2024年1月24日发(作者：布安露)

腾讯移动安全实验室2013年1月手机安全报告

2013年1月，基于腾讯手机管家产品服务的移动安全实验室共截获手机病毒包总数为27551个，其中Android系统平台截获26367个，Symbian系统截获1184个。Android系统病毒包数占据了病毒包总数的96%。

2013年，随着移动支付发进一步发展，窃取银行账号类手机支付类病毒不断变换花样，攻击方式更加智能化。在2013年1月份，Android病毒发展呈现出新的特征，一款名为“假面浏览”(ser)的Android病毒被腾讯手机管家首家截获。用户手机一旦被感染，该病毒就会用自己设计好的浏览器页面替换手机中各知名手机浏览器的页面，借助其他浏览器的知名度来扩大传播，QQ浏览器、UC浏览器、天天、海豚等浏览器纷纷被感染，该病毒可能导致用户手机上网账号、银行帐号被泄漏等隐私安全问题。

随着2013年春运的到来，各种订票、抢票类手机软件也开始泛滥，许多抢票类软件内含恶意插件和病毒，消耗用户流量并恶意下载推广软件。许多手机用户由于回家心理迫切，急于通过各种方式去抢票，安全意识抛之脑后，因而也被众多山寨抢票软件感染。腾讯移动安全实验室监测，在2013年1月份，市场上的山寨购票软件达到4337款。其中，伪“实时火车票”、伪“火车票验证器”、伪“掌上机票”、伪“抢票大师”、伪“火车余票查询”五款软件是下载量与感染用户数最多的山寨购票软件。与12306相关的山寨购票软件包就达到153个。

随着黑客的逐利性增强，短平快的盈利方式成为该团伙的首选方式，这使得钓鱼网址增长迅速， 2012年全年腾讯移动安全实验室共拦截钓鱼欺诈类恶意网址达到2200万个。据腾讯移动安全实验室监测，遭遇钓鱼欺诈类网址比例占用户手机上网总网址访问的0.25%，相当于1万人次手机访问网页，就有25人次中招。

2013年1月，由于临近春节，国内沿海发达省市的Android水货手机供货量大增，手

机病毒或恶意软件在北京、江浙、广东等沿海经济发达地区大规模爆发。广东省手机中毒用户数占全国手机用户数15.59%，排名第一。江苏、浙江分列第二和第三，占比分别为6.75%、6.13%。

第一章 2013年春节前后山寨订票类软件泛滥

2013年1月，春运火车票需求大涨的背景下，各种抢票软件应运而生。但与此同时，在手机端的各种购票类山寨软件快速增长。腾讯移动安全实验室监测发现：“火车票、订票、购票、机票”等各种类别的山寨购票软件就有4337款，在所有的这些山寨购票软件中，包含病毒或恶意插件的山寨购票类软件就有1021款，占所有山寨购票软件的23.5%。

其中， “火车票”与“机票”类的山寨购票软件分别为1832款、720款，依次位居山寨购票软件种类数量排名的第一与第二位，这两类山寨购票软件也是内置病毒或恶意插件最多的手机购票类软件。其中含病毒或恶意插件的“火车票”类山寨软件达到561款，占“火车票”类软件的30%；含病毒或恶意插件的“机票”类山寨软件达到153款，占“机票类”软件的21%。

腾讯移动安全实验室监测到，伪“实时火车票”、伪“火车票验证器”、伪“掌上机票”、伪“抢票大师”、伪“火车余票查询”五款软件是下载量与感染用户数最多的山寨购票软件。

腾讯移动安全实验室监测到，伪“掌上机票”、伪“实时火车票”、伪“抢票大师”是2013年1月份感染用户数最多的前三款购票类恶意软件。伪“掌上机票”感染用户数超过了8.6万人，是目前感染人数最多的恶意购票软件。该病毒包的特征是，一旦安装激活后，就会未经用户允许私自下载未知安装包，除了消耗用户流量外，还会给用户带来未知的风险隐患。

伪“实时火车票”感染用户数超过了3.3万人，排名第二，该病毒捆绑在热门应用中，植入恶意推广广告，并且私自下载推广软件，具有资费消耗与广告骚扰的双重危害。伪“抢票大师”感染用户数也超过了5500人，该病毒在用户下载后，可通过其含有的恶意插件在后台联网，窃取用户手机隐私信息，还同时会在后台下载其它恶意软件，除消耗用户流量外，还带来了未知的风险。

12306作为铁道部官网唯一售票平台，而冒充12306 的山寨类购票软件也不断涌现。截至目前，铁道部尚未正式发布任何官方版本的12306应用软件，但市场上与12306相关的山寨购票软件包达到153个，而掌上12306、12306订票助手、12306火车票是最热门的山寨12306购票软件。

