腾讯移动安全实验室2013年2月手机安全报告

　　腾讯移动安全实验室2013年2月手机安全报告

　　2013年2月，腾讯移动安全实验室共截获手机病毒包总数为18141个，其中Android截获的病毒样本包总数为：17098个，Android系统病毒包数占据了病毒包总数的94%;Symbian系统截获的病毒样本包总数为1043个。相对于2013年1月，Android、Symbian系统截获的手机病毒样本包总数均呈现小幅下降的趋势。

　　2013年2月，恶意扣费类、偷跑流量类与ROM内置病毒激增，引起腾讯移动安全实验室的强烈关注。许多工具类应用开始通过ROM渠道大肆泛滥传播。比如腾讯手机管家查杀的一款名为字体恶魔(a.expense.fontmaster)的病毒，该病毒感染了常见的Android字体软件——安卓字体大师等数百款应用，其中该病毒在ROM内和ROM外的感染比例各占50%，感染人数目前已经高达12万。

　　2013年2月，资费消耗类病毒呈现前所未有的暴增趋势，达到86.60%的比例。腾讯移动安全实验室专家表示，2月期间，由于手机用户坐车、旅游、探亲等因素，手机用户使用手机频率远高于平时，偷跑流量、恶意扣费类手机病毒更容易在用户频繁下载软件与激活的时候触发病毒攻击，加之制毒者的逐利惯性驱动并通过优化病毒的投放资源配置与攻击方式，使得资费消耗类病毒也在这这种趋势下突飞暴涨。

　　2013年2月，排名前十的偷跑流量类病毒感染手机用户数超过78.7万;排名前十的恶意扣费类病毒感染用户数超过32.4万;排名前十的ROM病毒(又称“系统内置病毒“)感染的总用户数超过了92.6万人次。

　　2013年以来，随着隐私信息的价值彰显，隐私窃取类病毒快速繁殖并进一步疯狂席卷感染手机用户。2013年以来，腾讯手机管家查杀了“隐私蛔虫”、“集私虫”以及“红警2世界联盟”、“爱聊安卓版”、“重庆小面”等众多高危隐私窃取类手机病毒或恶意软件。恶意软件正大肆全方位抓取手机用户隐私，手机隐私泄漏风险变得更加严峻。

　　2013年2月，全国的腾讯手机管家用户ROM病毒查出次数占据总病毒查出次数11.26%的比例，广东省手机ROM染毒的手机用户占全国比例达到21.05%。

　　在Android系统，全国中毒区域省份方面，广东、江苏、河南、四川、浙江分别以占全国12.55%、6.11%、5.67%、5.19%、5.12%的比例位居前五。

　　第一章 水货手机泛滥 ROM中毒激增

　　2013年，水货手机泛滥导致ROM病毒(又称“系统内置病毒“)激增成为一个十分突出的现象。2013年2月，许多问题水货手机都被植入恶意软件，手机用户因此被暗扣手机话费，流量被无故消耗。这些问题使消费者得不偿失并侵犯了消费者的知情权。许多用户购买水货手机之前，该手机就有可能已经在消费者不知情的情况下被某些非法的水货手机商刷机并植入恶意软件。

　　2013年2月，水货手机内置恶意扣费病毒暗扣话费、窃取隐私渐成公害。据腾讯移动安全实验室监测，2013年2月，春节期间的手机购买需求推动了水货手机出货量大增，水货手机销售市场空前繁荣，导致ROM病毒感染的用户数大幅增长，ROM内病毒渠道占据11.26%的比例。

　　基于ROM病毒的迅猛增长，腾讯手机管家检测并曝光了2月份感染用户最多的十大ROM病毒，按照排名从高到低依次分别为：a.expense.dpn、a.expense.jxkj、 a.expense.cc、a.privacy.counterclank、a.privacy.fakePowerAlarm、a.payment.fakegooglemap.[伪谷歌地图]、a.payment.MMarketPay.b.[伪画皮2]、a.payment.kituri.a、a.payment.kituri.a、a.expense.lunar。

