2014 年 Android 惡意代碼發展報告

AVL移動安全團隊統計2014年移動惡意代碼數據時發現：本年度Android惡意代碼總量已增至123萬。從歷年惡意代碼總量的發展趨勢來 看，2014年Android惡意代碼總量的增長幅度沒有延續去年猛增的勢頭，而是突然開始趨近平緩。Android惡意代碼的傳播速度真的減緩了嗎？

一、摘要

• 2014年，Android惡意代碼出現兩個傳播高峰：第一個高峰出現在3、4、5月，當時國內某知名應用市場出現了大量捆綁木馬，另一個高峰是由于12月爆發了大量惡意色情應用。

• 2014年，Android惡意代碼的主要行為依然是惡意扣費。由于短信攔截木馬的爆發，導致隱私竊取類惡意代碼數量增長明顯。

• 2014年，Android惡意代碼利用各種技術手段躲避手機安全軟件的查殺。

• 2014年，大量廣告應用被植入惡意代碼，主要用于竊取用戶重要隱私信息、推送其他惡意應用等，嚴重侵犯用戶利益。

• 2014年，惡意代碼緊盯手機用戶的網銀支付賬號密碼，手機支付類病毒越來越多。網銀信息泄露會給用戶造成無法估量的經濟損失。

• 2014年，短信攔截木馬大面積爆發。攻擊者通過偽基站傳播釣魚網站，誘導用戶安裝短信攔截馬。該木馬主要用于竊取用戶銀行卡信息，最終實現資金竊取。

• 2014年，惡意色情應用利用其誘惑性引誘用戶下載，安裝后會在后臺不斷推送惡意應用，消耗手機流量、非法賺取推廣費用甚至發送扣費短信，會給用戶造成嚴重經濟損失。

二、Android惡意代碼數量情況1 總量變化趨勢

AVL 移動安全團隊統計2014年移動惡意代碼數據時發現：本年度Android惡意代碼總量已增至123萬。從歷年惡意代碼總量的發展趨勢來看（如圖 1），2014年Android惡意代碼總量的增長幅度沒有延續去年猛增的勢頭，而是突然開始趨近平緩。Android惡意代碼的傳播速度真的減緩了嗎？

圖1 Android惡意代碼數量變化情況

2014年，Android惡意代碼的傳播速度真的減緩了嗎？

分 類統計Android惡意代碼后發現，近兩年FakeInst家族惡意代碼數量在全年惡意代碼總量中比重較大（如圖2所示）。2013 年，FakeInst家族惡意代碼數量占全年總量的43%。到2014年，該比例降到22%，這在一定程度上影響了Android惡意代碼全年總量的變化 趨勢。

圖2 FakeInst家族惡意代碼占總量比例情況

因此，為減少該家族惡意代碼數量對總量趨勢變化的影響，除去FakeInst家族后統計歷年Android惡意代碼數量（如圖3），我們看到2014年Android惡意代碼數量依然保持高速增長，增幅并沒有減緩的趨勢。

圖3 歷年Android惡意代碼數量變化情況（除FakeInst家族）

2 每月數量變化情況

統 計近兩年每月Android惡意代碼數量時發現：每年1、2月的惡意代碼傳播量均處于低峰；2013年惡意代碼傳播高峰出現在7、8月，因為當時出現大量 利用MasterKey漏洞的惡意代碼；2014年惡意代碼傳播出現了兩個高峰：第一個高峰出現在3、4、5月，當時國內某知名應用市場出現了大量捆綁木 馬，另一個高峰是由于12月爆發了大量惡意色情應用。

圖4 每月惡意代碼數量變化情況

三、 Android惡意代碼詳情分析1 惡意代碼家族Top10

統 計2014年所有惡意代碼家族，可以發現惡意代碼數量最多的依然是FakeInst家族，數量超過27萬。相比于2013年，減少了近14萬。從地理位置 上來看，該家族惡意代碼主要存在于俄羅斯，世界其他地方同樣也存在樣本。圖5展示了2014年Android惡意代碼家族Top10及傳播情況。

圖5 Android惡意代碼家族Top10

2 偽裝應用名稱Top10

惡意代碼往往通過偽裝成其他應用，誘導用戶下載安裝。統計2014全年惡意軟件偽裝的應用名稱后發現，大多都是極具誘惑力的色情應用名稱，因此建議用戶不要被低俗內容所誘惑，不要輕易訪問自己不熟悉的視頻網站。圖6展示了2014年惡意軟件偽裝名稱Top10。

圖6 惡意軟件偽裝名稱Top10

3 惡意行為類型分布

惡 意扣費依然是Android惡意代碼的主要行為，體現出惡意代碼的趨利性。2014年，由于短信攔截木馬的大規模爆發，導致隱私竊取類的惡意代碼數量增長 明顯。攻擊者通過竊取用戶銀行賬戶、密碼等重要隱私信息，最終給用戶造成資金損失。因此AVL移動安全團隊建議用戶，不要隨意點擊短信、QQ、微信等聊天 工具中發來的鏈接。