春运期间，火车票一票难求，是不少抢票软件可以在电子市场大行其道的客观原因，这些软件大多可免费下载，个别的也向用户收费。目前市场上已出现的这些山寨购票软件或病毒软件，通过暗中窃取用户的账号密码或向用户恶意扣取资费，目前已经给广大中招手机用户造成了一定的经济损失。

腾讯移动安全实验室专家提醒用户，手机用户对于市场上各类抢票软件应谨慎下载，应首选铁道部官方唯一售票平台，该网站是中国铁路客户服务中心的唯一网站，该平台并未授权其他网站或手机客户端开展类似服务。手机用户应避免下载电子市场等各渠道的山寨购票软件，确保自身利益不受损失。

第二章 2012年钓鱼网址激增暴涨

步入2013年1月，回顾2012年全年，手机安全领域一个明显的威胁是，各种恶意钓鱼网址呈现激增暴涨的态势， 2012年全年腾讯移动安全实验室共拦截钓鱼欺诈类恶意网

址达到2200万个，主要以钓鱼盗号与中奖欺诈类为主。其中，中奖欺诈类恶意网址达到1300万，钓鱼盗号类钓鱼网址达900万。据腾讯移动安全实验室监测到，遭遇钓鱼欺诈类网址比例占用户手机上网总网址总访问次数的0.25%，相当于1万人次手机访问网页，就有25人次中招。

目前，2013年春节即将临近，亲朋好友聚会的机会增多，使用各种社交或通讯软件互相联络的情况变得普遍，但其中却往往也暗藏风险。轻易点击社交软件中好友发送过来的网址链接甚至也会遭遇被网络钓鱼网址入侵的风险。

据腾讯移动安全实验室专家分析，手机中的社交软件出现好友发过来的恶意网址链接，有两种情况：一是好友社交软件密码被窃取，黑客通过操纵对方账号发送恶意网址链接。二是自身下载了山寨软件，该软件内置恶意代码，通过云指令发送恶意链接进而窃取账号等隐私。

腾讯移动安全实验室专家提醒：随着春节临近，黑客紧盯用户钱袋，逐利性倾向越来越明显，假冒银行恶意网址开始泛滥，2013年1月，在用户举报的钓鱼诈骗短信之中，腾讯手机管家拦截的假冒银行恶意网址有57个，其中假冒中国银行的钓鱼网址就有54个，占比95%；假冒建设银行网址有2个，假冒工商银行的恶意网址1个。手机用户针对此类假

冒银行类钓鱼网址应该谨慎识别，对于涉及到银行的短信内容若无法辨别真伪，可拨打银行客服电话咨询后再做决定。另外，不要轻易打开短信中的网址，同时选择正规安全的应用市场下载手机银行客户端软件，比如腾讯手机管家“软件游戏”，应用宝等，对银行类应用均进行了“官方正版认证”。

针对钓鱼网址猖獗暴涨的现状，手机用户可以通过腾讯手机管家对恶意网址进行全面检测和拦截，用户一旦打开浏览器访问网址，腾讯手机管家将自动开启恶意网址检测功能，有效识别恶意网址链接并即时拦截，同时弹窗提醒用户停止访问并查杀病毒。

第三章 2013年春节前后春晚诈骗类垃圾短信呈现井喷

春晚是每年除夕夜关注度最高的节目，目前诈骗分子也抓住这个契机，利用春晚行骗。在2013年1月，各种以春晚中奖为主题诈骗短信呈现井喷趋势。据监测，在2013年1月份，腾讯手机管家用户主动举报假冒春晚的诈骗短信达3万条，按主动举报率千分之三推算，则1月份全国就有超1千万用户收到假冒春晚的诈骗短信。

腾讯移动安全实验室监测到，此类欺诈短信往往内嵌恶意网址，比如“通知：您号码已被《直通春晚》栏目组选为场外二等奖将获得栏目送出的8.8万元奖金及苹果电脑，请登陆 验证码6889。”用户一点击这类诈骗短信链接就会掉入恶意网址的陷阱，用户个人信息甚至网银账户都会在用户不知情的情况下被盗走。

春晚类欺诈短信的另一个特征是极具诱惑性，此类短信往往利用手机用户的侥幸心理与认证机构的权威性来诱使用户上当受骗，比如类似“恭喜您的手机号码已被中央电视台

CCTV《直通春晚》栏目组抽选为场外幸运二等奖观众,声明：本次活动已通过北京公证处公证审批.”腾讯移动安全实验室专家提醒：春节前后是诈骗短信高发期，而诈骗团伙的诈骗手法也在不断翻新，诈骗专业化程度越来越高，手机用户对各类诈骗类垃圾短信应保持高度警惕，并提醒身边的亲朋好友不要上当受骗。安装腾讯手机管家之类的手机安全软件并开启智能拦截，可对各种诈骗短信一键拦截举报。