　　据腾讯移动安全实验室监测：排名前十的ROM病毒感染的总用户数达到了926628人次。感染用户最多的ROM病毒为a.expense.dpn，感染用户数超过23.9万，病毒查杀次数达到8.7万。排名第二、三的ROM病毒a.expense.jxkj、a.expense.cc感染用户数均已经超过8.5万人次。而从感染用户最多的这十大ROM病毒特征可知，在用户并不知情的情况下，偷跑流量，扣费、窃取隐私是ROM病毒带来的主要危害。

　　(以下示例病毒是被病毒开发者植入的二次打包界面，原官方包没有被植入病毒)

　　前十大ROM病毒感染的热门软件包括主要的两类：1. 被二次打包或伪装的系统应用：Adobe Flash Player、Google Maps、SystemService;2. 被二次打包的知名应用：酷我音乐、新浪游戏中心、海豚浏览器、天气通、易购、盛付通、薄荷时尚、操盘手主力版、京东商城、掌上1号店、安卓软件架。

　　ROM病毒蔓延省份又呈现什么样的规律?据腾讯移动安全实验室监测，2013年2月，ROM病毒感染手机用户占全国比例排名前十的省份分别为：广东(21.05%)、江苏(6.70%)、河南(6.57%)、北京(5.50%)、浙江(5.08%)、河北(4.57%)、四川(4.23%)、山东(4.10%)、福建(4.07%)、广西(3.57%)。

　　统计可知，ROM感染病毒最多的前十大手机中毒省份占全国比例已超过65.4%，其中，广东省手机ROM染毒的手机用户占全国比例达到21.05%，远高于其他省份。广东、江苏、河南、北京、浙江五个省份各省ROM中毒占全国比例均已经超过5%。

　　在所有ROM来源渠道中，其中不法水货商家内置、用户自主刷机等渠道是ROM病毒感染的主要来源，其中，不法水货商家植入ROM病毒就占据91.7%的比例。由于ROM病毒的染毒主要来源是不法水货商家内置与用户自主刷机等渠道，因此ROM中毒手机用户的地区基本上来自国内智能机水货市场与刷机市场发达的省份与区域。

　　国内少部分不法水货商家基于商业目的，往往会在水货手机中植入各种恶意软件或病毒，用于收集用户隐私或偷偷恶意扣费、推广软件，他们通过与第三方ROM制作商、恶意软件开发者等合作，刷入恶意ROM包或植入恶意软件，这些软件一旦被内置入手机内，它们就会在后台偷偷跑流量或者恶意吸费等。

　　不法水货商家与不法ROM制作者通过植入恶意软件的非法行为谋取暴利，同时也吸引了大批的恶意软件开发者参与。另一方面，深圳、广州都是国内最大的水货手机市场的集散地，在广东省，水货手机出货量高出行货2、3倍，水货市场繁荣推动广东ROM病毒迅猛增长。

　　腾讯移动安全实验室专家建议：水货手机用户应及时获取root权限，使用腾讯手机管家之类的手机安全软件定期进行手机病毒扫描，可有效查杀ROM内置病毒;或者重新刷入厂商官方发布的干净ROM系统，并第一时间安装手机安全软件。

　　感染ROM病毒最多的水货机型排名

　　基于水货手机出货量大，ROM病毒泛滥，消费者应该如何选择并避免问题水货手机?腾讯移动安全实验室为此也整理了最易中招的水货手机机型。据腾讯移动安全实验室监测，2013年2月，感染ROM病毒排名前十的机型分别是：GT-I5508、GT-I9100、GT-S5830i、GT-N7000、Incredible S、GT-I9300、Desire S、GT-S5830、Y210-2010、SAGA A720。这十款机型的水货手机机型感染ROM病毒的用户共达到了19.6万人次。感染用户数分别超过2万的水货机型有4款，分别为GT-I5508、GT-I9100、GT-S5830i、GT-N7000。其中GT-I5508这款机型感染用户超3万人，排名第一，这款机型感染的ROM病毒主要有a.payment.lemei.[彩信魅影]和a.privacy.fakegooglemap.[伪谷歌地图]等。值得一提的是，a.privacy.fakegooglemap.[伪谷歌地图]几乎成为水货机型内置ROM病毒中招率最高的病毒，排名前十的机型中有6款机型都包含这款病毒。

