2024年1月4日发(作者：伊芷荷)

腾讯移动安全实验室2013年5月手机安全报告

一、总体概述

2013年5月，基于腾讯手机管家安全产品服务的腾讯移动安全实验室共截获手机病毒包总数为71969个，Android系统截获病毒包69178个，Symbian系统截获病毒包2791个。Android系统截获的病毒包占比达96.1%，Android病毒增长速度继续呈现井喷趋势。病毒多元化趋势进一步加强，各种类型的新型病毒大量涌现，手机安全环境显得愈发恶劣。

2013年5月，海外惊现一款高危新型的隐私窃取类病毒ger（“键盘黑手”），该病毒感染国际知名输入法软件SwiftKey KeyBoard，直接监听用户键盘输入，记录用户的信用卡、网银以及各种账户密码信息，造成用户隐私大规模泄漏。

2013年5月末，“投影广告”类病毒大肆来袭。在2013年4月，感染“铁拳3D”等热门游戏的“推荐密贼“病毒可针对微信等知名软件强制推送广告，在5月，云端控制指

令病毒“鬼推墙”疯狂来袭，该病毒针对微信、手机QQ、人人网、YouTube等知名软件大肆强制推送广告，预计有150万用户被感染。

随着制毒者或制毒机构逐利性增强，类似“推荐密贼”、“鬼推墙”等“投影广告”类病毒通过云指令强行对知名应用大肆弹出广告条类型的病毒有大面积爆发趋势。

2013年5月，手机支付再现危情。继“洛克蠕虫”之后，腾讯手机管家又查杀了一款“伪淘宝”支付类病毒，该病毒可通过模拟淘宝官方的用户登录页面收集用户输入的淘宝帐号密码以及支付密码，网银风险进一步增大。

2013年5月，手机染毒省份进一步趋向稳定。在Android系统，广东、浙江、江苏、北京、四川是手机中毒用户占全国比例排名前五的省份或直辖市。这四省一市手机染毒占据全国比例分别依次为：13.56%、8.04%、6.64%、4.88%、4.82%。从整个手机染毒分布的区域比例与趋势看，各省份染毒占全国的比例逐步偏向于均衡化。

2013年5月，随着手机APP的日渐丰富，为人们移动互联网生活带来了诸多便利，尤其是手机游戏类APP，增势强劲，更新换代的速度非常快。但另一方面，游戏类APP正面临野蛮生长的混乱时期，也成为各种恶意软件青睐和入侵的重要对象。

手机病毒针对手机游戏类APP二次打包篡改进行批量感染的情况在2013年5月尤为

突出。腾讯移动安全实验室监测，在手机用户遭受到的手机安全问题当中，游戏类APP成为高发地带。腾讯移动安全实验室5月手机安全报告也将针对游戏类APP做一次数据统计与趋势判断。

二、游戏类APP概要统计

手机用户正遭受游戏类APP带来的各种烦恼：广告不停弹出，流量无故消耗，莫名被扣费、过度读取隐私权限等等。2013年5月，腾讯移动安全实验室从电子市场合作伙伴提供的上线前检测的Android软件包中，随机抽取了游戏类软件75642个，而从这些游戏软件包中，腾讯移动安全实验室截获到大量篡改Android游戏的恶意软件与恶意广告。

腾讯移动安全实验室针对75642款游戏软件包进行定性监测发现，在这些游戏类软件中，被查杀出2950个软件包含有病毒；另外，具备一定的风险，需要谨慎使用软件包有756个；被查出内含广告插件的软件包有33535个；可以看出，广告插件类APP泛滥之势非常突出。

在被查出有病毒行为的2950个游戏类软件中，其中，资费消耗类病毒样本包有1875

个、流氓行为类有569个、诱骗欺诈类有303个、恶意传播类有159个, 恶意扣费类的有125个，隐私获取类有91个。由于一个被感染的软件包往往包含多个病毒行为，将它们去重之后，统计到它们所占据的比例分别为60.06%、18.23%、9.71%、5.09%、4.0%、2.91%。由此可见，游戏类APP被资费消耗类病毒感染的情况占据主流。

2.1 “打包党”恶意篡改游戏猖獗 大量用户利益受损

目前而言，手机游戏被“打包党”恶意篡改次数数不胜数，而被恶意篡改后的手机游戏往往会对用户造成扣费、流量消耗、读取隐私、弹广告等几种伤害。腾讯移动安全实验室也因此针对2013年5月被恶意篡改次数最多的手机游戏进行了统计。

2013年5月被嵌入病毒次数最多的游戏软件名仙镜Online愤怒的小鸟去广告版雷电2012HD大鱼吃小鱼3D狂暴赛车极速赛车Bike Race3D宠物猫汇乐斗地主中国象棋大师Highway Racing会说话的汤姆猫2被嵌入病毒包数2950感染人数953321629感染的典型病毒ng

d

.f

e.g3app.

rnel.[暗箭射手]

ger

le

sh

rnel.[暗箭射手]

ger

数据来源：腾讯移动安全实验室

被篡改次数最多的游戏为“仙境Online”，被二次打包篡改成病毒包的次数高达295次。排名第二、第三的游戏分别为“愤怒的小鸟去广告版”和“雷电2012HD”，被篡改次数分别为176、147次。篡改次数一定上反映出该软件的山寨版本的款数，这意味着，“仙境Online”、“愤怒的小鸟去广告版”和“雷电2012HD”三个官方版本的游戏被二次篡改包装成“破解版”、“绿色版”等山寨版本就分别有295、176和147款。

在5月，热门游戏 “极速赛车”、“Bike Race”、“中国象棋大师”、“会说话的汤姆猫2”均被恶意篡改达50次、49次、43次、40次。也就是说，这三款热门游戏分别有50、49、43、40个被打包植入病毒山寨版本。

其中，“3D狂暴飞车”这款手游被恶意篡改成病毒达56次，感染人数超过18.6万，在2013年5月被篡改次数TOP10的手机游戏中，感染人数最多。

从统计可知，山寨游戏APP被病毒二次打包内置各种恶意插件已成泛滥之势，而随着各种内置病毒代码的山寨类APP在各渠道堆积，用户下载的机率极高，而被病毒二次打包篡改后的山寨版本都具有恶意软件的性质，对用户造成的危害也越来越大。用户应如何辨别被篡改后的游戏APP山寨版本？

腾讯移动安全实验室提醒：目前而言，许多针对热门游戏重新开发的山寨游戏类APP主要通过在名称、LOGO、首页等辨识度高的地方拷贝知名应用，但往往图标粗糙无质感，网页内容相对简易，借助原创应用的知名度来吸引用户。但遭二次打包篡改后的山寨游戏软件往往在logo、首页等界面与正版完全一样，用户无从分辨。但并非所有二次打包篡改后的山寨游戏软件包都内置了病毒代码，许多山寨版本游戏APP还会内置广告插件，而用户一旦下载到这些山寨版本，往往也会被骗取流量、被吸费、隐私遭窃取等。

因此，手机用户尽量前往具有安全认证的电子市场、官方网站或者去腾讯手机管家“软件下载”功能模块下去下载应用，这些渠道的APP都经过腾讯手机管家等专业安全软件的检测，可确保下载安全。如果发现手机费用或流量异常，有可能是安装了有问题的山寨APP，可通过腾讯手机管家等安全软件进行检测。

据腾讯移动安全实验室监测，“打包党”针对手机游戏二次打包篡改，一般通过植入病毒代码或者广告插件的方式来攫取利润。而打包植入广告的情况尤其普遍。据统计，在随机

抽取的75642个游戏软件包中，包含了广告插件的软件包数达到44.3%的比例，为33535个。往往许多含广告插件类的游戏软件包内含一类或多类广告插件，按单类计算，含BANNER广告的游戏软件包数位28758个，占比85.75%，占据最大比例；含积分墙广告的游戏软件包数达20015个，占比为59.68%;包含通知栏广告的游戏软件包为17459，占比52%；

由数据可知，手机游戏目前正成为广告插件植入的重灾区。在广告类型中，总体而言，通知栏、积分栏、BANNER广告呈现均衡化分布的格局。许多APP开发商对于盈利模式还在进行持续的探索，在没有找到更好的盈利模式之前，应用内置广告仍然是最直接的收入来源。另一方面，迫于短时营收压力，部分游戏 APP开发商、打包党会与移动广告平台签署协议，在应用中内置广告代码，甚至是直接嵌入恶意广告代码，借助移动广告分成来实现快速盈利变现之目的。这也是遭遇篡改的手机游戏大肆泛滥的最重要原因。

2.2 含广告插件最多的十大手机游戏装机量超254万

腾讯移动安全实验室针对内嵌第三方广告插件的手机游戏进行了统计，2013年5月，含广告插件包排名前十的游戏软件基本都是拥有海量用户的热门游戏。它们分别依次为：死亡飞车2011、捕鱼达人2011、单机斗地主、消灭星星、捕鱼达人2、扎金花、黄金矿工、超级玛丽、德州扑克、泡泡龙shoot bubble。这十大游戏软件共有8146个软件包被内嵌了其他第三方广告插件，平均每款游戏有超过814个游戏软件包遭二次篡改植入其他第三方广告插件，目前这些游戏软件包安装用户总数超过254万。

