全球Android手机安全报告【2011.Q3】

　　三、安全形势解析
 
　　相比第一、二季度，三季度Android恶意软件出现了很多新的特征，“远程控制木马”异军突起导致恶意软件数量仍然呈现增长趋势，而在地域分布方面，北美的安全形势不容乐观。

　　1.恶意软件增长趋势解析

　　通过报告数据可以看到，三季度Android恶意软件继续呈现增长趋势，并有多个在一季度、二季度出现的恶意软件再度变种，如在2011年2月截获的“安卓吸费王”恶意软件，在三季度继续呈现爆发趋势，至今已有超过500款应用成为其的伪装和利用对象。
 
　　同时，由于远程控制木马的快速兴起，通过“后门”二次传播恶意软件、恶意插件的现象也开始增多，导致出现了短期内大量恶意软件集中发作的现象，部分恶意软件在威胁手机安全的同时还开始向Pad/数字机顶盒迁移，安全威胁呈现了扩散趋势。

　　2.恶意软件地域分布解读

　　地域分布数据中，中国大陆感染比例略有下调，这与“云安全”产品在这一地区的积极部署，和手机用户安全意识的逐渐提升相关。而北美地区的安全形势逐渐呈现恶化趋势，据网秦北美研究中心分析，这主要以通过获取ROOT权限后盗取用户隐私的DroidDream恶意软件感染量激增有关，数据显示，包括“Super Guitar Solo（超级吉他独奏）”等数十款热门应用均成为其的伪装对象。
 
　　3.系统平台感染比例分析
 
　　三季度在Android平台下，Android2.2操作系统的感染率依然最高。这主要由由于部分定制机和改装机均基于Android 2.2系统，使得其市场份额相对较高导致。而伴随下半年出厂的Android新机陆续搭载Android2.3或更高版本，第四季度的2.3有望成为新的感染重点。
 
　　4.恶意软件感染特征判定
 
　　在三季度Android安全报告中，“远程控制木马”呈现迅猛增长势头，且比例直线上升，和以往恶意软件固定的、静态的威胁特征不同，“远程控制木马”的威胁则是动态的、可变的，如其在强行获取ROOT权限 – 这一Android操作系统的核心权限之后，会强行连接到对应的网络服务器中，并等待其派发的指令来实施进一步的威胁，如可操作其联网上传用户隐私、盗取用户地理位置、通过派发恶意指令触发扣费行为等。
 
　　与传统意义上的手机病毒和恶意软件不同，这类应用的特点是通过同一套程序实施不同的危害，其由于通过同一“后门”可派发不同的威胁指令，在用户毫不知情的状态下运行，直接造成多种危害。

　　而在其它感染比例中，恶意扣费软件比例仍然较高，这主要因“安卓吸费王”变种的激增和先后出现大量以联网扣费为主要方式的吸费软件。相比之下，二季度感染比例最高的隐私窃取类恶意软件比例则略有下降，由于媒体的多次曝光和国家相关机构的坚决治理，目前包括“X卧底”、“窃听猫”等恶意软件都得到了系统整治，安全形势略有好转。

　　5.安全威胁传播途径分类

　　第三季度，中国大陆地区的Android手机出货量继续呈现井喷态势，据美国投资公司Morgan Keegan分析师特拉维斯·麦克科特（Travis McCourt）发布的投资者报告分析，第三季度仅在中国市场智能手机出货总量就达到了800万至1000万部，远超过去年同期的200万至300万部。其中，采用Android操作系统的智能手机占据了当季中国市场智能手机销售总量近一半的份额。
 
　　而在Android手机出货量激增的当前，手机应用的获取渠道 – Android应用商店、手机应用论坛由于安全监管机制还较为薄弱，仍然存在有被黑客利用散播恶意软件的现象，如在三季度的网秦“云安全”监测平台数据显示，在超过75%的应用渠道中发现存在或曾存在有恶意软件。

数据显示手机论坛依然是Q3季度Android恶意软件的主要传播途径

　　同时，在本次安全报告公布的2011年第三季度的十大Android恶意软件中显示，恶意软件正在将其的伪装方向转移至Android的热门应用之中，一旦用户在缺乏安全机制的渠道下载到被伪装为正常软件进行传播的手机病毒及恶意软件，极易被植入恶意代码，造成个人财产、隐私的损失。

 　　四、十大高危软件

　　2011年第三季度，网秦“云安全”监测平台共查杀到Android恶意软件1492款， 在中国大陆地区，“QQ斗地主”、“打地鼠”、“五子棋”、“指纹锁屏”、“来电翻翻”等十款Android应用成为恶意软件的主要伪装对象。

2011年第三季度 中国大陆地区十大高危软件排行

　　而在北美地区，Angry Birds Rio Unlocker、AccuTracking、Battery Saver等成为十大高危软件。欧洲地区，Angry Birds Cheater、GPS Spy Tracker、Paint Master、Sexy Girls等十款应用排名首位。中国台湾地区，跟雛子一起做運動、極酷鈴聲、SwordRequiem的感染比例位居首位。