第四章 2013年1月Android病毒特征比例

2013年1月份，腾讯手机管家在Android系统截获的病毒包总数是26367个，病毒类型呈现出资费消耗、隐私获取、诱骗欺诈三大类病毒行为三分天下并占据绝对主流的格局，其中资费消耗类病毒占据34%的比例，位居第一；隐私获取占比32%，诱骗欺诈占比27%，分别位居第二和第三位。系统破坏占据6%的比例。

从2013年1月Android的病毒类型比例可以看出，制毒者开始选择几种重要的病毒类型集中重点发力，快速感染用户。而资费消耗是制毒者最为青睐的病毒类型，比如腾讯手机管家1月截获的“套餐窃贼”，该病毒可通过私自下载恶意子包，恶意子包私自发送短信和拦截指定信息，同时给用户发送垃圾广告，给用户造成隐私泄漏以及资费损失。

隐私窃取类病毒在2013年1月大涨，达到32%的比例。随着隐私价值显露，隐私已经成为制毒者或制毒机构主要的盗取目标。腾讯手机管家截获的“窃银噬魔”病毒可以通过诱导用户输入手机号码注册恶意远程服务，同时拦截用户指定内容短信，发送到远端服务器,可见隐私窃取病毒的智能化程度进一步提高。

在Android系统，隐私窃取、资费消耗两种病毒行为进一步紧密融合一体。比如“套餐窃贼“，该病毒通过恶意子包私自发短信和拦截指定信息，同时给用户发送垃圾广告，造成用户隐私泄漏与资费消耗。同时具备隐私窃取、广告骚扰与资费消耗的特征。

以下是2013年1月在Android平台发现的一些较为典型的病毒：

 [窃银噬魔]

该病毒安装后，开机强制启动，诱导用户输入手机号码注册恶意远程服务，同时拦截用户指定内容短信，发送到远端服务器，给用户造成隐私泄露和存在流氓行为。

 ter.d

该病毒被捆绑其他插件，启动后骗取用户安装，同时获取用户的手机信息，可能会给用户的手机安全造成一定的威胁。

 ser.[假面浏览]

该病毒安装后，开机强制启动，后台开启恶意服务搜索指定浏览器进程，私自篡改业界知名浏览器主页，存在流氓行为。

 ion.［套餐窃贼］

该病毒安装后，私自下载恶意子包，该恶意子包私自发送短信和拦截指定信息，同时给用户发送垃圾广告，给用户造成隐私泄漏以及资费消耗。



该病毒安装后无图标，私自发送短信和拦截指定信息，同时读取和删除联系人数据，给用户造成隐私泄漏和资费消耗。









eSms

该病毒安装后，未经用户允许私自发送短信，给用户造成资费消耗。

S

该病毒安装后，一旦被激活就私自发送短信定制扣费业务，造成用户资费消耗。

sTool

该病毒伪装成系统核心工具，一旦被激活就私自发送短信，给用户造成资费消耗。

tracker

该病毒安装后，无图标，开机强制启动，未经用户允许获取手机GPS地理位置信息，同时私自发送恶意短信，给用户造成隐私泄露。

 g

该病毒安装后，一旦激活未经用户允许私自发送短信，同时拦截指定短信，给用户造成资费消耗。

第五章 2013年1月Symbian系统病毒特征比例

在Symbian系统，资费消耗占比32%，是占比最高的病毒类型行为，诱骗欺诈占比30%，系统破坏占比23%，恶意扣费与隐私获取分别占比11%、3%，远程控制占据1%的比例。

与2012年全年相比，2013年1月Symbian病毒表现出来的均衡性与多元化特征被打破。病毒行为偏向于以传统的资费消耗、系统破坏、诱骗系统的病毒行为为主，普遍特征是，一旦激活后自动联网，消耗资费，给用户带来一定的经济损失，病毒的伪装性与破坏性增强，比如Symbian病毒.a可伪装成多媒体短信服务强制安装在手机C盘中，无法完全关闭。

Symbian系统手机病毒通过集多种作恶手段于一身的智能化特征进一步加强，但Symbian系统的病毒比例也进一步降低，衰落趋势非常明显。腾讯移动安全实验室预测：Symbian系统手机病毒这种缓慢增长甚至下滑的趋势在2013年将会持续延续。

以下是2013年1月在Symbian平台发现的一些较为典型的病毒：



该病毒捆绑其他应用诱导用户下载安装，一旦激活便后台自动联网，消耗资费，给用户带来一定的经济损失，同时该病毒无法完全退出，给用户正常使用手机带来一定影响。

 .a

该病毒伪装成多媒体短信服务插件强制安装在手机C盘中，无提示私自联网，无法完全关闭，占用大量资源，可能影响手机和其他软件的正常运行。

第六章 手机病毒区域省份分布

2013年1月，Android平台手机病毒发展区域分布地图大致延续了2012年的发展趋势。广东省中毒手机用户占比达到15.59%，排名第一。江苏、浙江分列第二和第三，占比分别为6.75%、6.13%。排名前十的手机中毒省份与比例分布依次是广东（15.59%）、江苏（6.75%）、浙江（6.13%）、北京（5.90%）、辽宁（5%）、四川（4.76%）、福建（4.56%）、河南（4.49%）、湖北（3.58%）广西（3.30%）。