2013年5月含广告插件最多的十大手机游戏软件名称死亡飞车2011捕鱼达人单机斗地主广告插件特征含广告插件，可读取本机位置信息,泄露行踪。含广告插件，可读取软件列表，可能推送软件。含广告插件,可读取软件列表,可能导致您的手机被推送其他软件。含广告插件,可读取本机号码,可能导致用户收到垃圾短信或者陌生电话的骚扰;可读取本机位置信息;可读取软件列表与短信,泄露用户短信内容或推广软件。广告插件包安装用户数4834475961053129消灭星星409214674捕鱼达人2含广告插件，可读取软件列表、通话记录,泄露隐私;可创建桌面快捷图标,导致被恶意推广软件。含广告插件，可读取软件列表,可能导致您的手机被推送其他软件。含广告插件，可读取软件列表,可能导致您的手机被推送其他软件。含广告插件,可读取软件列表,可能导致您的手机被推送其他软件。含广告插件可读取设备信息,可能泄露您的个人隐私;可拨打电话,消耗资费。含广告插件，可拨打电话,可导致用户资费被消3771679919扎金花36163567黄金矿工34274922超级玛丽331201729德州扑克31347913泡泡龙shoot bubble耗；可读取本机位置信息,泄露用户行踪;可读取软件列表,可能导致用户手机被推送其他软件。2981308数据来源：腾讯移动安全实验室其中，含广告插件最多的游戏是“死亡飞车2011”，该游戏含广告插件的软件达到4834款，超过排名前十含广告插件游戏软件包总数的一半。

排名第二的“捕鱼达人2011”含广告插件软件包470款，少于“死亡飞车”被内置广告插件包的十分之一。可见，广告插件内置集中化趋势明显。但与此同时，由于“捕鱼达人”作为一款非常火热的手机游戏，海量的用户数使得被植入的470款第三方广告插件的软件包影响超过132万用户，是安装人数最多的含第三方广告插件类游戏软件。

值得注意的是，“捕鱼达人2”被植入广告插件也高达377款，装机用户量则高达55.4万。“捕鱼达人”系列游戏在广告插件数分别位居第二、第五；影响装机用户数则分列第一和第二。

从数据统计分析可知，热门游戏与广告插件被植入的款数和影响用户数基本呈现正相关趋势。可以看出，打包党针对热门游戏打包篡改植入广告插件的趋势非常明显。由于热门游戏与海量用户相关联，打包党凭借对热门游戏的敏锐嗅觉，往往集中在一款或几款热门游戏进行海量打包，可迅速面向海量的手机用户推送广告信息，符合他们利益最大化的需求。

2.3 游戏类软件越权读取隐私泛滥

据腾讯移动安全实验室统计，在含广告插件最多的十大游戏中，广告插件的危害特征主要体现为：

（1）可读取本机号码和短信,泄漏隐私或导致用户遭受垃圾短信或者陌生电话骚扰;

（2）读取本机位置信息,可泄露用户行踪。

（3）可读取设备信息、软件列表,可导致用户手机被推送其他软件；

（4）可拨打电话,导致资费消耗。

从读取隐私的特征来看，可以发现读取隐私的主要目的：将用户的隐私信息贩卖给第三方机构或广告数据公司，第三方机构广告公司可以通过用户手机号码推送广告信息，或者根据用户所处的位置与用户的行为习惯，精准匹配相应的广告或者推送相应的软件。另外，其中一些恶意广告插件还会私自扣取用户资费或无故消耗流量等危害。

可以看出，2013年5月，恶意软件泛滥与制毒者或制毒机构、“打包党”、山寨公司等通过把正版游戏软件二次打包内置病毒代码、广告插件密不可分。

另外可以看出，窃取隐私几乎成为排名前十大广告插件类游戏APP的主要目的。因此，腾讯移动安全实验室也针对75642个手机游戏软件包，进行了隐私权限读取情况的检测分析。分析发现，大量Android手机游戏存在在非功能必要情况下调用过多权限的情况，在游戏类APP读取隐私权限的比例中，读取本机手机号、读取设备识别、读取地理位置分别以40.99%、28.96%、28.58%位居前三。打开录音器和读取通讯录分别占比11.63%、9.76%；读取短信、打开手机摄像头、读取通话记录、读取浏览器书签等分别占比9.40%、6.78%、6.3%、4.13%.

在含广告插件类游戏APP中读取隐私权限的比例分别为，读取地理位置、读取本机手机号、读取设备识别分别以55.49%、52.71%、35.47%的比例位居前三；读取浏览器书签、打开录音器、打开摄像头分别占比达6.84%、4.66%、3.66%；读取通信录、读取短信、读取通话记录分别占比2.16%、1.6%、0.13%。

在被打包病毒代码的游戏类APP中，读取本机手机号、读取设备识别、读取地理位置

分别以69.49%、67.93%、62.58%位居前三；具有打开摄像头、读取短信的、打开录音器权限的比例分别为12.92%、10.69%、8.69%；记录读取浏览器书签、读取通信录、读取通话记录的比例分别为3.79%、1.34%、0.45%。

在游戏类APP与含广告插件类游戏APP两者之间读取隐私权限比例对比中可以发现，读取本机号码以超过40%的比例成为游戏类APP获取的第一目标隐私。读取地理位置信息与本机手机号两项都以超过55%的比例成为含广告插件类游戏APP获取的第一目标隐私。

而在被打包病毒代码的游戏APP中，读取本机手机号、读取设备识别信息、读取地理位置三项均以超过62%的比例成为该类APP所要获取的第一目标隐私。

腾讯移动安全实验室在2013年第一季度手机安全报告曾对APP与含广告插件类APP、病毒读取用户隐私权限做过细化分析，根据分析结论，一款APP是否过度读取用户隐私，与该软件是否包含广告插件呈现正相关趋势。即包含广告插件的软件包过度读取用户隐私的几率远超过没含广告插件的软件包。而在游戏类APP与含广告插件游戏类APP中，这个结论依然成立。从图中看出，含广告插件类APP读取各项隐私的比例远超过游戏类APP总体上各项隐私被读取的比例。

与游戏APP读取隐私权限相比，含广告插件的游戏类APP在获取用户地理位置比例上远远高于前者。由于“打包党”与某些移动广告商建立了合作分成机制，大量越权读取用户地理位置可面向稳定的手机用户群定位来达到精准匹配与投放结算相应广告的目的，这些广告商也可以在此基础上进行有效的用户消费行为分析。

可以看出，打包植入病毒代码的游戏类APP对于各项用户隐私项目的读取与索求又均大于含广告插件类游戏APP。事实上，制毒者与制毒机构也通过将隐私贩卖或者与广告公司分成获取收入等多种手段获取盈利。

总体而言，根据是否属于过度读取隐私权限的判定法则：该软件读取某项隐私权限是否属于功能必须的范畴之内，反之则属于越权读取用户隐私。对于游戏类APP而言，读取用户地理位置、短信、通话、手机号、浏览器书签等各项隐私基本都属于功能范畴之外，因此可以看出，游戏类APP越权读取用户隐私的比例普遍趋高，并呈现出进一步泛滥的趋势。

2.4 感染游戏最多的十大手机病毒大肆吸费消耗流量

热门游戏由于更新换代快，手机用户对游戏尝鲜心理需求驱动下，该渠道成为手机病毒传播的重要载体，通过将热门游戏二次打包批量传播可迅速有效感染海量手机用户，符合病毒制作者的传播与盈利需求。

2013年5月感染游戏最多的十大手机病毒病毒名称.h病毒特征该病毒被捆绑其他插件，启动后骗取用户安装，同时获取用户的手机信息，可能会给用户的手机安全造成一定的威胁。感染游戏数rnel.[暗箭射手]该病毒感染雷电2、德州扑克等游戏，内嵌在正常软件中诱骗用户下载，当安装后在后台私自下载推广软件造成用户手机流量消耗。该病毒安装后，开机强制启动，从远端服务器自动下载恶意脚本代码，私自下载未知应用程序安装包，消耗用户流量，给用户造成资费消耗。.[游戏杀手]该病毒感染黄金矿工等游戏，安装后，从远端服务器私自下载其他软件，本身为盗版软件，给用户造成资费消耗。该病毒安装后，开机强制启动获取ROOT权限，私自联网下载未知软件，消耗用户流量资费。该病毒感染铁拳3D等游戏，安装后，后台启动恶an360.意监控，执行云端指令，私自占用第三方知名应用[推荐密贼]界面，强行显示广告信息，严重影响用户体验和存在流氓行为。该病毒捆绑在热门应用中，植入恶意推广广告，无e.g3app提示私自建立推广快捷方式，无提示私自下载推广软件的行为，给用户造成资费消耗。该病毒安装后，开机强制启动，从远端服务器自动.b下载恶意脚本代码，私自下载未知应用程序安装包，消耗用户流量，给用户造成资费消耗。该病毒安装后发送扣费短信，给用户带来经济损失e

。同时收集用户隐私信息发送到指定服务器，泄漏用户隐私。该病毒感染地铁跑酷等游戏，安装后自动弹出扣费me页面诱骗用户点击，私自发送扣费短信，可能会给用户手机造成一定的威胁。11811数据来源：腾讯移动安全实验室