　　基于ROM病毒泛滥的趋势，手机用户需要全面提升手机安全意识，尽量从正规渠道购买手机，选择正规的刷机渠道刷机，安装像腾讯手机管家之类的手机安全软件，根据需要获取root权限，及时升级病毒库并有效查杀ROM病毒。

　　第二章 隐私窃取类病毒快速繁殖

　　随着智能手机快速发展，恶意软件肆意抓取用户隐私现象正在进一步泛滥。在2012年年末，腾讯移动安全实验室就检测曝光了十大典型与高危隐私窃取类病毒，这十大病毒感染用户总数达到了169万。2012年十大隐私窃取类病毒，平均单个病毒感染人数接近17万，从IMEI、IMSI号到手机通讯录、短信、地理位置，全方位窃取用户隐私，2013年以来，随着隐私信息的价值彰显，隐私窃取类病毒快速繁殖并进一步疯狂席卷感染手机用户。

　　2013年2月，腾讯手机管家查杀了众多高危隐私窃取类病毒或恶意软件。据腾讯移动安全实验室监测，在Android系统，2月份的隐私窃取类病毒达到了19.6%的比例，位居病毒行为类型比例第二。2013年以来，腾讯手机管家查杀的重点隐私窃取类病毒主要有：“隐私蛔虫”、“集私虫”等隐私窃取类病毒，以及“红警2世界联盟”、“爱聊安卓版”、“重庆小面”等隐私窃取类恶意软件。其中，“隐私蛔虫”病毒以android system为名诱导用户下载，启动后可能会发送短信、彩信获取GPS地理位置、偷偷录音、并收集手机上的所有图片、音乐、视频等隐私内容，给手机造成一定的隐私泄漏风险。

　　2013年以来，腾讯移动安全实验室还截获一款名为“集私虫”的病毒，据腾讯移动安全实验室工程师监测，该病毒伪装成系统软件，安装后无图标显示，强制开机启动并在后台收集用户短信等私人信息上传到远程服务器，该病毒感染用户正在迅速增长。

　　据腾讯移动安全实验室监测，“红警2世界联盟”在安装后会获取手机号码、通讯录、邮箱地址等隐私信息，可造成用户隐私的全面泄漏。

　　腾讯手机管家查杀的“爱聊安卓版”隐私窃取类恶意软件则可以在注册时会要求用户填写手机号、密码后，不提示即发送一条短信消耗用户短信费，并把手机号、IMEI、IMSI、手机系统版本等内容上传到服务器。

　　据腾讯移动安全实验室监测，腾讯手机管家查杀的“重庆小面”这款恶意软件不仅可以收集用户地理信息、手机型号、操作系统版本以及时区，还获得了录音和读取联系人的权限。

　　可以看出，制毒者或制毒机构通过综合各种手段拓宽隐私窃取类病毒的投放渠道与优化病毒感染方式，使得隐私窃取类病毒监控用户短信收件箱、通话记录、GPS位置信息，拦截指定内容短信等一系列自主操作已变得更加流畅与智能化，多元化特征明显，对手机用户的核心利益威胁越来越大。使得隐私窃取类病毒的智能化与伪装性越来越强。

　　据腾讯移动安全实验室监测统计，隐私窃取类病毒可窃取的隐私项目共包括以下类别：IMEI、IMSI 号、短信记录、通话录音、通话记录、上网记录、浏览器收藏夹、APP产品的用户记录(如聊天软件的聊天记录)、照片、视频、电话本、用户自己的号码、位置、银行卡信息等类别。而本机号码、通讯录、短信、账号密码、地理位置等核心隐私成恶意软件的重点窃取目标。恶意软件肆意全方位抓取手机隐私现象正在侵袭广大手机用户，个人与商业隐私岌岌可危。

　　2012年，腾讯手机管家率先在行业内推出隐私保护理念，并推出全方位的隐私保护功能，并积极打造2012手机隐私保护年。随着手机用户隐私保护意识的逐渐崛起，隐私保护已上升为基本的安全需求甚至已成为手机安全的重要组成部分。2012年，腾讯手机管家已与10多家安全厂商、超过20家电子市场、各大运营商、以及多家手机厂商等携手建立了腾讯移动安全产业链，为手机用户隐私等各方面的安全初步建立了完整的产业链保护体系，整个移动安全产业链深度合作也必然成为今后手机安全发展的大方向。