在Android平台，手机病毒感染区域省份呈现沿东部海岸线纵向分布态势。从东北辽宁沿海一路南下、途径北京、江苏、浙江、福建、广东几个东部沿海经济发达大省均属于排名前十的手机中毒省份，这6个沿海发达省份共占Android中毒手机用户43.93%的比例。Android中毒手机用户大规模聚集在东部沿海线经济发达省份的分布态势明显。

腾讯移动安全实验室分析：随着年末手机购买高峰期的来临，国内沿海发达省市的Android水货手机供货量大增，恶意软件与手机病毒也水涨船高。在沿海发达省市，恶意软件开发者、地下刷机产业、部分水货手机之间各自形成了稳固的黑色产业链，也促使恶意软件与病毒投放渠道进一步扩展。另一方面，二维码渠道也成推动因素。在广东、江浙、北京等地，二维码手机用户增长迅速，作为一个新兴的的手机染毒渠道，二维码病毒见效快、感染人群更集中，制毒者加大了对该渠道的病毒研发投入，加之沿海发达地区的智能机用户基数大，在各种因素推动下，东部沿海省市成为手机病毒与恶意软件的高发区。

另一方面，四川、湖北、河南、广西等省份的智能机市场发展迅速，Android用户也快速增长，智能机水货市场供货量上升、刷机产业链也初步成型，中部经济发展省份也成为

换机大潮的区域中心，加之用户安全意识淡薄，手机染毒用户也在迅速提升。

在Symbian系统，排名前十的手机感染病毒省份与比例分别为广东（8.90%）、河南（8.25%）、四川（8.04%）、山东（6%）、辽宁（5.89%）北京（5.58%）、河北（5.50%）、重庆（4.54%）、江苏（4.33%）、浙江（3.53%）。

在Symbian系统，广东中毒手机用户持续排名第一，其中，河南、四川、山东的手机感染率快速上升。随着经济的快速发展，沿海省份Symbian用户逐渐减少，在河南，山东、辽宁等省份，Symbian用户群则相对趋于稳定，制毒者或制度机构将病毒投放渠道进一步转移到中部经济发展省份。在1月，河南省的Symbian手机中毒比例位居第二，达到8.25%，与广东省已十分接近。总体上，Symbian系统的衰落趋势无可避免，在2013年Symbian中毒缓慢增长甚至下滑的趋势将不会有大的改变。

第七章 手机病毒渠道来源分布

在2013年1月的病毒来源渠道分布中，电子市场与手机论坛是最主要的传播渠道，分别占据27%与22%的比例。

临近年末，制毒者或制毒机构迫于快速盈利的需求，加大了针对手机论坛与电子市场的投毒比重。在目前，国内大部分手机论坛与少部分电子市场由于缺乏针对山寨或恶意软件的识别能力，许多制毒者或制毒机构抓住该渠道的审核缺陷与安全漏洞，在1月份，上传抢票类恶意软件或将抢票类软件二次打包注入恶意代码上传至电子市场的情况特别突出。二次打包过的热门软件可轻易绕过数字签名的审核机制。目前制毒者或制毒机构的伪装隐藏技术

越来越强，各种云端控制指令与技术已经快速提升，使得电子市场与手机论坛的病毒入侵的几率大大提升。

2013年1月，市场水货手机出货量大增，恶意软件厂商可以利用水货渠道大规模内置恶意软件非法盈利。国内黑色刷机产业链因利益需求也利用该渠道刷入各种恶意ROM包，使得内置ROM病毒的水涨船高，在1月份达到14%的比例。

手机论坛是山寨、恶意软件的集散地。目前手机病毒通过批量复制快速感染的特征，在短时间内可快速生成几百上千个伪装类病毒软件在论坛传播。论坛传播的比例达到22%。在手机论坛缺乏审核机制的条件下，网盘传播也在在1月进一步增长，达到10%.软件捆绑渠道感染已成为制毒者或制毒机构采用的普遍而快捷的攻击用户手机的方式，在2013年1月该渠道传播病毒占10%比例。

2013年1月，二维码渠道染毒的增势明显，二维码染毒的比例进一步增至6%。制毒者与制毒机构利用该渠道内置恶意链接或网址盗取网银资金、恶意扣费等现象已经引起媒体与行业的广泛关注。