5月份以来，病毒紧盯游戏感染成为一种趋势。腾讯移动安全实验室监测发现，在感染用户最多的十大病毒当中，以资费消耗类病毒和恶意扣费病毒为主。其中，资费消耗类病毒感染游戏款数最多是手机病毒是.h,该病毒通过捆绑其他插件获取用户隐私信息，感染游戏数达到7048款，是二次篡改打包感染游戏最多的手机病毒。

值得一提的是“暗箭射手”和 “游戏杀手”这两个病毒，分别感染了3706与3279个游戏软件。

“游戏杀手”（）感染了包括了极限方程式赛车、黄金矿工、消灭星星、极限摩托等3279款游戏软件。一旦激活，便会从远程服务器下载其他软件，偷跑手机流量，可能会给玩家造成了严重的资费消耗。

感染游戏软件包数量排名第二的“暗箭射手”（rnel）是腾讯移动安全实验室截获一款更加智能的新型恶意推广病毒。该病毒感染了德州扑克、雷电2、城市跑酷等、黄金矿工等3706款热门游戏，内嵌在正常软件中诱骗用户下载，当安装后在后台私自下载推广软件造成用户手机流量消耗。“发送云端指令”和“弹通知栏广告”是该病毒的两个重要特征。该病毒通过云端配置的列表偷偷在后台下载软件，并通过不定期弹出通知栏广告的形式诱导用户点击，一旦点击则立即提示用户安装，消耗用户流量。

“游戏杀手”与“暗箭射手”分别是资费消耗类与恶意广告类病毒，之所以专盯游戏下

手，一个重要原因在于游戏软件具备快速操作的特性，用户不知不觉点击广告或诱导用户点击安装恶意软件、消耗流量的几率远高于其他软件，高盈利、低成本的特性使得恶意广告类、流量消耗类病毒针对热门软件进行大批量二次打包捆绑传播。

在大量游戏被二次打包篡改过程中，被内置吸费代码进行恶意扣费的情况在手机游戏领域正在变得普遍。这类被内置吸费代码的游戏往往在不经过用户审核的情况下便直接扣费。

据腾讯移动安全实验室统计，在感染游戏最多的十大病毒当中，吸费类病毒就占据了2款。分别是排名第九、第十的e和me病毒。

e病毒安装后会发送扣费短信，同时收集用户隐私信息发送到指定服务器，造成用户资费消耗和隐私泄漏双重危害，针对热门游戏进行二次篡改大肆植入吸费病毒代码，感染了终极格斗-黑帮终结者、暗黑地下城-无双战神、捕虫达人等689款游戏。

排名前十的吸费类病毒me感染了跳跃忍者、地铁跑酷等228款热门手机游戏。该病毒安装后会自动弹出扣费短信，给用户手机造成威胁。

而格斗类、跑酷类等热门游戏更容易被吸费类病毒盯上，尤其是跑酷类手机游戏，相对而言更有噱头和诱惑力。自从探险跑酷类游戏鼻祖“Temple Run”（神庙逃亡）大热之后，经过了长期的用户兴趣和习惯的培育，该类游戏具备一定用户基础，凭借口碑传播，聚集并拉入了大量跑酷类手游忠实爱好者，装机量比较大，这类游戏被“打包党”内置吸费代码进行二次篡改后，内置恶意吸费代码，用户在下载免费游戏获取积分、道具等过程被扣费往往毫不知情。由于这些病毒吸取的费用数目较少，不常查询账单的普通用户往往很难察觉。

吸费类病毒感染软件安装后，典型的情况是，在付费时会诱导用户安装一个恶意付费插件，该类插件其实是病毒软件，会发送SP订购业务短信，拦截运营商二次确认信息，直接替用户回复订购短信，同时删除订购短信，侵犯用户知情权，在不知不觉中吸取用户资费。

腾讯移动安全实验室提醒，恶意打包党往往会将二次打包的正版软件包装成“汉化补丁”、“优化版”、“绿色版”、“升级版”等各种版本，内置恶意扣费代码或广告插件，手机用

户会在不知情的情况下遭遇扣费或者被窃取隐私。所以，对于用户来说，不仅要在正规渠道下载软件，还需要定期检查手机资费使用情况，开启安全软件的隐私权限监控和广告拦截功能，确保手机各方面的安全。

在当今的移动互联网时代，在开源性和开放性都相对更高的Android系统平台，手机游戏逐渐形成了相对成熟的商业模式，在游戏款数、用户数、市场收入均已形成一定规模，制毒者或制毒机构、打包党也基于逐利的本性，也开始大规模针对游戏二次打包、嵌入恶意代码来攫取利润，导致手机木马、恶意广告插件、恶意扣费代码等进一步猖獗。

因此，在伪装手机游戏，大量热门游戏遭二次篡改的情况下，手机游戏用户的经济利益遭遇了较为普遍的损害，各大应用市场、手机安全厂商、手机论坛、游戏APP开发者应共同携手，加大对该领域的安全防范力度与防范措施，共建产业链防范机制，确保用户利益不被损害。

第三章 5月Android病毒行为类型分布

在2013年5月，Android病毒类型分布以资费消耗与隐私获取类、诱骗欺诈三种病毒类型占据主流。资费消耗类病毒行为占据40.41%的比例，隐私获取类占比25.39%，诱骗欺诈类占比13.45%，另外，恶意扣费类病毒行为占比10.06%；流氓行为类病毒行为占比4.02%，系统破坏、恶意传播、远程控制类分别占比3.09%、2.11%、1.47%。

40.41%的资费消耗类病毒未经用户允许后台私自下载未知软件，或从远端服务器私自下载其他软件给用户造成资费消耗行为。恶意传播类病毒“鬼推墙“也通过知名软件界面中强行显示广告，消耗用户流量。病毒消耗资费方式更显多样，甚至已渗透到各种病毒行为之中，造成多种病毒类型基本都附带了资费消耗的特征，同时也造成资费消耗类病毒行为所占比例长期居高不下。

隐私获取类病毒急剧增长，占比25.39%，位居第二。比较具备代表性的是腾讯手机管家5月首家查杀的“伪淘宝”支付病毒，该病毒可伪装成淘宝客户端，通过模拟淘宝官方的用户登录页面收集用户输入的淘宝帐号密码以及支付密码。隐私窃取类病毒读取用户强隐私的倾向越来越明显。

“伪淘宝”病毒的出现，体现出2013年5月份的Android隐私窃取类病毒开始呈现出多种特征，通过伪装知名软件诱导用户下载，将一系列恶意推广、窃取隐私、诱骗欺诈的病毒行为结合起来，致使用户受到多重损失。

在2013年5月，腾讯手机管家还查杀了另外一款高危隐私获取类病毒ger（又称“键盘黑手”），国际知名手机输入法软件SwiftKey KeyBoard已被病毒感染，该病毒可以直接监听用户键盘输入，上传泄露用户账户密码信息，甚至包括信用卡、网银等支付资料。

隐私获取类病毒正在不断变化攻击特点与模式，窃取隐私的手段持续提升，伪装性与隐蔽性均已得到加强，手机支付、手机银行类软件成为容易被隐私窃取类病毒盯上的高危地带。

占比达10.06%的恶意扣费类病毒行为也开始与恶意传播类病毒、诱骗欺诈类行为结合，该类病毒擅长通过伪装情色内容，通过私自发送短信与拦截指定信息、监听隐私回传至服务器、或者向用户联系人发送恶意软件的下载推荐短信手段造成资费消耗、被恶意扣费、隐私泄露。

可以看出，Android病毒伪装能力与智能化水平越来越高，攻击行为正在不断衍生新的特点，对于普通用户而言，防范难度进一步加大。

 o.[鬼推墙]

该病毒启动后，后台监控某些知名软件的运行，并在这些知名软件界面中强行显示广告，消耗用户流量，以及影响这些软件的用户体验。

 e

该病毒安装后发送扣费短信，给用户带来经济损失。同时收集用户隐私信息发送到指定服务器，泄漏用户隐私。

 ger

该病毒嵌入到输入法软件中，监听用户键盘输入，并把输入内容上传到指定远端服务器，给用户造成隐私泄露。

 obao

该病毒伪装成淘宝客户端，骗取用户淘宝帐号、密码以及支付密码发送到指定的手机号码，同时诱骗用户安装恶意子包，给用户造成隐私泄漏以及存在诱骗欺诈行为.

 in

该病毒安装后，通过监测确认用户未安装杀毒软件后私自订购SP业务，并拦截用户短信；同时向用户联系人发送恶意软件的下载推荐短信，存在恶意扣费、恶意传播等行为。





该病毒安装后，未经用户允许后台私自下载未知软件，给用户造成资费消耗和存在流氓行为。

.c

该病毒安装后，从远端服务器私自下载其他软件，本身为盗版软件，给用户造成资费消耗和存在恶意传播的行为。

 ayer

该病毒以情色内容引诱用户安装，启动后私自下载其他安装包，并发送短信订阅服务，存在恶意扣费行为。

第四章 5月Symbian病毒类型分布

在Symbian系统，各类型病毒行为比例分布中，资费消耗类病毒行为占据31.66%的比例，位居第一；诱骗欺诈类与系统破坏类病毒行为分别占比30.09%、22.59%的比例；恶意扣费和隐私窃取类病毒行为分别占比10.80%和3.39%；远程控制、流氓行为、恶意传播类病毒行为分别占比0.59%、0.54%与0.35%。

在Symbian系统， 5月份，资费消耗类、诱骗欺诈、系统破坏类病毒这三大主要病毒类型所占比例重回三分天下的格局。

Symbian系统平台，占据比例最大资费消耗类病毒都会表现出无提示私自联网消耗流量的特征，比如5月Symbian的典型资费消耗类病毒master和eplugin.e，都会表现出安装后无提示联网，消耗用户流量；同时开机自启，占用系统资源等特征.