　　腾讯移动全实验室专家提醒，各手机用户应多留意各软件的权限，一般来说，许多恶意软件的过度隐私权限的要求，腾讯手机管家都会弹窗提醒用户注意，若有莫名的敏感隐私权限要求，用户应及时拒绝，保护手机隐私。

　　第三章 手机病毒恶意扣费快速席卷用户

　　近年来，随着智能手机的蓬勃发展，手机病毒扣费令用户防不胜防，却又维权无门。如何揪出“作恶者”，维护自身权益，成为手机用户当前迫切需要解决的手机消费的利益问题。

　　2013年2月，通过在正常软件植入恶意扣费代码二次打包直接扣取用户手机资费已成为制毒者最为快捷有效的非法盈利方式。而手机用户往往在不知不觉中手机资费被扣，但又抓不到“作恶者”，让用户心头痛恨但又防不胜防。

　　据腾讯移动安全实验室监测，截至2013年2月份，恶意扣费类病毒持续快速增长，腾讯手机管家2月共截获的恶意扣费类病毒包31938个，在2月份，排名前十的恶意扣费类病毒感染用户数超过32.4万。其中排名首位的扣费类病毒为a.payment.fakegooglemap.[伪谷歌地图]，感染用户数近7.6万人。

　　由下图所示：感染手机用户排名前十的病毒的恶意扣费类病毒依次分别为:a.payment.fakegooglemap.[伪谷歌地图]、a.payment.MMarketPay.b.[伪画皮2]、a.payment.lemei.[彩信魅影]、a.payment.kituri.[隐私飓风]、 a.payment.dg.a.[系统杀手];、a.payment.daemon、a.payment.deviceadmin、a.payment.bingo、A.payment.staservice、a.payment.fakekoogame.a

　　其中，排名前五的病毒伪谷歌地图、伪画皮2、彩信魅影、隐私飓风、系统杀手五大病毒感染的用户数分别为：7.6万、7.5万、6.5万、4.3万、4万。

　　恶意扣费类病毒通过捆绑热门或系统软件二次打包批量复制，使得许多热门软件纷纷被感染，其中，伪谷歌地图感染了Google Maps、SystemService等系统软件、而伪画皮2感染了安卓市场、中华万年历等知名软件等。

　　(以下示例病毒是被病毒开发者植入的二次打包界面，原官方包没有被植入病毒)

　　据腾讯移动安全实验室专家监测，由于制毒者通过批量复制快速打包，多渠道投放的方式使得许多恶意扣费类病毒“残余势力”并未一次性根除，许多臭名昭著的恶意扣费类病毒死灰复燃，在2013年继续蔓延。在2013年2月继续作恶的彩信魅影、隐私飓风、伪画皮2这三大扣费类病毒，也是腾讯手机管家查杀的2012年感染用户数最多的十大扣费类病毒之三，这三大病毒在2012年全年感染用户数依次达到：78.3万人次、44.6万人次、23.2万人次，分别位列2012年十大扣费类病毒第一、第二、第四位。

　　据腾讯移动安全实验室统计，扣费类病毒有短彩信扣费、IVR扣费、URL扣费三种扣费方式，其中短彩信扣费占比96.6%;另外，IVR扣费占比2%;通过URL扣费占比1.4%。

　　2013年2月份扣费类病毒特征是：伪装成能够通过后台私自联网获取扣费配置，发送短信到增值业务供应商或者通过连接指定的恶意扣费链接的方式，暗中吸取用户的手机话费。或者误导用户授予最高权限，私自在后台发送扣费短信，定制SP业务并自动屏蔽运营商确认短信，让用户不知不觉中被扣费。

　　可以看出，恶意拦截SP业务订购短信，同时未经用户允许私自发送短信确认SP订购业务并自动屏蔽运营商确认短信构成了这些恶意扣费类病毒的共同特征。

　　腾讯移动安全实验室专家建议，如果话费会无故减少，流量突然增加，收不到10086、10010、10000等运营商短信，就应该怀疑是否中了恶意扣费类病毒。对于手机用户而言，应该安装如腾讯手机管家之类的手机安全软件定期给手机进行体检和病毒查杀、开启腾讯手机管家恶意网址监测，及时更新病毒库，确保自身话费不被无声无息“吸走”。