1. 电子市场：病毒企图绕开电子市场的安全检测系统在审核上线之前被截获、又或者是通过一些没有接入安全检测的电子市场进行传播，占27%；

2. 手机论坛：通过上传论坛附件或提供下载网络硬盘下载地址方式，占22%；

3. ROM系统内置：rom制作者因为利益的驱动在rom里预装病毒软件，占14%；

4. 手机资源站：热门软件尤其是游戏软件经常包含病毒或者远程下载，占11%；

5. 网盘传播：通过网盘捆绑手机论坛提供下载链接；占10%；

6. 软件捆绑：通过录入或开设手机下载WEB/WAP资源站点，提供直接的软件下载地址，占10%；

7. 二维码：通过微博附带下载地址链接或者二维码恶意网址链接，占6%。

第八章 专家建议

随着手机安全形势的恶化与年末临近，手机用户提升手机安全意识非常重要，移动安全实验室专家对手机用户做出如下建议。

1.从正规的渠道购买手机、下载应用。许多水货手机往往在出货前就已经刷机或者内置了各种流氓软件，而这些刷入或内置入ROM的恶意软件包一般很难用常规手段卸载或清除，新买的手机应及时下载腾讯手机管家，获取Root权限，及时查杀ROM病毒与最新流行病毒。与此同时，手机用户应该选择从正规安全的渠道下载应用。比如，腾讯手机管家PC版、应用宝等，这些应用下载平台均经过腾讯手机管家的安全检测，可确保下载安全。

2.不要见码就刷。二维码的火爆，使得该渠道成为一个新兴的病毒来源。临近春节，各种刷二维码获得优惠折扣劵等活动高涨，手机用户最好安装具备二维码恶意网址拦截的手机安全软件进行防护，或使用接入安全识别功能的二维码软件，降低二维码染毒的风险。

3.学会使用安全软件的各种功能来保护自身安全利益。应下载安装如腾讯手机管家一类

的手机安全软件定期给手机进行体检和病毒查杀，另外，手机用户还可以使用该软件的隐私权限监控、软件联网管理等功能，及时监控恶意软件的过度权限要求和后台私自联网等恶意行为，确保利益不被损害。

4.不要点击收到的不明短信链接。临近年底，套取用户网银账号与密码等信息的钓鱼网站也进一步增长，为避免遭受钓鱼网址等风险，手机用户可以安装腾讯手机管家开启恶意网址检测，避免钓鱼网址的攻击欺诈。

目前而言，用户还可以关注@腾讯移动安全实验室、@腾讯手机管家的官方微博以及相关的“恶意软件曝光”行动，对手机安全资讯做到全面把握和掌控，安全而轻松的享受移动互联网生活。

腾讯手机管家官方网站：

腾讯手机管家腾讯微博：/qqsecure

腾讯手机管家新浪微博：/qqmanager

腾讯移动安全实验室官方微博：/QQSecurityLab

腾讯移动安全实验室

2013年2月4日

2024年1月24日发(作者：布安露)

腾讯移动安全实验室2013年1月手机安全报告

2013年1月，基于腾讯手机管家产品服务的移动安全实验室共截获手机病毒包总数为27551个，其中Android系统平台截获26367个，Symbian系统截获1184个。Android系统病毒包数占据了病毒包总数的96%。

2013年，随着移动支付发进一步发展，窃取银行账号类手机支付类病毒不断变换花样，攻击方式更加智能化。在2013年1月份，Android病毒发展呈现出新的特征，一款名为“假面浏览”(ser)的Android病毒被腾讯手机管家首家截获。用户手机一旦被感染，该病毒就会用自己设计好的浏览器页面替换手机中各知名手机浏览器的页面，借助其他浏览器的知名度来扩大传播，QQ浏览器、UC浏览器、天天、海豚等浏览器纷纷被感染，该病毒可能导致用户手机上网账号、银行帐号被泄漏等隐私安全问题。

随着2013年春运的到来，各种订票、抢票类手机软件也开始泛滥，许多抢票类软件内含恶意插件和病毒，消耗用户流量并恶意下载推广软件。许多手机用户由于回家心理迫切，急于通过各种方式去抢票，安全意识抛之脑后，因而也被众多山寨抢票软件感染。腾讯移动安全实验室监测，在2013年1月份，市场上的山寨购票软件达到4337款。其中，伪“实时火车票”、伪“火车票验证器”、伪“掌上机票”、伪“抢票大师”、伪“火车余票查询”五款软件是下载量与感染用户数最多的山寨购票软件。与12306相关的山寨购票软件包就达到153个。

随着黑客的逐利性增强，短平快的盈利方式成为该团伙的首选方式，这使得钓鱼网址增长迅速， 2012年全年腾讯移动安全实验室共拦截钓鱼欺诈类恶意网址达到2200万个。据腾讯移动安全实验室监测，遭遇钓鱼欺诈类网址比例占用户手机上网总网址访问的0.25%，相当于1万人次手机访问网页，就有25人次中招。

2013年1月，由于临近春节，国内沿海发达省市的Android水货手机供货量大增，手

机病毒或恶意软件在北京、江浙、广东等沿海经济发达地区大规模爆发。广东省手机中毒用户数占全国手机用户数15.59%，排名第一。江苏、浙江分列第二和第三，占比分别为6.75%、6.13%。