在2013年5月，破坏安全软件进程、诱骗安装、私自联网、消耗流量同时私发短信订购SP业务等这些Symbian病毒的一贯典型特征得到持续延续。Symbian制毒者或制毒机构通过稳定的渠道与病毒攻击方式攫取利润的特点比较明显。Symbian智能机保有量与新

增病毒或恶意软件也在进一步降低之中，而相对Android病毒多元化与新型病毒与攻击方式不断呈现相比，Symbian系统衰落的趋势非常明显。

 master

该病毒以“系统清理大师”为名诱导用户下载安装，安装后自动联网，消耗上网流量；自动安装恶意插件，占用系统资源，给用户正常使用手机带来一定影响。

 eplugin.e

该病毒伪装成系统组件诱导用户安装，安装后没有启动图标，无提示联网，消耗用户流量；同时开机自启，占用系统资源，可能给用户正常使用手机带来影响。

 eplugin.d

该病毒伪装成系统组件诱导用户安装，安装后没有启动图标，无提示联网，消耗用户流量；同时开机自启，占用系统资源，可能给用户正常使用手机带来影响。

第五章 2013年5月手机染毒区域分布

2013年5月，在Android系统，占比排名全国前十的中毒省份与比例分别为：广东（13.56%）、浙江（8.04%）、江苏（6.64%）、北京（4.88%）、四川（4.82%）、河南（4.40%）、福建（4.08%）、辽宁（3.71%）、山东（3.66%）、湖南（3.49%）。

2013年5月，在Android系统，基本已经呈现出非常稳定与固化的手机染毒格局。广东省以13.56%的高比例继续占据全国染毒比例第一。在2013年5月份，沿海省份与直辖市、中西部发展省份水货手机市场的繁荣持续推动着恶意软件与手机病毒的水涨船高。Android系统基本形成了广东、浙江、江苏、北京三省一市为主以及辐射区域为恶意软件感染的重灾区与高发地带。四川、辽宁、湖南、山东等沿海与中部发展省份Android智能机普及速度加快，制毒者或制毒机构针对这些省份的投毒渠道也逐渐趋向稳定，目前这些省份已经是稳定的Android病毒高发感染省份区域。另外，感染病毒占全国比例排名前十五的省份的比例差距正在趋向均衡化，差距正在缩小，制毒者或制毒机构倾向于全国均衡布局的倾向也越来越明显。

另外，四川省以4.82%的比例继续占据全国手机染毒排名第五的位置。四川省作为中西部地区经济大省，Android手机保有量继续上升的同时，制毒者或制毒机构的逐利性的

惯性，加大了针对Android手机聚集区的病毒投放，大量恶意软件通过各种染毒渠道感染了大量四川省的Android手机用户，感染比例逐步稳定上升。

在Symbian系统，河北省以占据全国13.32%的染毒比例位居第一，第二次超越了广东省。广东省以占据全国9.78%的比例位居第二。感染占全国比例前十的省份分别是河北、广东、山东、四川、湖南、河南、北京市、江西、辽宁、福建。可以看出，中西部经济发展省份占据了Symbian染毒区域的主体。而Symbian的主流用户群体已经逐步从沿海发达省份与城市淡出，目前Symbian系统制毒者或制毒机构也针对中西部省份Symbian用户集聚地区加大了病毒投放。总体而言，Symbian系统衰落的趋势正在持续。

第六章 手机病毒主要传播渠道

目前而言，手机用户大多会通过电子市场和手机论坛下载各种游戏、工具类等应用，也有用户会通过二维码等渠道刷码即可轻松下载应用。然而，目前，在电子市场、手机论坛、二维码渠道下载应用有着病毒入侵的风险。

腾讯移动安全实验监测到，电子市场依然是手机用户下载应用时感染病毒的最大风险渠道，病毒来源占比23%，手机论坛占比20%、软件捆绑占比17%；手机资源站、ROM内置、二维码渠道分别占比15%、10%、9%。网盘传播占比6%。

可以看出，电子市场作为手机用户下载应用最主要的来源，加之电子市场缺少对于应用检测的专业拦截技术和安全标准，目前不少主流电子市场接入了手机安全软件的查杀引擎和安全绿色认证机制，但由于国内电子市场商家众多，手机端电子市场又成为恶意软件拦截和检测的薄弱环节，致使手机木马和恶意软件的比例依然高企。

在手机论坛，安全检测机制更加薄弱，山寨、恶意软件分布广、用户多，上传审核机制不完善，恶意软件可以通过二次打包篡改手机游戏、壁纸等软件在论坛快速传播，快速批量感染海量用户群。手机论坛的比例高达20%，位居第二。

在2013年5月，手机木马和恶意软件的传播途径进一步呈现出多样化与均衡化的发展趋势。其中，ROM刷机包、软件捆绑、二维码三个渠道成为新兴的恶意软件和木马病毒高发区。

二维码与ROM渠道成为木马和恶意软件的新兴的”藏毒仓库“。二维码的普及的大背景下，不少制毒者或制毒机构借助二维码这件高科技的外衣包裹恶意软件或恶意网址链接，手机用户一旦刷到藏”毒“二维码，病毒往往通过强制下载、安装恶意软件或跳转至恶意网址链接等方式，达到获取隐私、推广软件或恶意扣费的目的。手机用户因为刷二维码而染毒

的比例快速提升，5月份达到9%。二维码渠道病毒来源第一次超过网盘传播。目前，制毒机构与制毒者通过网盘提供下载链接的病毒传播方式也正在持续蔓延。网盘传播比例达到6%。

ROM渠道病毒来源进一步泛滥。这与Android用户刷机更加频繁、不法水货厂商与恶意开发者合作内置恶意软件相关，由于ROM渠道的隐密性，该渠道已成为高危病毒的重要来源，移动互联网盈利模式的匮乏，ROM内置病毒也进一步泛滥。

5月，手机病毒通过二次打包植入恶意代码捆绑知名软件大肆传播已成为一种普遍的常规感染方式，在手机游戏领域，手机病毒捆绑热门游戏二次打包传播尤其突出，这一病毒感染的渠道来源的危害正在进一步凸显。

七 专家建议

随着手机安全形势的恶化，手机用户应提升自身的手机安全意识，移动安全实验室专家对手机用户做出如下建议。

1.手机用户应该选择从正规安全的渠道下载游戏类应用。目前在许多不正规的下载渠道

遍布山寨软件与被二次篡改后的恶意软件。用户可通过腾讯手机管家PC版、应用宝等应用下载平台下载软件，这些平台的软件均经过腾讯手机管家的安全检测，可确保下载安全。

2.提升安全意识，对手机异常情况保持敏感度。比如用户不要点击收到的不明短信链接。随着套取用户网银账号与密码等信息的钓鱼网站也进一步增长，对于微信、百度搜索、微博以及手机QQ、人人网、YouTube等知名应用出现的浮窗等广告应保持警惕，可通过腾讯手机管家等安全软件及时查杀“推荐密贼””鬼推墙“等高危病毒。

3.不要见码就刷。二维码的火爆，使得该渠道成为一个新兴的病毒来源。手机用户最好安装具备二维码恶意网址拦截的手机安全软件进行检测和防护，或使用接入安全识别功能的二维码软件，降低二维码染毒的风险。

4.从正规的渠道购买手机或刷ROM包。在目前，许多水货手机往往在出货前就已经刷机或者内置了各种流氓软件，而这些刷入或内置入ROM的恶意软件包一般很难用常规手段卸载或清除，新买的手机应及时下载腾讯手机管家，获取Root权限，及时查杀ROM病毒与最新流行病毒。

5.手机用户应学会用安全软件来维护手机安全。手机用户可下载安装如腾讯手机管家一类的手机安全软件定期给手机进行体检和病毒查杀，并及时更新病毒库查杀“推荐密贼”、“鬼推墙“、”键盘黑手“等最新高危病毒。另外，手机用户还可以使用该软件的隐私权限监控、软件联网管理等功能，及时监控恶意软件的过度权限要求和后台私自联网等恶意行为，确保利益不被损害。

目前而言，用户还可以关注@腾讯移动安全实验室、@腾讯手机管家的官方微博以及相关的“恶意软件曝光”行动，对手机安全资讯做到全面把握和掌控，安享移动互联网生活。

腾讯手机管家官方网站：

腾讯手机管家腾讯微博：/qqsecure

腾讯手机管家新浪微博：/qqmanager

腾讯移动安全实验室官方微博：/QQSecurityLab

2013年6月8日

版权声明：本报告中凡注明来源于“腾讯移动安全实验室”等一切图表数据及研究分析结论均属于腾讯公司版权所有，如需转载或摘编，敬请注明出处。

2024年1月4日发(作者：伊芷荷)