　　数据证实，面对当前迫在眉睫的严重安全形势，用户正亟待安全厂商尽快通过技术革新，应对Android安全形势的变换，在基于移动“云安全”技术的基础上，解决Android用户面临的安全问题。而相关安全厂商也正在通过不同的传播渠道，为用户提供相应的安全防护建议。

　　五、安全防护建议
 
　　从三季度安全报告的数据可以看出，当前Android用户正面临严峻的移动安全威胁，而为避免遭遇安全风险，网秦手机安全专家也为用户提供了安全建议：
 
　　1.遏制Android手机病毒/恶意软件

　　三度Android安全报告显示，平台安全形势仍在持续恶化中，而近期在多家Android软件商店中，频繁出现伪装成正常手机软件，以外发短信等形式实施恶意扣费、隐私窃取行为的Android手机病毒及恶意软件。故建议用户下载应用之后，及时通过专业安全工具进行安全性排查。如“网秦手机安全”5.2Android版（下载: http://www.netqin.com/products/antivirus/android/）软件，基于“本地+云端”双向监测，将可有效识别一系列存在高危风险的手机恶意软件。
 
　　目前，网秦手机安全已经具备一站式立体防御体系，可以有效避免恶意软件在获取ROOT权限后联网操控威胁用户隐私安全的现象。同时有效抵御恶意网址对手机用户的侵袭，全面查杀三季度新增的Android恶意软件及其变种程序。

 
　　2.保护Android手机话费/隐私安全

　　三季度以来，恶意扣费软件数量激增，同时由于近半数的“远程控制木马”存在触发扣费指令的行为，专家建议用户应选择如“网秦手机安全”Android版来全面保护我们的话费安全。

　　同时，可通过网秦手机安全 Android版中提供“联网管理”功能，全面阻止恶意软件试图索取核心权限后自动联网、自动上传和下载数据的恶意行为，避免因不慎感染恶意软件而遭遇安全威胁，真正阻止“远程控制木马”的肆虐。
 
　　3.确保应用程序的下载安全
 
　　安全报告数据显示，手机论坛和应用软件商店正在成为手机病毒和恶意软件的主要传播渠道，对此，专家建议用户应尽量选择已与安全厂商建立合作管理的软件应用商店，并在下载同时，可通过如网秦“云安全”在线监测平台对其进行安全鉴定，确保下载内容已经过了安全检测。

　　同时，建议在手机中安装具备实时防护功能的手机安全软件，在安装程序前会扫描其的安全状态，一旦发现其中存在有可能触发扣费或窃取隐私行为的现象，将阻止其安装并立即进行删除。

　　六、安全技术趋势
 
　　从数据和走势分析可以看出，三季度安全威胁出现了很多新的改变，一来使得其直接威胁更为隐蔽，二来通过更为广泛的扩散方式增加用户的“中招”机率。
 
　　1.新趋势:恶意软件进入“云”时代
 
　　就在安全厂商的技术产品以“云安全”作为主要技术手法来遏制安全威胁的同时，“远程控制木马”的出现，使得恶意软件也在三季度出现了向“云”时代迈进的现象。
 
　　和安全软件调用“云安全”数据来对安全威胁进行实时鉴定的原理相同，“远程控制木马”首先将控制端打包加入到一些热门应用之中，伪装诱骗用户下载后会通过手机“后门”联网并于远程服务器连接，并接受其发送的对应指令。

“远程控制木马”传播结构图（制图:网秦“云安全”监测平台）

 
　　与此前可通过代码解析查阅其实际危害的情况不同，由于“远程控制木马”直接调用网络数据，对手机安全软件的判定工作增加了巨大的难度。同时由于其在打通“中招”用户与网络服务器的连接之后，可通过“后门”推送各类恶意插件，导致用户手机面临大量不确定的安全威胁。
 
　　2.新形态:恶意软件向平板等新设备迁移

　　三季度以来，Android恶意软件在对手机进行攻击并威胁话费、隐私安全的同时，也开始将目前向使用Android操作系统的平板电脑、数字机顶盒迁移。如在2011年8月，来自网秦北美研究中心的分析显示，已有恶意软件可对基于Android2.3系统的平板电脑发起攻击。

分析显示Android恶意软件将威胁更多智能终端

 
　　分析显示，存在通话功能的平板电脑是目前的高危终端，由于其与智能手机相同同样以3G线路接入，无论是因感染恶意软件导致的扣费问题或流量消耗问题都将在未来成为平板电脑的安全隐患，在三、四季度“千元平板”大行其道的当前，安全问题正日益凸显。

　　3.新弊端:流量管理问题已日益凸显

　　由于Android手机的多数应用均需联网使用，联网过程中消耗的流量成为了用户关注的重点，三成APP无法直接关闭，后台偷跑流量 30%恶意软件后台联网的现象，导致用户饱受扣费、隐私泄漏问题困扰的同时，还在思索如何有效管理上网流量的问题。
 
　　同时，由于目前相关恶意软件在单纯消耗上网流量的同时，还存在传播恶意软件的情况，更使得其可能对手机用户构成进一步的危害。可以预见在Q4季度，这一现象将依然普遍，也亟待手机安全厂商在“网络防火墙”产品的研发中尽快取得突破。