第一章 2013年春节前后山寨订票类软件泛滥

2013年1月，春运火车票需求大涨的背景下，各种抢票软件应运而生。但与此同时，在手机端的各种购票类山寨软件快速增长。腾讯移动安全实验室监测发现：“火车票、订票、购票、机票”等各种类别的山寨购票软件就有4337款，在所有的这些山寨购票软件中，包含病毒或恶意插件的山寨购票类软件就有1021款，占所有山寨购票软件的23.5%。

其中， “火车票”与“机票”类的山寨购票软件分别为1832款、720款，依次位居山寨购票软件种类数量排名的第一与第二位，这两类山寨购票软件也是内置病毒或恶意插件最多的手机购票类软件。其中含病毒或恶意插件的“火车票”类山寨软件达到561款，占“火车票”类软件的30%；含病毒或恶意插件的“机票”类山寨软件达到153款，占“机票类”软件的21%。

腾讯移动安全实验室监测到，伪“实时火车票”、伪“火车票验证器”、伪“掌上机票”、伪“抢票大师”、伪“火车余票查询”五款软件是下载量与感染用户数最多的山寨购票软件。

腾讯移动安全实验室监测到，伪“掌上机票”、伪“实时火车票”、伪“抢票大师”是2013年1月份感染用户数最多的前三款购票类恶意软件。伪“掌上机票”感染用户数超过了8.6万人，是目前感染人数最多的恶意购票软件。该病毒包的特征是，一旦安装激活后，就会未经用户允许私自下载未知安装包，除了消耗用户流量外，还会给用户带来未知的风险隐患。

伪“实时火车票”感染用户数超过了3.3万人，排名第二，该病毒捆绑在热门应用中，植入恶意推广广告，并且私自下载推广软件，具有资费消耗与广告骚扰的双重危害。伪“抢票大师”感染用户数也超过了5500人，该病毒在用户下载后，可通过其含有的恶意插件在后台联网，窃取用户手机隐私信息，还同时会在后台下载其它恶意软件，除消耗用户流量外，还带来了未知的风险。

12306作为铁道部官网唯一售票平台，而冒充12306 的山寨类购票软件也不断涌现。截至目前，铁道部尚未正式发布任何官方版本的12306应用软件，但市场上与12306相关的山寨购票软件包达到153个，而掌上12306、12306订票助手、12306火车票是最热门的山寨12306购票软件。

春运期间，火车票一票难求，是不少抢票软件可以在电子市场大行其道的客观原因，这些软件大多可免费下载，个别的也向用户收费。目前市场上已出现的这些山寨购票软件或病毒软件，通过暗中窃取用户的账号密码或向用户恶意扣取资费，目前已经给广大中招手机用户造成了一定的经济损失。

腾讯移动安全实验室专家提醒用户，手机用户对于市场上各类抢票软件应谨慎下载，应首选铁道部官方唯一售票平台，该网站是中国铁路客户服务中心的唯一网站，该平台并未授权其他网站或手机客户端开展类似服务。手机用户应避免下载电子市场等各渠道的山寨购票软件，确保自身利益不受损失。

第二章 2012年钓鱼网址激增暴涨

步入2013年1月，回顾2012年全年，手机安全领域一个明显的威胁是，各种恶意钓鱼网址呈现激增暴涨的态势， 2012年全年腾讯移动安全实验室共拦截钓鱼欺诈类恶意网

址达到2200万个，主要以钓鱼盗号与中奖欺诈类为主。其中，中奖欺诈类恶意网址达到1300万，钓鱼盗号类钓鱼网址达900万。据腾讯移动安全实验室监测到，遭遇钓鱼欺诈类网址比例占用户手机上网总网址总访问次数的0.25%，相当于1万人次手机访问网页，就有25人次中招。

目前，2013年春节即将临近，亲朋好友聚会的机会增多，使用各种社交或通讯软件互相联络的情况变得普遍，但其中却往往也暗藏风险。轻易点击社交软件中好友发送过来的网址链接甚至也会遭遇被网络钓鱼网址入侵的风险。

据腾讯移动安全实验室专家分析，手机中的社交软件出现好友发过来的恶意网址链接，有两种情况：一是好友社交软件密码被窃取，黑客通过操纵对方账号发送恶意网址链接。二是自身下载了山寨软件，该软件内置恶意代码，通过云指令发送恶意链接进而窃取账号等隐私。

腾讯移动安全实验室专家提醒：随着春节临近，黑客紧盯用户钱袋，逐利性倾向越来越明显，假冒银行恶意网址开始泛滥，2013年1月，在用户举报的钓鱼诈骗短信之中，腾讯手机管家拦截的假冒银行恶意网址有57个，其中假冒中国银行的钓鱼网址就有54个，占比95%；假冒建设银行网址有2个，假冒工商银行的恶意网址1个。手机用户针对此类假