腾讯移动安全实验室2013年5月手机安全报告

一、总体概述

2013年5月，基于腾讯手机管家安全产品服务的腾讯移动安全实验室共截获手机病毒包总数为71969个，Android系统截获病毒包69178个，Symbian系统截获病毒包2791个。Android系统截获的病毒包占比达96.1%，Android病毒增长速度继续呈现井喷趋势。病毒多元化趋势进一步加强，各种类型的新型病毒大量涌现，手机安全环境显得愈发恶劣。

2013年5月，海外惊现一款高危新型的隐私窃取类病毒ger（“键盘黑手”），该病毒感染国际知名输入法软件SwiftKey KeyBoard，直接监听用户键盘输入，记录用户的信用卡、网银以及各种账户密码信息，造成用户隐私大规模泄漏。

2013年5月末，“投影广告”类病毒大肆来袭。在2013年4月，感染“铁拳3D”等热门游戏的“推荐密贼“病毒可针对微信等知名软件强制推送广告，在5月，云端控制指

令病毒“鬼推墙”疯狂来袭，该病毒针对微信、手机QQ、人人网、YouTube等知名软件大肆强制推送广告，预计有150万用户被感染。

随着制毒者或制毒机构逐利性增强，类似“推荐密贼”、“鬼推墙”等“投影广告”类病毒通过云指令强行对知名应用大肆弹出广告条类型的病毒有大面积爆发趋势。

2013年5月，手机支付再现危情。继“洛克蠕虫”之后，腾讯手机管家又查杀了一款“伪淘宝”支付类病毒，该病毒可通过模拟淘宝官方的用户登录页面收集用户输入的淘宝帐号密码以及支付密码，网银风险进一步增大。

2013年5月，手机染毒省份进一步趋向稳定。在Android系统，广东、浙江、江苏、北京、四川是手机中毒用户占全国比例排名前五的省份或直辖市。这四省一市手机染毒占据全国比例分别依次为：13.56%、8.04%、6.64%、4.88%、4.82%。从整个手机染毒分布的区域比例与趋势看，各省份染毒占全国的比例逐步偏向于均衡化。

2013年5月，随着手机APP的日渐丰富，为人们移动互联网生活带来了诸多便利，尤其是手机游戏类APP，增势强劲，更新换代的速度非常快。但另一方面，游戏类APP正面临野蛮生长的混乱时期，也成为各种恶意软件青睐和入侵的重要对象。

手机病毒针对手机游戏类APP二次打包篡改进行批量感染的情况在2013年5月尤为

突出。腾讯移动安全实验室监测，在手机用户遭受到的手机安全问题当中，游戏类APP成为高发地带。腾讯移动安全实验室5月手机安全报告也将针对游戏类APP做一次数据统计与趋势判断。

二、游戏类APP概要统计

手机用户正遭受游戏类APP带来的各种烦恼：广告不停弹出，流量无故消耗，莫名被扣费、过度读取隐私权限等等。2013年5月，腾讯移动安全实验室从电子市场合作伙伴提供的上线前检测的Android软件包中，随机抽取了游戏类软件75642个，而从这些游戏软件包中，腾讯移动安全实验室截获到大量篡改Android游戏的恶意软件与恶意广告。

腾讯移动安全实验室针对75642款游戏软件包进行定性监测发现，在这些游戏类软件中，被查杀出2950个软件包含有病毒；另外，具备一定的风险，需要谨慎使用软件包有756个；被查出内含广告插件的软件包有33535个；可以看出，广告插件类APP泛滥之势非常突出。

在被查出有病毒行为的2950个游戏类软件中，其中，资费消耗类病毒样本包有1875

个、流氓行为类有569个、诱骗欺诈类有303个、恶意传播类有159个, 恶意扣费类的有125个，隐私获取类有91个。由于一个被感染的软件包往往包含多个病毒行为，将它们去重之后，统计到它们所占据的比例分别为60.06%、18.23%、9.71%、5.09%、4.0%、2.91%。由此可见，游戏类APP被资费消耗类病毒感染的情况占据主流。

2.1 “打包党”恶意篡改游戏猖獗 大量用户利益受损

目前而言，手机游戏被“打包党”恶意篡改次数数不胜数，而被恶意篡改后的手机游戏往往会对用户造成扣费、流量消耗、读取隐私、弹广告等几种伤害。腾讯移动安全实验室也因此针对2013年5月被恶意篡改次数最多的手机游戏进行了统计。

2013年5月被嵌入病毒次数最多的游戏软件名仙镜Online愤怒的小鸟去广告版雷电2012HD大鱼吃小鱼3D狂暴赛车极速赛车Bike Race3D宠物猫汇乐斗地主中国象棋大师Highway Racing会说话的汤姆猫2被嵌入病毒包数2950感染人数953321629感染的典型病毒ng

d

.f

e.g3app.

rnel.[暗箭射手]

ger

le

sh

rnel.[暗箭射手]

ger

数据来源：腾讯移动安全实验室

被篡改次数最多的游戏为“仙境Online”，被二次打包篡改成病毒包的次数高达295次。排名第二、第三的游戏分别为“愤怒的小鸟去广告版”和“雷电2012HD”，被篡改次数分别为176、147次。篡改次数一定上反映出该软件的山寨版本的款数，这意味着，“仙境Online”、“愤怒的小鸟去广告版”和“雷电2012HD”三个官方版本的游戏被二次篡改包装成“破解版”、“绿色版”等山寨版本就分别有295、176和147款。

在5月，热门游戏 “极速赛车”、“Bike Race”、“中国象棋大师”、“会说话的汤姆猫2”均被恶意篡改达50次、49次、43次、40次。也就是说，这三款热门游戏分别有50、49、43、40个被打包植入病毒山寨版本。

其中，“3D狂暴飞车”这款手游被恶意篡改成病毒达56次，感染人数超过18.6万，在2013年5月被篡改次数TOP10的手机游戏中，感染人数最多。

从统计可知，山寨游戏APP被病毒二次打包内置各种恶意插件已成泛滥之势，而随着各种内置病毒代码的山寨类APP在各渠道堆积，用户下载的机率极高，而被病毒二次打包篡改后的山寨版本都具有恶意软件的性质，对用户造成的危害也越来越大。用户应如何辨别被篡改后的游戏APP山寨版本？

腾讯移动安全实验室提醒：目前而言，许多针对热门游戏重新开发的山寨游戏类APP主要通过在名称、LOGO、首页等辨识度高的地方拷贝知名应用，但往往图标粗糙无质感，网页内容相对简易，借助原创应用的知名度来吸引用户。但遭二次打包篡改后的山寨游戏软件往往在logo、首页等界面与正版完全一样，用户无从分辨。但并非所有二次打包篡改后的山寨游戏软件包都内置了病毒代码，许多山寨版本游戏APP还会内置广告插件，而用户一旦下载到这些山寨版本，往往也会被骗取流量、被吸费、隐私遭窃取等。

因此，手机用户尽量前往具有安全认证的电子市场、官方网站或者去腾讯手机管家“软件下载”功能模块下去下载应用，这些渠道的APP都经过腾讯手机管家等专业安全软件的检测，可确保下载安全。如果发现手机费用或流量异常，有可能是安装了有问题的山寨APP，可通过腾讯手机管家等安全软件进行检测。

据腾讯移动安全实验室监测，“打包党”针对手机游戏二次打包篡改，一般通过植入病毒代码或者广告插件的方式来攫取利润。而打包植入广告的情况尤其普遍。据统计，在随机

抽取的75642个游戏软件包中，包含了广告插件的软件包数达到44.3%的比例，为33535个。往往许多含广告插件类的游戏软件包内含一类或多类广告插件，按单类计算，含BANNER广告的游戏软件包数位28758个，占比85.75%，占据最大比例；含积分墙广告的游戏软件包数达20015个，占比为59.68%;包含通知栏广告的游戏软件包为17459，占比52%；

由数据可知，手机游戏目前正成为广告插件植入的重灾区。在广告类型中，总体而言，通知栏、积分栏、BANNER广告呈现均衡化分布的格局。许多APP开发商对于盈利模式还在进行持续的探索，在没有找到更好的盈利模式之前，应用内置广告仍然是最直接的收入来源。另一方面，迫于短时营收压力，部分游戏 APP开发商、打包党会与移动广告平台签署协议，在应用中内置广告代码，甚至是直接嵌入恶意广告代码，借助移动广告分成来实现快速盈利变现之目的。这也是遭遇篡改的手机游戏大肆泛滥的最重要原因。

2.2 含广告插件最多的十大手机游戏装机量超254万

腾讯移动安全实验室针对内嵌第三方广告插件的手机游戏进行了统计，2013年5月，含广告插件包排名前十的游戏软件基本都是拥有海量用户的热门游戏。它们分别依次为：死亡飞车2011、捕鱼达人2011、单机斗地主、消灭星星、捕鱼达人2、扎金花、黄金矿工、超级玛丽、德州扑克、泡泡龙shoot bubble。这十大游戏软件共有8146个软件包被内嵌了其他第三方广告插件，平均每款游戏有超过814个游戏软件包遭二次篡改植入其他第三方广告插件，目前这些游戏软件包安装用户总数超过254万。