　　第四章 病毒偷跑流量成手机用户重大利益问题

　　消费安全一直是315热门话题之一。手机流量莫名被消耗在近年来屡屡被手机用户提上话题议程，流量无故过快消耗也成为当今手机消费安全领域一个关注热点。许多手机用户资费去向不明但又无从查起，这成为影响今天千万手机用户的重大利益问题。如何防止手机流量“私奔”?消费者又如何掌控手机流量资费的知情权?也成为所有智能机用户的核心利益诉求点之一。

　　据腾讯移动安全实验室监测，偷跑流量在近年来发展成为手机病毒最具备典型性的特征之一，这一特征也几乎体现在所有的恶意软件或手机病毒行为之中。而偷跑流量类病毒更在2012年全年一直居高不下，位居所有的病毒类型之首。在2013年2月，偷跑流量类病毒依旧延续了这种发展势头。2013年2月，排名前十的偷跑流量类病毒感染手机用户数超过78.7万.

　　感染用户排名前十的偷跑流量类病毒分别为a.expense.dpn、a.expense.jxkj、a.expense.cc、a.expense.lunar、a.remote.i22hk、a.expense.aiplay.[扫码巫毒]、a.expense.mdk.b、a.privacy.fakeNetworkSupport.[伪网络组件]。

　　其中，感染用户排名第一的偷跑流量类病毒a.expense.dpn感染手机超过23.9万，酷我音乐等知名软件均被该病毒感染。排名第二、三的偷跑流量类病毒a.expense.jxkj、a.expense.cc感染用户数均已超过8.5万。而排名前三的偷跑流量类病毒也具备“偷跑流量类”病毒的共性：启动后不经用户允许私自联网下载或静默安装推广软件，并通过此种手段消耗用户流量。

　　由图所知，排名前十的偷跑流量类病毒偷取用户流量，一般是通过以下四种方式：一，激活就自动下载或静默安装程序，如感染用户达23.9万 的a.expense.dpn病毒;二，私自联网下载安装推广软件，如感染用户6.8万的a.remote.i22hk病毒;三，从远端服务器私自下载恶意脚本代码，私自下载未知应用程序安装包，比如感染用户超4.9万的a.expense.mdk.b病毒。

　　偷跑流量类病毒往往与隐私窃取类特征并存，伪装性越来越强。伪装系统软件诱骗用户安装、获取root权限也是资费消耗类病毒的一大特征，比如感染了Android_Network等系统软件的a.privacy.fakeNetworkSupport.[伪网络组件]病毒。病毒常伪装成Android系统网络组件骗取用户安装，启动后会私自读取、删除、拦截手机短信信息，并私自下载软件。

　　比如a.payment.fakegooglemap.[伪谷歌地图]，该病毒伪装成Google Map骗取用户安装，会在后台发送短信、拦截短信，读取通信录，该软件感染了Google Maps、SystemService等系统软件。

　　偷跑流量类病毒占据比例大，因此这类病毒往往被制毒者二次打包捆绑在热门软件中，快速传播海量用户。而热门游戏软件如：Angry Birds、植物大战僵尸OL、Cut the Rope;热门生活与工具类软件如：万年历、掌上一号店、安卓软件架、二维码扫描及生成器等热门游戏或必备软件由于用户量大，日均下载量多，制毒者针对这些软件打包可加速病毒传播扩散的速度，快速海量的用户群，实现快速非法盈利的目标，因此容易成为此类病毒二次打包植入恶意代码的重点对象。

　　由图所示：口袋杂志、宠物总动员、捕鱼人生、3D卡丁车、植物大战僵尸OL、Cut the Rope、易购、盛付通、薄荷时尚、万年历、掌上1号店、安卓软件架、Angry Birds、二维码扫描及生成器、极速狂飙、Gold Miner Free等热门软件都纷纷被偷跑流量类病毒感染。

　　(以下示例病毒是被病毒开发者植入的二次打包界面，原官方包没有被植入病毒)