冒银行类钓鱼网址应该谨慎识别，对于涉及到银行的短信内容若无法辨别真伪，可拨打银行客服电话咨询后再做决定。另外，不要轻易打开短信中的网址，同时选择正规安全的应用市场下载手机银行客户端软件，比如腾讯手机管家“软件游戏”，应用宝等，对银行类应用均进行了“官方正版认证”。

针对钓鱼网址猖獗暴涨的现状，手机用户可以通过腾讯手机管家对恶意网址进行全面检测和拦截，用户一旦打开浏览器访问网址，腾讯手机管家将自动开启恶意网址检测功能，有效识别恶意网址链接并即时拦截，同时弹窗提醒用户停止访问并查杀病毒。

第三章 2013年春节前后春晚诈骗类垃圾短信呈现井喷

春晚是每年除夕夜关注度最高的节目，目前诈骗分子也抓住这个契机，利用春晚行骗。在2013年1月，各种以春晚中奖为主题诈骗短信呈现井喷趋势。据监测，在2013年1月份，腾讯手机管家用户主动举报假冒春晚的诈骗短信达3万条，按主动举报率千分之三推算，则1月份全国就有超1千万用户收到假冒春晚的诈骗短信。

腾讯移动安全实验室监测到，此类欺诈短信往往内嵌恶意网址，比如“通知：您号码已被《直通春晚》栏目组选为场外二等奖将获得栏目送出的8.8万元奖金及苹果电脑，请登陆 验证码6889。”用户一点击这类诈骗短信链接就会掉入恶意网址的陷阱，用户个人信息甚至网银账户都会在用户不知情的情况下被盗走。

春晚类欺诈短信的另一个特征是极具诱惑性，此类短信往往利用手机用户的侥幸心理与认证机构的权威性来诱使用户上当受骗，比如类似“恭喜您的手机号码已被中央电视台

CCTV《直通春晚》栏目组抽选为场外幸运二等奖观众,声明：本次活动已通过北京公证处公证审批.”腾讯移动安全实验室专家提醒：春节前后是诈骗短信高发期，而诈骗团伙的诈骗手法也在不断翻新，诈骗专业化程度越来越高，手机用户对各类诈骗类垃圾短信应保持高度警惕，并提醒身边的亲朋好友不要上当受骗。安装腾讯手机管家之类的手机安全软件并开启智能拦截，可对各种诈骗短信一键拦截举报。

第四章 2013年1月Android病毒特征比例

2013年1月份，腾讯手机管家在Android系统截获的病毒包总数是26367个，病毒类型呈现出资费消耗、隐私获取、诱骗欺诈三大类病毒行为三分天下并占据绝对主流的格局，其中资费消耗类病毒占据34%的比例，位居第一；隐私获取占比32%，诱骗欺诈占比27%，分别位居第二和第三位。系统破坏占据6%的比例。

从2013年1月Android的病毒类型比例可以看出，制毒者开始选择几种重要的病毒类型集中重点发力，快速感染用户。而资费消耗是制毒者最为青睐的病毒类型，比如腾讯手机管家1月截获的“套餐窃贼”，该病毒可通过私自下载恶意子包，恶意子包私自发送短信和拦截指定信息，同时给用户发送垃圾广告，给用户造成隐私泄漏以及资费损失。

隐私窃取类病毒在2013年1月大涨，达到32%的比例。随着隐私价值显露，隐私已经成为制毒者或制毒机构主要的盗取目标。腾讯手机管家截获的“窃银噬魔”病毒可以通过诱导用户输入手机号码注册恶意远程服务，同时拦截用户指定内容短信，发送到远端服务器,可见隐私窃取病毒的智能化程度进一步提高。

在Android系统，隐私窃取、资费消耗两种病毒行为进一步紧密融合一体。比如“套餐窃贼“，该病毒通过恶意子包私自发短信和拦截指定信息，同时给用户发送垃圾广告，造成用户隐私泄漏与资费消耗。同时具备隐私窃取、广告骚扰与资费消耗的特征。

以下是2013年1月在Android平台发现的一些较为典型的病毒：

 [窃银噬魔]

该病毒安装后，开机强制启动，诱导用户输入手机号码注册恶意远程服务，同时拦截用户指定内容短信，发送到远端服务器，给用户造成隐私泄露和存在流氓行为。

 ter.d

该病毒被捆绑其他插件，启动后骗取用户安装，同时获取用户的手机信息，可能会给用户的手机安全造成一定的威胁。

 ser.[假面浏览]