2013年5月含广告插件最多的十大手机游戏软件名称死亡飞车2011捕鱼达人单机斗地主广告插件特征含广告插件，可读取本机位置信息,泄露行踪。含广告插件，可读取软件列表，可能推送软件。含广告插件,可读取软件列表,可能导致您的手机被推送其他软件。含广告插件,可读取本机号码,可能导致用户收到垃圾短信或者陌生电话的骚扰;可读取本机位置信息;可读取软件列表与短信,泄露用户短信内容或推广软件。广告插件包安装用户数4834475961053129消灭星星409214674捕鱼达人2含广告插件，可读取软件列表、通话记录,泄露隐私;可创建桌面快捷图标,导致被恶意推广软件。含广告插件，可读取软件列表,可能导致您的手机被推送其他软件。含广告插件，可读取软件列表,可能导致您的手机被推送其他软件。含广告插件,可读取软件列表,可能导致您的手机被推送其他软件。含广告插件可读取设备信息,可能泄露您的个人隐私;可拨打电话,消耗资费。含广告插件，可拨打电话,可导致用户资费被消3771679919扎金花36163567黄金矿工34274922超级玛丽331201729德州扑克31347913泡泡龙shoot bubble耗；可读取本机位置信息,泄露用户行踪;可读取软件列表,可能导致用户手机被推送其他软件。2981308数据来源：腾讯移动安全实验室其中，含广告插件最多的游戏是“死亡飞车2011”，该游戏含广告插件的软件达到4834款，超过排名前十含广告插件游戏软件包总数的一半。

排名第二的“捕鱼达人2011”含广告插件软件包470款，少于“死亡飞车”被内置广告插件包的十分之一。可见，广告插件内置集中化趋势明显。但与此同时，由于“捕鱼达人”作为一款非常火热的手机游戏，海量的用户数使得被植入的470款第三方广告插件的软件包影响超过132万用户，是安装人数最多的含第三方广告插件类游戏软件。

值得注意的是，“捕鱼达人2”被植入广告插件也高达377款，装机用户量则高达55.4万。“捕鱼达人”系列游戏在广告插件数分别位居第二、第五；影响装机用户数则分列第一和第二。

从数据统计分析可知，热门游戏与广告插件被植入的款数和影响用户数基本呈现正相关趋势。可以看出，打包党针对热门游戏打包篡改植入广告插件的趋势非常明显。由于热门游戏与海量用户相关联，打包党凭借对热门游戏的敏锐嗅觉，往往集中在一款或几款热门游戏进行海量打包，可迅速面向海量的手机用户推送广告信息，符合他们利益最大化的需求。

2.3 游戏类软件越权读取隐私泛滥

据腾讯移动安全实验室统计，在含广告插件最多的十大游戏中，广告插件的危害特征主要体现为：

（1）可读取本机号码和短信,泄漏隐私或导致用户遭受垃圾短信或者陌生电话骚扰;

（2）读取本机位置信息,可泄露用户行踪。

（3）可读取设备信息、软件列表,可导致用户手机被推送其他软件；

（4）可拨打电话,导致资费消耗。

从读取隐私的特征来看，可以发现读取隐私的主要目的：将用户的隐私信息贩卖给第三方机构或广告数据公司，第三方机构广告公司可以通过用户手机号码推送广告信息，或者根据用户所处的位置与用户的行为习惯，精准匹配相应的广告或者推送相应的软件。另外，其中一些恶意广告插件还会私自扣取用户资费或无故消耗流量等危害。

可以看出，2013年5月，恶意软件泛滥与制毒者或制毒机构、“打包党”、山寨公司等通过把正版游戏软件二次打包内置病毒代码、广告插件密不可分。

另外可以看出，窃取隐私几乎成为排名前十大广告插件类游戏APP的主要目的。因此，腾讯移动安全实验室也针对75642个手机游戏软件包，进行了隐私权限读取情况的检测分析。分析发现，大量Android手机游戏存在在非功能必要情况下调用过多权限的情况，在游戏类APP读取隐私权限的比例中，读取本机手机号、读取设备识别、读取地理位置分别以40.99%、28.96%、28.58%位居前三。打开录音器和读取通讯录分别占比11.63%、9.76%；读取短信、打开手机摄像头、读取通话记录、读取浏览器书签等分别占比9.40%、6.78%、6.3%、4.13%.

在含广告插件类游戏APP中读取隐私权限的比例分别为，读取地理位置、读取本机手机号、读取设备识别分别以55.49%、52.71%、35.47%的比例位居前三；读取浏览器书签、打开录音器、打开摄像头分别占比达6.84%、4.66%、3.66%；读取通信录、读取短信、读取通话记录分别占比2.16%、1.6%、0.13%。

在被打包病毒代码的游戏类APP中，读取本机手机号、读取设备识别、读取地理位置

分别以69.49%、67.93%、62.58%位居前三；具有打开摄像头、读取短信的、打开录音器权限的比例分别为12.92%、10.69%、8.69%；记录读取浏览器书签、读取通信录、读取通话记录的比例分别为3.79%、1.34%、0.45%。

在游戏类APP与含广告插件类游戏APP两者之间读取隐私权限比例对比中可以发现，读取本机号码以超过40%的比例成为游戏类APP获取的第一目标隐私。读取地理位置信息与本机手机号两项都以超过55%的比例成为含广告插件类游戏APP获取的第一目标隐私。

而在被打包病毒代码的游戏APP中，读取本机手机号、读取设备识别信息、读取地理位置三项均以超过62%的比例成为该类APP所要获取的第一目标隐私。

腾讯移动安全实验室在2013年第一季度手机安全报告曾对APP与含广告插件类APP、病毒读取用户隐私权限做过细化分析，根据分析结论，一款APP是否过度读取用户隐私，与该软件是否包含广告插件呈现正相关趋势。即包含广告插件的软件包过度读取用户隐私的几率远超过没含广告插件的软件包。而在游戏类APP与含广告插件游戏类APP中，这个结论依然成立。从图中看出，含广告插件类APP读取各项隐私的比例远超过游戏类APP总体上各项隐私被读取的比例。

与游戏APP读取隐私权限相比，含广告插件的游戏类APP在获取用户地理位置比例上远远高于前者。由于“打包党”与某些移动广告商建立了合作分成机制，大量越权读取用户地理位置可面向稳定的手机用户群定位来达到精准匹配与投放结算相应广告的目的，这些广告商也可以在此基础上进行有效的用户消费行为分析。

可以看出，打包植入病毒代码的游戏类APP对于各项用户隐私项目的读取与索求又均大于含广告插件类游戏APP。事实上，制毒者与制毒机构也通过将隐私贩卖或者与广告公司分成获取收入等多种手段获取盈利。

总体而言，根据是否属于过度读取隐私权限的判定法则：该软件读取某项隐私权限是否属于功能必须的范畴之内，反之则属于越权读取用户隐私。对于游戏类APP而言，读取用户地理位置、短信、通话、手机号、浏览器书签等各项隐私基本都属于功能范畴之外，因此可以看出，游戏类APP越权读取用户隐私的比例普遍趋高，并呈现出进一步泛滥的趋势。

2.4 感染游戏最多的十大手机病毒大肆吸费消耗流量

热门游戏由于更新换代快，手机用户对游戏尝鲜心理需求驱动下，该渠道成为手机病毒传播的重要载体，通过将热门游戏二次打包批量传播可迅速有效感染海量手机用户，符合病毒制作者的传播与盈利需求。

2013年5月感染游戏最多的十大手机病毒病毒名称.h病毒特征该病毒被捆绑其他插件，启动后骗取用户安装，同时获取用户的手机信息，可能会给用户的手机安全造成一定的威胁。感染游戏数rnel.[暗箭射手]该病毒感染雷电2、德州扑克等游戏，内嵌在正常软件中诱骗用户下载，当安装后在后台私自下载推广软件造成用户手机流量消耗。该病毒安装后，开机强制启动，从远端服务器自动下载恶意脚本代码，私自下载未知应用程序安装包，消耗用户流量，给用户造成资费消耗。.[游戏杀手]该病毒感染黄金矿工等游戏，安装后，从远端服务器私自下载其他软件，本身为盗版软件，给用户造成资费消耗。该病毒安装后，开机强制启动获取ROOT权限，私自联网下载未知软件，消耗用户流量资费。该病毒感染铁拳3D等游戏，安装后，后台启动恶an360.意监控，执行云端指令，私自占用第三方知名应用[推荐密贼]界面，强行显示广告信息，严重影响用户体验和存在流氓行为。该病毒捆绑在热门应用中，植入恶意推广广告，无e.g3app提示私自建立推广快捷方式，无提示私自下载推广软件的行为，给用户造成资费消耗。该病毒安装后，开机强制启动，从远端服务器自动.b下载恶意脚本代码，私自下载未知应用程序安装包，消耗用户流量，给用户造成资费消耗。该病毒安装后发送扣费短信，给用户带来经济损失e

。同时收集用户隐私信息发送到指定服务器，泄漏用户隐私。该病毒感染地铁跑酷等游戏，安装后自动弹出扣费me页面诱骗用户点击，私自发送扣费短信，可能会给用户手机造成一定的威胁。11811数据来源：腾讯移动安全实验室

