各占24%的比例，处于持平，但相对而言，电子市场所占比例正在降低，与此同时，Rom内置、网盘传播、软件捆绑等正成为手机病毒传播的重要渠道，而目前，软件捆绑已经占据了17%的比例，制毒者与制毒机构的病毒攻击技术手段不断提升，通过一个病毒多次打包捆绑海量应用程序的趋势更加明显，手机病毒捆绑热门软件的趋势也已经呈现常态化。

　　随着应用市场的安全检测合作进一步推进，目前Android各大主流电子市场的安全状况有所改善，但与此同时，厂商内置电子市场成为一个安全盲点。由于目前智能机新手在手机厂商内置电子市场下载软件变得普遍，同时缺乏对手机病毒的防御心理，加之厂商内置应用市场安全检测率低，感染手机病毒的情况正在加剧。更多的制毒者强化了该渠道的手机病毒投放数量，比如模拟运营商电子市场扣费接口的“伪画皮”手机病毒卷土重来就是例证。厂商内置电子市场的传播渠道正逐步被制毒者与制毒机构加大投放权重，因此电子市场依然是主要病毒传播渠道之一。

　　手机论坛的比例与电子市场再次持平，Android智能机用户开发烧友进一步增多，各大手机论坛的软件资源共享变得更加活跃，但手机论坛缺乏病毒检测技术与手段致使病毒泛滥趋势并未得到有效遏制，而网盘捆绑论坛提供下载链接的传播方式也进一步普及，随着手机病毒家族成群发展，制毒者与制毒机构的病毒攻击技术手段快速提升，通过一个病毒多次打包捆绑海量应用程序，通过多渠道发布快速感染海量用户群成为当前手机病毒的一大特点。软件捆绑渠道的手机用户中毒现象也十分突出，占据17%的高比例。

　　随着移动互联网的趋势进一步发展，恶意软件向Android 平台的迁移的速度正在加快，在水货市场，ROM制作者可以通过内置大量应用并对UI 进行定制来满足用户的差异化需求，但在利益驱使下，往往也在集成过程中存在预装病毒软件的情况。而目前，ROM刷机包的隐患进一步增大。

图4：2012年9月手机病毒主要传播渠道来源比例

　　1. 电子市场：病毒企图绕开电子市场的安全检测系统在审核上线之前被截获、又或者是通过一些没有接入安全检测的电子市场进行传播，占24%;

　　2. 手机论坛：通过上传论坛附件或提供下载网络硬盘下载地址方式，占24%;

　　3. 软件捆绑：热门软件尤其是游戏软件经常包含病毒或者远程下载，占17%;

　　4. 手机资源站：通过录入或开设手机下载WEB/WAP资源站点，提供直接的软件下载地址，占15%;

　　5. 网盘传播：通过网盘捆绑手机论坛提供下载链接;占10%;

　　6. ROM系统内置：rom制作者因为利益的驱动在rom里预装病毒软件，占7%;

　　7. 微博、博客与其他：通过发博客、微博附带下载地址链接，以及其他互联网形式的自助发布渠道或合作平台，占3%;

　　六、专家建议

　　目前手机应用的激增，手机病毒捆绑正常应用进行传播已经常态化，用户最好不从来历不明的渠道购买手机，尤其是山寨机和水货手机。这些手机是目前滋养吸费陷阱的大温床，具备先期植入各类病毒、木马、流氓软件的可能与条件。

　　而用户也应该养成从正规渠道下载手机应用的良好习惯。由于目前厂商内置电子市场成为监管的盲区与薄弱点，对于电子市场下载渠道，用户应去知名的具备相关安全检测能力的应用市场下载软件，比如，腾讯手机管家PC版、应用宝等，这些应用均经过腾讯手机管家的安全检测，可确保下载安全。与此同时，应用商店、手机论坛等依然是手机病毒传播的主要渠道，对于论坛网盘分享的诱惑性的情色软件应持谨慎态度;论坛下载软件之前，应选择安装口碑相对较好、评价较高的手机安全软件，进行有效的在线检测与查杀扫描，如此则可以在一定程度上规避风险;

　　9月份以来，捆绑热门软件二次打包的手机病毒又开始呈现大规模爆发的态势，伪装类病毒与隐私窃取类病毒进一步多元化，广告推广类手机病毒泛滥加剧，基于此，手机用户应留意安装软件的权限，比如用户通过腾讯手机管家等相关安全软件的功能操作禁止某些软件的联网与访问隐私的权限。

　　目前手机支付类病毒也开始浮出水面，由于制毒者与制毒机构的趋利性特征，此类病毒极有可以能会在将来迎来大爆发，因此手机用户应养成良好的使用习惯，用户可以下载如腾讯手机管家一类的手机安全软件，对支付类软件包进行官方认证，确保下载官方正版的手机银行客户端，并升级最新病毒库并开启全盘扫描，定期给手机进行体检和病毒查杀、及时更新病毒库，抵御手机病毒侵害自身利益。目前而言，用户还可以关注@腾讯移动安全实验室微博以及相关的“恶意软件曝光”行动，对手机安全资讯做到全面把握和掌控。

　　腾讯手机管家官方网站：http://msm.qq.com

　　腾讯手机管家腾讯微博：http://t.qq.com/qqsecure

　　腾讯手机管家新浪微博：http://weibo.com/qqmanager

　　腾讯移动安全实验室官方微博：http://t.qq.com/QQSecurityLab

　　腾讯移动安全实验室

　　2012年10月16日