圖7 惡意代碼行為類型比例情況

4 典型惡意行為特征

2014年，Android惡意代碼出現很多新的惡意行為，其中較為典型的惡意行為如下：

• 通過瘋狂截圖來獲取聊天信息、短信內容等，以竊取用戶隱私信息；

• 利用手機僵尸網絡“挖礦”——CoinKrypt家族木馬；

• 通過手機架設Web服務器，竊取用戶隱私，反向鏈接的行為更加隱蔽——Gandspy家族木馬；

• 將移動設備加密鎖屏后，對用戶進行勒索——simplelock家族；

• 偽造關機，實際上在后臺竊聽——shutdownhack家族木馬；

• 惡意刷Google Play榜的“刷榜客”僵尸木馬；

• XX神器爆發后，短信蠕蟲泛濫。

四、 Android惡意代碼技術新趨勢1 Rootkit和Bootkit攻擊技術

2014 年，采用Rootkit攻擊技術的木馬有：長老木馬、PoisonCake家族等；Android平臺上首個采用Bootkit技術的木 馬：Oldboot（中文名：不死木馬）。這些木馬雖然目前只能通過ROM植入方式來傳播，需要Root權限才能查殺。但是移動安全廠商也不可掉以輕心， 需要努力建立更為強大移動惡意代碼對抗方案。

2 編程語言多樣化

Android應用支持多種開發語言，除常規的Java與C/++，還有易語言、VB、C#、HTML5等。2014年開始捕獲到使用易語言和C#開發的惡意應用，其中易語言開發的惡意代碼應用已超過200余個。

3 惡意軟件加殼技術

2014年，更多惡意軟件采用加殼技術躲避安全軟件的查殺。2013年到2014年僅一年時間，加殼惡意軟件數量就增長了約18倍（如圖8所示）。

圖8 加殼惡意軟件數量增長趨勢

到目前為止，AVL移動安全團隊共發現20余種Android應用加殼方案。圖9中統計了被惡意軟件使用最多的十大加殼方案。

圖9 惡意軟件加殼技術Top10

值得注意的是，使用DexProtect和apkprotect加殼技術的惡意軟件占比極高（如圖10所示），很可能是專門為惡意代碼開發的加殼方案。

圖10 使用加殼技術的惡意軟件比例情況

五、典型惡意軟件發展現狀1 惡意廣告應用愈加火熱

據AVL移動安全團隊統計數字表明，近兩年惡意廣告數量增幅較大（如圖11所示）。用戶每安裝三個APP，其中至少有一個包含了廣告。

圖11 惡意廣告APP數量變化趨勢

從惡意行為來看，惡意廣告件的趨利性更加明顯。通過竊取重要隱私信息、頻繁推送廣告、靜默下載安裝其他應用、攔截短信等方式非法牟利。

2 手機支付軟件暗藏風險

2014 年是移動購物強勁爆發的一年。各大網上商城的移動支付金額大幅增長。移動支付業務的暴增，繁榮了移動支付市場，同時也引來了捆綁支付插件的惡意軟件。根據 AVL移動安全團隊統計數據表明，相比于2013年，2014年被植入支付插件的惡意應用數量猛增近8倍。圖12展示了含支付插件的惡意應用的傳播情況。

圖12 含惡意支付插件的應用數量情況

3 短信攔截木馬盜取資金

2013年5月，AVL移動安全團隊持續監測到了一類高活躍高危害的短信攔截類型木馬，并在2014年1月開始大面積爆發。到目前為止共捕獲近4萬余短信攔截木馬。圖13為短信攔截木馬每月數量情況。

圖13 短信攔截木馬傳播情況

目 前比較常見的一種短信攔截木馬行為是：通過偽基站發送偽造釣魚網站地址，用戶訪問釣魚網站后，欺騙用戶輸入個人信息并誘導用戶下載安裝短信攔截木馬，最后 用戶在線轉賬時通過攔截木馬將網銀驗證碼攔截轉發到攻擊者手機上，實現資金竊取。圖14展示了短信攔截木馬的攻擊模式。

圖14 短信攔截木馬攻擊模型

據統計，短信攔截木馬一般會偽裝成中國移動相關的應用名稱，誘導用戶下載安裝。當前偽基站只能針對2G網絡，中國移動的2G用戶基數最為龐大，因此短信攔截馬主要是攻擊使用中國移動2G網絡的手機用戶。圖15統計了短信攔截木馬偽裝應用名稱Top10。

圖15 攔截馬偽裝應用Top10

4 惡意色情應用誘惑升級

2014年，AVL移動安全團隊捕獲色情應用超過10萬個，其中惡意色情應用占比高達65%。圖16展示了2014年每月捕獲的色情應用及惡意色情應用的數量變化趨勢，可以看出此類應用數量呈現出爆發式增長。

圖16 惡意色情應用捕獲情況

惡意色情應用主要利用低俗內容引誘用戶下載，安裝后會在后臺不斷推送惡意應用，消耗手機流量、非法賺取推廣費用甚至發送扣費短信，逐步形成一條通過惡意推廣和惡意扣費進行非法牟利的灰色利益鏈。

圖17 惡意色情應用灰色利益鏈

六、 安全建議

面對愈加復雜的移動應用環境，AVL移動安全團隊建議廣大用戶：

• 不要連接陌生的Wifi，它們有可能是黑客設置的陷阱。

• 切勿被低俗內容所誘惑，不要輕易訪問自己不熟悉的視頻網站；

• 切勿隨意點擊短信、QQ、微信等聊天工具中發來的鏈接；

• 在使用手機支付功能時，應清楚認識到手機支付過程中可能存在的安全威脅，并盡力避免風險。

• 選用AVL Pro等手機安全軟件定期為手機掃描體檢，遠離惡意應用威脅。

稿源：AVL Team