　　腾讯移动安全实验室专家提醒，手机用户不要轻易下载并安装任何来历不明的软件，通过腾讯手机管家监控每日流量变化、做好日常的检测与查毒工作。如果发现手机流量消耗过快，应通过腾讯手机管家联网监控功能监测软件消耗流量情况并及时查杀病毒，确保对流量资费取向的知情权，确保手机流量资费不受损失。

　　第五章 Android系统病毒行为类型比例

　　2013年2月，Android病毒类型比例呈现出一家独大的特征非常明显。在2月Android系统，资费消耗类病毒行为占比40.6%，位居第一;隐私获取类病毒行为占比19.2%;恶意扣费类病毒达到17.2%，位居第三。恶意扣费类病毒首次进入病毒类型比例前三，与2012年全年相比，增长率达72%。另外，诱骗欺诈类病毒行为占比15.4%;系统破坏、远程控制、流氓行为、恶意传播类病毒行为分别占比2.4%、2.1%、2.1%、1.1%

　　腾讯移动安全实验室监测，资费消耗类行为往往并行于其它几种病毒行为中，造成资费消耗类行为一直居高不下。与此同时，在2013年2月，由于手机用户坐车、旅游、探亲等因素影响，手机使用频率远高于平时，偷跑流量、扣费类手机病毒更容易在用户频繁下载软件与激活的时候触发病毒攻击，加之制毒者的逐利惯性驱动并通过优化病毒的投放资源配置与攻击方式，使得资费消耗类病毒也在这这种趋势下快速暴涨。

　　从Android平台的典型病毒看，隐私窃取类病毒行为与资费消耗类病毒行为多集中于一个病毒身上，隐私窃取类病毒特征更加多变，伪装性与权限要求进一步提升，病毒甚至发展到在手机连接PC端时通过感染电脑数据窃取用户隐私，如privacy.mobileAttack病毒。2013年2月份的Android病毒往往通过安装后诱导用户下载恶意软件消耗流量、继而窃取用户隐私，同时还通过申请Root权限，私自下载和安装推广软件，私自发送短信与拦截指定信息、监听隐私回传至服务器等手段造成资费消耗、恶意扣费并窃取隐私。可以看出，Android病毒伪装能力与智能化水平越来越高，新的行为特征与攻击手段正不断涌现。

　　以下是2013年2月Android典型平台发现的一些典型病毒

　　Ø a.privacy.mobileAttack

　　该病毒安装后，私自下载恶意文件，当用户通过手机连接电脑时，感染电脑程序，窃取用户隐私数据，同时获取用户短信息，联系人等隐私信息回传到服务器，造成用户隐私泄漏。

　　Ø a.expense.fontmaster

　　该病毒安装后，申请ROOT权限，未经用户允许私自下载和安装推广软件，同时执行系统文件操作，给用户造成资费消耗。

　　Ø a.expense.isdla

　　该病毒安装后，未经用户允许后台私自下载推广软件，同时伪装成微信消息诱导用户安装推广软件，给用户造成资费消耗和存在诱骗欺诈的行为。

　　Ø a.privacy.SMSMonitor

　　该病毒安装后无图标，开机自启动，私自发送短信，同时监听短信息、获取通话记录、短信息回传到服务器,给用户造成隐私泄漏以及资费消耗。

　　Ø a.fraud.charg

　　该病毒安装后，诱导用户安装恶意子包，该恶意子包具有窃取用户隐私的数据回传到服务器，泄漏用户隐私行为。

　　Ø a.expense.fzbk

　　该病毒伪装成电池补丁，安装后无图标，未经用户允许私自发送短信和拦截指定信息，同时私自修改用户浏览器书签，给用户造成资费消耗。

　　第六章 Symbian系统病毒行为类型比例

　　2012年2月份，Symbian系统继续延续衰落的趋势，各类型病毒行为比例分布中，资费消耗类病毒行为占据35%的比例，位居第一;系统破坏类病毒行为占22%的比例;隐私窃取类病毒行为占比10%;恶意扣费与远程控制类病毒行为分别占比5%与2%。