5月份以来，病毒紧盯游戏感染成为一种趋势。腾讯移动安全实验室监测发现，在感染用户最多的十大病毒当中，以资费消耗类病毒和恶意扣费病毒为主。其中，资费消耗类病毒感染游戏款数最多是手机病毒是.h,该病毒通过捆绑其他插件获取用户隐私信息，感染游戏数达到7048款，是二次篡改打包感染游戏最多的手机病毒。

值得一提的是“暗箭射手”和 “游戏杀手”这两个病毒，分别感染了3706与3279个游戏软件。

“游戏杀手”（）感染了包括了极限方程式赛车、黄金矿工、消灭星星、极限摩托等3279款游戏软件。一旦激活，便会从远程服务器下载其他软件，偷跑手机流量，可能会给玩家造成了严重的资费消耗。

感染游戏软件包数量排名第二的“暗箭射手”（rnel）是腾讯移动安全实验室截获一款更加智能的新型恶意推广病毒。该病毒感染了德州扑克、雷电2、城市跑酷等、黄金矿工等3706款热门游戏，内嵌在正常软件中诱骗用户下载，当安装后在后台私自下载推广软件造成用户手机流量消耗。“发送云端指令”和“弹通知栏广告”是该病毒的两个重要特征。该病毒通过云端配置的列表偷偷在后台下载软件，并通过不定期弹出通知栏广告的形式诱导用户点击，一旦点击则立即提示用户安装，消耗用户流量。

“游戏杀手”与“暗箭射手”分别是资费消耗类与恶意广告类病毒，之所以专盯游戏下

手，一个重要原因在于游戏软件具备快速操作的特性，用户不知不觉点击广告或诱导用户点击安装恶意软件、消耗流量的几率远高于其他软件，高盈利、低成本的特性使得恶意广告类、流量消耗类病毒针对热门软件进行大批量二次打包捆绑传播。

在大量游戏被二次打包篡改过程中，被内置吸费代码进行恶意扣费的情况在手机游戏领域正在变得普遍。这类被内置吸费代码的游戏往往在不经过用户审核的情况下便直接扣费。

据腾讯移动安全实验室统计，在感染游戏最多的十大病毒当中，吸费类病毒就占据了2款。分别是排名第九、第十的e和me病毒。

e病毒安装后会发送扣费短信，同时收集用户隐私信息发送到指定服务器，造成用户资费消耗和隐私泄漏双重危害，针对热门游戏进行二次篡改大肆植入吸费病毒代码，感染了终极格斗-黑帮终结者、暗黑地下城-无双战神、捕虫达人等689款游戏。

排名前十的吸费类病毒me感染了跳跃忍者、地铁跑酷等228款热门手机游戏。该病毒安装后会自动弹出扣费短信，给用户手机造成威胁。

而格斗类、跑酷类等热门游戏更容易被吸费类病毒盯上，尤其是跑酷类手机游戏，相对而言更有噱头和诱惑力。自从探险跑酷类游戏鼻祖“Temple Run”（神庙逃亡）大热之后，经过了长期的用户兴趣和习惯的培育，该类游戏具备一定用户基础，凭借口碑传播，聚集并拉入了大量跑酷类手游忠实爱好者，装机量比较大，这类游戏被“打包党”内置吸费代码进行二次篡改后，内置恶意吸费代码，用户在下载免费游戏获取积分、道具等过程被扣费往往毫不知情。由于这些病毒吸取的费用数目较少，不常查询账单的普通用户往往很难察觉。

吸费类病毒感染软件安装后，典型的情况是，在付费时会诱导用户安装一个恶意付费插件，该类插件其实是病毒软件，会发送SP订购业务短信，拦截运营商二次确认信息，直接替用户回复订购短信，同时删除订购短信，侵犯用户知情权，在不知不觉中吸取用户资费。

腾讯移动安全实验室提醒，恶意打包党往往会将二次打包的正版软件包装成“汉化补丁”、“优化版”、“绿色版”、“升级版”等各种版本，内置恶意扣费代码或广告插件，手机用

户会在不知情的情况下遭遇扣费或者被窃取隐私。所以，对于用户来说，不仅要在正规渠道下载软件，还需要定期检查手机资费使用情况，开启安全软件的隐私权限监控和广告拦截功能，确保手机各方面的安全。

在当今的移动互联网时代，在开源性和开放性都相对更高的Android系统平台，手机游戏逐渐形成了相对成熟的商业模式，在游戏款数、用户数、市场收入均已形成一定规模，制毒者或制毒机构、打包党也基于逐利的本性，也开始大规模针对游戏二次打包、嵌入恶意代码来攫取利润，导致手机木马、恶意广告插件、恶意扣费代码等进一步猖獗。

因此，在伪装手机游戏，大量热门游戏遭二次篡改的情况下，手机游戏用户的经济利益遭遇了较为普遍的损害，各大应用市场、手机安全厂商、手机论坛、游戏APP开发者应共同携手，加大对该领域的安全防范力度与防范措施，共建产业链防范机制，确保用户利益不被损害。

第三章 5月Android病毒行为类型分布

在2013年5月，Android病毒类型分布以资费消耗与隐私获取类、诱骗欺诈三种病毒类型占据主流。资费消耗类病毒行为占据40.41%的比例，隐私获取类占比25.39%，诱骗欺诈类占比13.45%，另外，恶意扣费类病毒行为占比10.06%；流氓行为类病毒行为占比4.02%，系统破坏、恶意传播、远程控制类分别占比3.09%、2.11%、1.47%。

40.41%的资费消耗类病毒未经用户允许后台私自下载未知软件，或从远端服务器私自下载其他软件给用户造成资费消耗行为。恶意传播类病毒“鬼推墙“也通过知名软件界面中强行显示广告，消耗用户流量。病毒消耗资费方式更显多样，甚至已渗透到各种病毒行为之中，造成多种病毒类型基本都附带了资费消耗的特征，同时也造成资费消耗类病毒行为所占比例长期居高不下。

隐私获取类病毒急剧增长，占比25.39%，位居第二。比较具备代表性的是腾讯手机管家5月首家查杀的“伪淘宝”支付病毒，该病毒可伪装成淘宝客户端，通过模拟淘宝官方的用户登录页面收集用户输入的淘宝帐号密码以及支付密码。隐私窃取类病毒读取用户强隐私的倾向越来越明显。

“伪淘宝”病毒的出现，体现出2013年5月份的Android隐私窃取类病毒开始呈现出多种特征，通过伪装知名软件诱导用户下载，将一系列恶意推广、窃取隐私、诱骗欺诈的病毒行为结合起来，致使用户受到多重损失。

在2013年5月，腾讯手机管家还查杀了另外一款高危隐私获取类病毒ger（又称“键盘黑手”），国际知名手机输入法软件SwiftKey KeyBoard已被病毒感染，该病毒可以直接监听用户键盘输入，上传泄露用户账户密码信息，甚至包括信用卡、网银等支付资料。

隐私获取类病毒正在不断变化攻击特点与模式，窃取隐私的手段持续提升，伪装性与隐蔽性均已得到加强，手机支付、手机银行类软件成为容易被隐私窃取类病毒盯上的高危地带。

占比达10.06%的恶意扣费类病毒行为也开始与恶意传播类病毒、诱骗欺诈类行为结合，该类病毒擅长通过伪装情色内容，通过私自发送短信与拦截指定信息、监听隐私回传至服务器、或者向用户联系人发送恶意软件的下载推荐短信手段造成资费消耗、被恶意扣费、隐私泄露。

可以看出，Android病毒伪装能力与智能化水平越来越高，攻击行为正在不断衍生新的特点，对于普通用户而言，防范难度进一步加大。

 o.[鬼推墙]

该病毒启动后，后台监控某些知名软件的运行，并在这些知名软件界面中强行显示广告，消耗用户流量，以及影响这些软件的用户体验。

 e

该病毒安装后发送扣费短信，给用户带来经济损失。同时收集用户隐私信息发送到指定服务器，泄漏用户隐私。

 ger

该病毒嵌入到输入法软件中，监听用户键盘输入，并把输入内容上传到指定远端服务器，给用户造成隐私泄露。

 obao

该病毒伪装成淘宝客户端，骗取用户淘宝帐号、密码以及支付密码发送到指定的手机号码，同时诱骗用户安装恶意子包，给用户造成隐私泄漏以及存在诱骗欺诈行为.

 in

该病毒安装后，通过监测确认用户未安装杀毒软件后私自订购SP业务，并拦截用户短信；同时向用户联系人发送恶意软件的下载推荐短信，存在恶意扣费、恶意传播等行为。





该病毒安装后，未经用户允许后台私自下载未知软件，给用户造成资费消耗和存在流氓行为。

.c

该病毒安装后，从远端服务器私自下载其他软件，本身为盗版软件，给用户造成资费消耗和存在恶意传播的行为。

 ayer

该病毒以情色内容引诱用户安装，启动后私自下载其他安装包，并发送短信订阅服务，存在恶意扣费行为。

第四章 5月Symbian病毒类型分布

在Symbian系统，各类型病毒行为比例分布中，资费消耗类病毒行为占据31.66%的比例，位居第一；诱骗欺诈类与系统破坏类病毒行为分别占比30.09%、22.59%的比例；恶意扣费和隐私窃取类病毒行为分别占比10.80%和3.39%；远程控制、流氓行为、恶意传播类病毒行为分别占比0.59%、0.54%与0.35%。

在Symbian系统， 5月份，资费消耗类、诱骗欺诈、系统破坏类病毒这三大主要病毒类型所占比例重回三分天下的格局。

Symbian系统平台，占据比例最大资费消耗类病毒都会表现出无提示私自联网消耗流量的特征，比如5月Symbian的典型资费消耗类病毒master和eplugin.e，都会表现出安装后无提示联网，消耗用户流量；同时开机自启，占用系统资源等特征.

