AVL：2014年Android恶意代码发展报告

一、摘要

• 2014年，Android恶意代码出现两个传播高峰：第一个高峰出现在3、4、5月，当时国内某知名应用市场出现了大量捆绑木马，另一个高峰是由于12月爆发了大量恶意色情应用。
• 2014年，Android恶意代码的主要行为依然是恶意扣费。由于短信拦截木马的爆发，导致隐私窃取类恶意代码数量增长明显。
• 2014年，Android恶意代码利用各种技术手段躲避手机安全软件的查杀。
• 2014年，大量广告应用被植入恶意代码，主要用于窃取用户重要隐私信息、推送其他恶意应用等，严重侵犯用户利益。
• 2014年，恶意代码紧盯手机用户的网银支付账号密码，手机支付类病毒越来越多。网银信息泄露会给用户造成无法估量的经济损失。
• 2014年，短信拦截木马大面积爆发。攻击者通过伪基站传播钓鱼网站，诱导用户安装短信拦截马。该木马主要用于窃取用户银行卡信息，最终实现资金窃取。
• 2014年，恶意色情应用利用其诱惑性引诱用户下载，安装后会在后台不断推送恶意应用，消耗手机流量、非法赚取推广费用甚至发送扣费短信，会给用户造成严重经济损失。

二、Android恶意代码数量情况1 总量变化趋势

AVL移动安全团队统计2014年移动恶意代码数据时发现：本年度Android恶意代码总量已增至123万。从历年恶意代码总量的发展趋势来看（如图1），2014年Android恶意代码总量的增长幅度没有延续去年猛增的势头，而是突然开始趋近平缓。Android恶意代码的传播速度真的减缓了吗？

图1 Android恶意代码数量变化情况

2014年，Android恶意代码的传播速度真的减缓了吗？

分类统计Android恶意代码后发现，近两年FakeInst家族恶意代码数量在全年恶意代码总量中比重较大（如图2所示）。2013年，FakeInst家族恶意代码数量占全年总量的43%。到2014年，该比例降到22%，这在一定程度上影响了Android恶意代码全年总量的变化趋势。

图2 FakeInst家族恶意代码占总量比例情况

因此，为减少该家族恶意代码数量对总量趋势变化的影响，除去FakeInst家族后统计历年Android恶意代码数量（如图3），我们看到2014年Android恶意代码数量依然保持高速增长，增幅并没有减缓的趋势。

图3 历年Android恶意代码数量变化情况（除FakeInst家族）

2 每月数量变化情况

统计近两年每月Android恶意代码数量时发现：每年1、2月的恶意代码传播量均处于低峰；2013年恶意代码传播高峰出现在7、8月，因为当时出现大量利用MasterKey漏洞的恶意代码；2014年恶意代码传播出现了两个高峰：第一个高峰出现在3、4、5月，当时国内某知名应用市场出现了大量捆绑木马，另一个高峰是由于12月爆发了大量恶意色情应用。

图4 每月恶意代码数量变化情况

三、 Android恶意代码详情分析1 恶意代码家族Top10

统计2014年所有恶意代码家族，可以发现恶意代码数量最多的依然是FakeInst家族，数量超过27万。相比于2013年，减少了近14万。从地理位置上来看，该家族恶意代码主要存在于俄罗斯，世界其他地方同样也存在样本。图5展示了2014年Android恶意代码家族Top10及传播情况。

图5 Android恶意代码家族Top10

2 伪装应用名称Top10

恶意代码往往通过伪装成其他应用，诱导用户下载安装。统计2014全年恶意软件伪装的应用名称后发现，大多都是极具诱惑力的色情应用名称，因此建议用户不要被低俗内容所诱惑，不要轻易访问自己不熟悉的视频网站。图6展示了2014年恶意软件伪装名称Top10。

图6 恶意软件伪装名称Top10

3 恶意行为类型分布

恶意扣费依然是Android恶意代码的主要行为，体现出恶意代码的趋利性。2014年，由于短信拦截木马的大规模爆发，导致隐私窃取类的恶意代码数量增长明显。攻击者通过窃取用户银行账户、密码等重要隐私信息，最终给用户造成资金损失。因此AVL移动安全团队建议用户，不要随意点击短信、QQ、微信等聊天工具中发来的链接。

图7 恶意代码行为类型比例情况

4 典型恶意行为特征

2014年，Android恶意代码出现很多新的恶意行为，其中较为典型的恶意行为如下：

• 通过疯狂截图来获取聊天信息、短信内容等，以窃取用户隐私信息；
• 利用手机僵尸网络“挖矿”——CoinKrypt家族木马；
• 通过手机架设Web服务器，窃取用户隐私，反向链接的行为更加隐蔽——Gandspy家族木马；
• 将移动设备加密锁屏后，对用户进行勒索——simplelock家族；
• 伪造关机，实际上在后台窃听——shutdownhack家族木马；
• 恶意刷Google Play榜的“刷榜客”僵尸木马；
• XX神器爆发后，短信蠕虫泛滥。