　　在Symbian系统，与1月份相比，各类病毒行为的比例变得更加均衡，而资费消耗与隐私窃取类病毒行为增长显著。病毒行为还是偏向于以传统的资费消耗、系统破坏、诱骗系统的病毒等行为为主。这三类病毒行为也往往体现在一个病毒的特征之中，比如s.expense.contentup.[伪抓拍宝贝]病毒，该病毒以知名的拍照类软件“抓拍宝贝”为名诱使用户下载安装，病毒自激活后会无提示自动联网，消耗用户数据流量，并试图破坏手机中的杀毒软件，占用大量系统资源，单个病毒综合了三种病毒行为。

　　总体而言，Symbian系统持续衰落的趋势依然在延续。

　　以下是2013年2月在Symbian平台发现的一些较为典型的病毒：

　　Ø s.expense.contentup.[伪抓拍宝贝]

　　该病毒以知名的拍照类软件“抓拍宝贝”为名诱使用户下载安装，病毒自激活后会无提示自动联网，消耗用户数据流量;试图破坏手机中的杀毒软件，使得用户手机可能处于不设防状态，在后续病毒侵入过程中蒙受更大的损失;运行后无法完全退出，占用大量系统资源，有可能影响手机或其他软件的正常运行。

　　Ø s.expense.blmPartnerPack.[金剑伴侣]

　　该病毒激活后，便无提示联接网络，消耗用户资费，给用户带来一定的经济损失;并且开机自启，占用手机内存给用户正常使用手机带来一定影响。

　　Ø s.expense.Kmsystem

　　该病毒在安装过程中会无提示后台自动联网，消耗用户流量，有可能造成用户一定的经济损失，并下载安装恶意其他插件，可能给用户带来进一步的安全隐患。

　　第七章 手机病毒区域省份比例分布

　　2013年2月，手机中毒省份区域呈现向中西部经济发展省份转移的大趋势。在Android系统平台，广东省手机中毒用户以12.55%的比例依然雄踞榜首。在Android系统，前十大中毒省份排名依次是：广东(12.55%)、江苏(6.11%)、河南(5.67%)、四川(5.19%)、浙江(5.12%)、北京(4.91%)、福建(4.48%)、广西(4.39%)、辽宁(4.16%)、湖北(3.84%)。

　　在Android系统平台，手机病毒沿东南沿海纵向分布的格局被打破。在前十的中毒省份，河南、四川、广西、湖北依次分别排名第三、第四、第九、第十，中西部省份与沿海省份的开始均衡化分布发展。

　　在2013年2月份，沿海城市、中西部发展省份的水货手机市场进一步推动了恶意软件与手机病毒的水涨船高。制毒者与制毒机构也针对2月期间手机用户从发达省份向全国各地转移的趋势，重点加大了针对中西部经济发展省份的投毒比重，加之水货手机进销货渠道进一步延伸到中西部，致使中西部的河南、四川等经济快速发展省份手机中毒比例上升，湖南、湖北、山东、江西、陕西等省份的手机中毒数量与比重也均达到了3%以上.在中西部省份，随着水货手机泛滥的加剧，二维码病毒开始流行，也间接推高了中西部省份的中毒比例。

　　在Symbian系统，广东省中毒用户首次跌落到排名第三，中毒用户比例将至7.23%。河南省首次跃居Symbian中毒省份第一的位置，中毒比例达到8.78%，四川省以8.36%的高比例位居第二。Symbian系统中毒用户排名前五的省份分别是河南、四川、广东、河北、辽宁。

　　随着Symbian系统在发达省份逐渐淡出历史舞台，Symbian用户转移到Android、iOS等系统的比例与数量越来越大，这在某种程度上造成Symbian病毒感染比例在发达省份的逐渐降低，制毒者与制毒机构也针对这种趋势的变化开始将病毒渠道与资源进一步向中西部发展省份转移。而Symbian系统的进一步衰落并逐步淡出历史舞台的的趋势也将持续延续。