在2013年5月，破坏安全软件进程、诱骗安装、私自联网、消耗流量同时私发短信订购SP业务等这些Symbian病毒的一贯典型特征得到持续延续。Symbian制毒者或制毒机构通过稳定的渠道与病毒攻击方式攫取利润的特点比较明显。Symbian智能机保有量与新

增病毒或恶意软件也在进一步降低之中，而相对Android病毒多元化与新型病毒与攻击方式不断呈现相比，Symbian系统衰落的趋势非常明显。

 master

该病毒以“系统清理大师”为名诱导用户下载安装，安装后自动联网，消耗上网流量；自动安装恶意插件，占用系统资源，给用户正常使用手机带来一定影响。

 eplugin.e

该病毒伪装成系统组件诱导用户安装，安装后没有启动图标，无提示联网，消耗用户流量；同时开机自启，占用系统资源，可能给用户正常使用手机带来影响。

 eplugin.d

该病毒伪装成系统组件诱导用户安装，安装后没有启动图标，无提示联网，消耗用户流量；同时开机自启，占用系统资源，可能给用户正常使用手机带来影响。

第五章 2013年5月手机染毒区域分布

2013年5月，在Android系统，占比排名全国前十的中毒省份与比例分别为：广东（13.56%）、浙江（8.04%）、江苏（6.64%）、北京（4.88%）、四川（4.82%）、河南（4.40%）、福建（4.08%）、辽宁（3.71%）、山东（3.66%）、湖南（3.49%）。

2013年5月，在Android系统，基本已经呈现出非常稳定与固化的手机染毒格局。广东省以13.56%的高比例继续占据全国染毒比例第一。在2013年5月份，沿海省份与直辖市、中西部发展省份水货手机市场的繁荣持续推动着恶意软件与手机病毒的水涨船高。Android系统基本形成了广东、浙江、江苏、北京三省一市为主以及辐射区域为恶意软件感染的重灾区与高发地带。四川、辽宁、湖南、山东等沿海与中部发展省份Android智能机普及速度加快，制毒者或制毒机构针对这些省份的投毒渠道也逐渐趋向稳定，目前这些省份已经是稳定的Android病毒高发感染省份区域。另外，感染病毒占全国比例排名前十五的省份的比例差距正在趋向均衡化，差距正在缩小，制毒者或制毒机构倾向于全国均衡布局的倾向也越来越明显。

另外，四川省以4.82%的比例继续占据全国手机染毒排名第五的位置。四川省作为中西部地区经济大省，Android手机保有量继续上升的同时，制毒者或制毒机构的逐利性的

惯性，加大了针对Android手机聚集区的病毒投放，大量恶意软件通过各种染毒渠道感染了大量四川省的Android手机用户，感染比例逐步稳定上升。

在Symbian系统，河北省以占据全国13.32%的染毒比例位居第一，第二次超越了广东省。广东省以占据全国9.78%的比例位居第二。感染占全国比例前十的省份分别是河北、广东、山东、四川、湖南、河南、北京市、江西、辽宁、福建。可以看出，中西部经济发展省份占据了Symbian染毒区域的主体。而Symbian的主流用户群体已经逐步从沿海发达省份与城市淡出，目前Symbian系统制毒者或制毒机构也针对中西部省份Symbian用户集聚地区加大了病毒投放。总体而言，Symbian系统衰落的趋势正在持续。

第六章 手机病毒主要传播渠道

目前而言，手机用户大多会通过电子市场和手机论坛下载各种游戏、工具类等应用，也有用户会通过二维码等渠道刷码即可轻松下载应用。然而，目前，在电子市场、手机论坛、二维码渠道下载应用有着病毒入侵的风险。

腾讯移动安全实验监测到，电子市场依然是手机用户下载应用时感染病毒的最大风险渠道，病毒来源占比23%，手机论坛占比20%、软件捆绑占比17%；手机资源站、ROM内置、二维码渠道分别占比15%、10%、9%。网盘传播占比6%。

可以看出，电子市场作为手机用户下载应用最主要的来源，加之电子市场缺少对于应用检测的专业拦截技术和安全标准，目前不少主流电子市场接入了手机安全软件的查杀引擎和安全绿色认证机制，但由于国内电子市场商家众多，手机端电子市场又成为恶意软件拦截和检测的薄弱环节，致使手机木马和恶意软件的比例依然高企。

在手机论坛，安全检测机制更加薄弱，山寨、恶意软件分布广、用户多，上传审核机制不完善，恶意软件可以通过二次打包篡改手机游戏、壁纸等软件在论坛快速传播，快速批量感染海量用户群。手机论坛的比例高达20%，位居第二。

在2013年5月，手机木马和恶意软件的传播途径进一步呈现出多样化与均衡化的发展趋势。其中，ROM刷机包、软件捆绑、二维码三个渠道成为新兴的恶意软件和木马病毒高发区。

二维码与ROM渠道成为木马和恶意软件的新兴的”藏毒仓库“。二维码的普及的大背景下，不少制毒者或制毒机构借助二维码这件高科技的外衣包裹恶意软件或恶意网址链接，手机用户一旦刷到藏”毒“二维码，病毒往往通过强制下载、安装恶意软件或跳转至恶意网址链接等方式，达到获取隐私、推广软件或恶意扣费的目的。手机用户因为刷二维码而染毒

的比例快速提升，5月份达到9%。二维码渠道病毒来源第一次超过网盘传播。目前，制毒机构与制毒者通过网盘提供下载链接的病毒传播方式也正在持续蔓延。网盘传播比例达到6%。

ROM渠道病毒来源进一步泛滥。这与Android用户刷机更加频繁、不法水货厂商与恶意开发者合作内置恶意软件相关，由于ROM渠道的隐密性，该渠道已成为高危病毒的重要来源，移动互联网盈利模式的匮乏，ROM内置病毒也进一步泛滥。

5月，手机病毒通过二次打包植入恶意代码捆绑知名软件大肆传播已成为一种普遍的常规感染方式，在手机游戏领域，手机病毒捆绑热门游戏二次打包传播尤其突出，这一病毒感染的渠道来源的危害正在进一步凸显。

七 专家建议

随着手机安全形势的恶化，手机用户应提升自身的手机安全意识，移动安全实验室专家对手机用户做出如下建议。

1.手机用户应该选择从正规安全的渠道下载游戏类应用。目前在许多不正规的下载渠道

遍布山寨软件与被二次篡改后的恶意软件。用户可通过腾讯手机管家PC版、应用宝等应用下载平台下载软件，这些平台的软件均经过腾讯手机管家的安全检测，可确保下载安全。

2.提升安全意识，对手机异常情况保持敏感度。比如用户不要点击收到的不明短信链接。随着套取用户网银账号与密码等信息的钓鱼网站也进一步增长，对于微信、百度搜索、微博以及手机QQ、人人网、YouTube等知名应用出现的浮窗等广告应保持警惕，可通过腾讯手机管家等安全软件及时查杀“推荐密贼””鬼推墙“等高危病毒。

3.不要见码就刷。二维码的火爆，使得该渠道成为一个新兴的病毒来源。手机用户最好安装具备二维码恶意网址拦截的手机安全软件进行检测和防护，或使用接入安全识别功能的二维码软件，降低二维码染毒的风险。

4.从正规的渠道购买手机或刷ROM包。在目前，许多水货手机往往在出货前就已经刷机或者内置了各种流氓软件，而这些刷入或内置入ROM的恶意软件包一般很难用常规手段卸载或清除，新买的手机应及时下载腾讯手机管家，获取Root权限，及时查杀ROM病毒与最新流行病毒。

5.手机用户应学会用安全软件来维护手机安全。手机用户可下载安装如腾讯手机管家一类的手机安全软件定期给手机进行体检和病毒查杀，并及时更新病毒库查杀“推荐密贼”、“鬼推墙“、”键盘黑手“等最新高危病毒。另外，手机用户还可以使用该软件的隐私权限监控、软件联网管理等功能，及时监控恶意软件的过度权限要求和后台私自联网等恶意行为，确保利益不被损害。

目前而言，用户还可以关注@腾讯移动安全实验室、@腾讯手机管家的官方微博以及相关的“恶意软件曝光”行动，对手机安全资讯做到全面把握和掌控，安享移动互联网生活。

腾讯手机管家官方网站：

腾讯手机管家腾讯微博：/qqsecure

腾讯手机管家新浪微博：/qqmanager

腾讯移动安全实验室官方微博：/QQSecurityLab

2013年6月8日

版权声明：本报告中凡注明来源于“腾讯移动安全实验室”等一切图表数据及研究分析结论均属于腾讯公司版权所有，如需转载或摘编，敬请注明出处。