四、 Android恶意代码技术新趋势1 Rootkit和Bootkit攻击技术

2014年，采用Rootkit攻击技术的木马有：长老木马、PoisonCake家族等；Android平台上首个采用Bootkit技术的木马：Oldboot（中文名：不死木马）。这些木马虽然目前只能通过ROM植入方式来传播，需要Root权限才能查杀。但是移动安全厂商也不可掉以轻心，需要努力建立更为强大移动恶意代码对抗方案。

2 编程语言多样化

Android应用支持多种开发语言，除常规的Java与C/++，还有易语言、VB、C#、HTML5等。2014年开始捕获到使用易语言和C#开发的恶意应用，其中易语言开发的恶意代码应用已超过200余个。

3 恶意软件加壳技术

2014年，更多恶意软件采用加壳技术躲避安全软件的查杀。2013年到2014年仅一年时间，加壳恶意软件数量就增长了约18倍（如图8所示）。

图8 加壳恶意软件数量增长趋势

到目前为止，AVL移动安全团队共发现20余种Android应用加壳方案。图9中统计了被恶意软件使用最多的十大加壳方案。

图9 恶意软件加壳技术Top10

值得注意的是，使用DexProtect和apkprotect加壳技术的恶意软件占比极高（如图10所示），很可能是专门为恶意代码开发的加壳方案。

图10 使用加壳技术的恶意软件比例情况

五、典型恶意软件发展现状1 恶意广告应用愈加火热

据AVL移动安全团队统计数字表明，近两年恶意广告数量增幅较大（如图11所示）。用户每安装三个APP，其中至少有一个包含了广告。

图11 恶意广告APP数量变化趋势

从恶意行为来看，恶意广告件的趋利性更加明显。通过窃取重要隐私信息、频繁推送广告、静默下载安装其他应用、拦截短信等方式非法牟利。

2 手机支付软件暗藏风险

2014年是移动购物强劲爆发的一年。各大网上商城的移动支付金额大幅增长。移动支付业务的暴增，繁荣了移动支付市场，同时也引来了捆绑支付插件的恶意软件。根据AVL移动安全团队统计数据表明，相比于2013年，2014年被植入支付插件的恶意应用数量猛增近8倍。图12展示了含支付插件的恶意应用的传播情况。

图12 含恶意支付插件的应用数量情况

3 短信拦截木马盗取资金

2013年5月，AVL移动安全团队持续监测到了一类高活跃高危害的短信拦截类型木马，并在2014年1月开始大面积爆发。到目前为止共捕获近4万余短信拦截木马。图13为短信拦截木马每月数量情况。

图13 短信拦截木马传播情况

目前比较常见的一种短信拦截木马行为是：通过伪基站发送伪造钓鱼网站地址，用户访问钓鱼网站后，欺骗用户输入个人信息并诱导用户下载安装短信拦截木马，最后用户在线转账时通过拦截木马将网银验证码拦截转发到攻击者手机上，实现资金窃取。图14展示了短信拦截木马的攻击模式。

图14 短信拦截木马攻击模型

据统计，短信拦截木马一般会伪装成中国移动相关的应用名称，诱导用户下载安装。当前伪基站只能针对2G网络，中国移动的2G用户基数最为庞大，因此短信拦截马主要是攻击使用中国移动2G网络的手机用户。图15统计了短信拦截木马伪装应用名称Top10。

图15 拦截马伪装应用Top10

4 恶意色情应用诱惑升级

2014年，AVL移动安全团队捕获色情应用超过10万个，其中恶意色情应用占比高达65%。图16展示了2014年每月捕获的色情应用及恶意色情应用的数量变化趋势，可以看出此类应用数量呈现出爆发式增长。

图16 恶意色情应用捕获情况

恶意色情应用主要利用低俗内容引诱用户下载，安装后会在后台不断推送恶意应用，消耗手机流量、非法赚取推广费用甚至发送扣费短信，逐步形成一条通过恶意推广和恶意扣费进行非法牟利的灰色利益链。

图17 恶意色情应用灰色利益链

六、 安全建议

面对愈加复杂的移动应用环境，AVL移动安全团队建议广大用户：

• 不要连接陌生的Wifi，它们有可能是黑客设置的陷阱。
• 切勿被低俗内容所诱惑，不要轻易访问自己不熟悉的视频网站；
• 切勿随意点击短信、QQ、微信等聊天工具中发来的链接；
• 在使用手机支付功能时，应清楚认识到手机支付过程中可能存在的安全威胁，并尽力避免风险。