　　第八章 手机病毒渠道来源分布

　　2013年2月，电子市场与手机论坛的病毒渠道来源分别以22.5%与21.6%的比例占据第一，与2012年全年的平均比例来说，电子市场渠道占比下降幅度较大。

　　2013年2月，制毒者或制毒机构多渠道病毒投放策略体现的很明显。在目前，国内部分电子市场由于缺乏针对山寨或恶意软件的精准识别能力，许多制毒者或制毒机构抓住该渠道的审核缺陷与安全漏洞上传恶意软件或将捆绑热门软件二次打包植入恶意代码，这样就绕过了数字签名的审核机制。因此电子市场依然占据了22.5%的比例，与此同时，2013年2月，软件捆绑渠道感染也占据了11%比例。

　　在手机论坛，山寨、恶意软件分布广、用户多，上传审核机制不完善，手机病毒、山寨或恶意软件在论坛传播可以快速批量感染海量用户群。2月份，论坛传播比例依然达到21.6%。网盘传播也达到8%.

　　2013年2月，市场水货手机出货量大，恶意软件厂商加强了对水货渠道大规模利用，内置恶意软件非法盈利大幅度上升。国内黑色刷机产业链因利益需求也利用该渠道刷入各种恶意ROM包，使得内置ROM病毒的水涨船高，在2月份达到全国的腾讯手机管家用户ROM内病毒查出次数占据总病毒查出次数11.26%的比例。

　　2013年2月，二维码流行与普及速度进一步加快，商家利用该渠道打折促销的明显增多，不法分子会将有毒或带插件的网址生成二维码，伪装成优惠券、软件等诱导用户扫描的现象也进一步潜滋暗长，用户染毒的增势明显，二维码染毒的比例进一步增至9%，同比增长3%,首次超过了网盘传播的比例。制毒者与制毒机构利用该渠道内置恶意链接或网址盗取网银资金、恶意扣费等现象已经引起政府监管部门、媒体、行业与用户的广泛关注。

　　目前制毒者或制毒机构的伪装隐藏技术、各种云端控制指令与技术已经快速提升，制毒者或制毒机构通过多元化与多渠道的病毒投放策略使得各渠道的病毒感染逐渐走向均衡化，手机用户遭遇病毒入侵的几率也大大提升。

　　第九章 专家建议

　　随着手机安全形势的恶化，手机用户提升手机安全意识非常重要，移动安全实验室专家对手机用户做出如下建议。

　　1. 从正规的渠道购买手机。在目前，许多水货手机往往在出货前就已经刷机或者内置了各种流氓软件，而这些刷入或内置入ROM的恶意软件包一般很难用常规手段卸载或清除，新买的手机应及时下载腾讯手机管家，获取Root权限，及时查杀ROM病毒与最新流行病毒。

　　2. 手机用户应该选择从正规安全的渠道下载应用。比如，腾讯手机管家PC版、应用宝等，这些应用下载平台均经过腾讯手机管家的安全检测，可确保下载安全。

　　3. 不要见码就刷。二维码的火爆，使得该渠道成为一个新兴的病毒来源。目前随着各大城市的二维码流行程度进一步深化，手机用户最好安装具备二维码恶意网址拦截的手机安全软件进行防护，或使用接入安全识别功能的二维码软件，降低二维码染毒的风险。

　　4. 手机用户应学会用安全软件来保护自身安全利益。手机用户可下载安装如腾讯手机管家一类的手机安全软件定期给手机进行体检和病毒查杀，另外，手机用户还可以使用该软件的隐私权限监控、软件联网管理等功能，及时监控恶意软件的过度权限要求和后台私自联网等恶意行为，确保利益不被损害。

　　5. 不要点击收到的不明短信链接。随着套取用户网银账号与密码等信息的钓鱼网站也进一步增长，为避免遭受钓鱼网址等风险，手机用户可以安装腾讯手机管家开启恶意网址检测，避免钓鱼网址的攻击欺诈。

　　目前而言，用户还可以关注@腾讯移动安全实验室、@腾讯手机管家的官方微博以及相关的“恶意软件曝光”行动，对手机安全资讯做到全面把握和掌控，安享移动互联网生活。

　　腾讯手机管家官方网站：http://msm.qq.com

　　腾讯手机管家腾讯微博：http://t.qq.com/qqsecure

　　腾讯手机管家新浪微博：http://weibo.com/qqmanager

　　腾讯移动安全实验室官方微博：http://t.qq.com/QQSecurityLab

　　腾讯移动安全实验室

　　2013年3月14日