该病毒安装后，开机强制启动，后台开启恶意服务搜索指定浏览器进程，私自篡改业界知名浏览器主页，存在流氓行为。

 ion.［套餐窃贼］

该病毒安装后，私自下载恶意子包，该恶意子包私自发送短信和拦截指定信息，同时给用户发送垃圾广告，给用户造成隐私泄漏以及资费消耗。



该病毒安装后无图标，私自发送短信和拦截指定信息，同时读取和删除联系人数据，给用户造成隐私泄漏和资费消耗。









eSms

该病毒安装后，未经用户允许私自发送短信，给用户造成资费消耗。

S

该病毒安装后，一旦被激活就私自发送短信定制扣费业务，造成用户资费消耗。

sTool

该病毒伪装成系统核心工具，一旦被激活就私自发送短信，给用户造成资费消耗。

tracker

该病毒安装后，无图标，开机强制启动，未经用户允许获取手机GPS地理位置信息，同时私自发送恶意短信，给用户造成隐私泄露。

 g

该病毒安装后，一旦激活未经用户允许私自发送短信，同时拦截指定短信，给用户造成资费消耗。

第五章 2013年1月Symbian系统病毒特征比例

在Symbian系统，资费消耗占比32%，是占比最高的病毒类型行为，诱骗欺诈占比30%，系统破坏占比23%，恶意扣费与隐私获取分别占比11%、3%，远程控制占据1%的比例。

与2012年全年相比，2013年1月Symbian病毒表现出来的均衡性与多元化特征被打破。病毒行为偏向于以传统的资费消耗、系统破坏、诱骗系统的病毒行为为主，普遍特征是，一旦激活后自动联网，消耗资费，给用户带来一定的经济损失，病毒的伪装性与破坏性增强，比如Symbian病毒.a可伪装成多媒体短信服务强制安装在手机C盘中，无法完全关闭。

Symbian系统手机病毒通过集多种作恶手段于一身的智能化特征进一步加强，但Symbian系统的病毒比例也进一步降低，衰落趋势非常明显。腾讯移动安全实验室预测：Symbian系统手机病毒这种缓慢增长甚至下滑的趋势在2013年将会持续延续。

以下是2013年1月在Symbian平台发现的一些较为典型的病毒：



该病毒捆绑其他应用诱导用户下载安装，一旦激活便后台自动联网，消耗资费，给用户带来一定的经济损失，同时该病毒无法完全退出，给用户正常使用手机带来一定影响。

 .a

该病毒伪装成多媒体短信服务插件强制安装在手机C盘中，无提示私自联网，无法完全关闭，占用大量资源，可能影响手机和其他软件的正常运行。

第六章 手机病毒区域省份分布

2013年1月，Android平台手机病毒发展区域分布地图大致延续了2012年的发展趋势。广东省中毒手机用户占比达到15.59%，排名第一。江苏、浙江分列第二和第三，占比分别为6.75%、6.13%。排名前十的手机中毒省份与比例分布依次是广东（15.59%）、江苏（6.75%）、浙江（6.13%）、北京（5.90%）、辽宁（5%）、四川（4.76%）、福建（4.56%）、河南（4.49%）、湖北（3.58%）广西（3.30%）。

在Android平台，手机病毒感染区域省份呈现沿东部海岸线纵向分布态势。从东北辽宁沿海一路南下、途径北京、江苏、浙江、福建、广东几个东部沿海经济发达大省均属于排名前十的手机中毒省份，这6个沿海发达省份共占Android中毒手机用户43.93%的比例。Android中毒手机用户大规模聚集在东部沿海线经济发达省份的分布态势明显。

腾讯移动安全实验室分析：随着年末手机购买高峰期的来临，国内沿海发达省市的Android水货手机供货量大增，恶意软件与手机病毒也水涨船高。在沿海发达省市，恶意软件开发者、地下刷机产业、部分水货手机之间各自形成了稳固的黑色产业链，也促使恶意软件与病毒投放渠道进一步扩展。另一方面，二维码渠道也成推动因素。在广东、江浙、北京等地，二维码手机用户增长迅速，作为一个新兴的的手机染毒渠道，二维码病毒见效快、感染人群更集中，制毒者加大了对该渠道的病毒研发投入，加之沿海发达地区的智能机用户基数大，在各种因素推动下，东部沿海省市成为手机病毒与恶意软件的高发区。

另一方面，四川、湖北、河南、广西等省份的智能机市场发展迅速，Android用户也快速增长，智能机水货市场供货量上升、刷机产业链也初步成型，中部经济发展省份也成为

换机大潮的区域中心，加之用户安全意识淡薄，手机染毒用户也在迅速提升。

在Symbian系统，排名前十的手机感染病毒省份与比例分别为广东（8.90%）、河南（8.25%）、四川（8.04%）、山东（6%）、辽宁（5.89%）北京（5.58%）、河北（5.50%）、重庆（4.54%）、江苏（4.33%）、浙江（3.53%）。

在Symbian系统，广东中毒手机用户持续排名第一，其中，河南、四川、山东的手机感染率快速上升。随着经济的快速发展，沿海省份Symbian用户逐渐减少，在河南，山东、辽宁等省份，Symbian用户群则相对趋于稳定，制毒者或制度机构将病毒投放渠道进一步转移到中部经济发展省份。在1月，河南省的Symbian手机中毒比例位居第二，达到8.25%，与广东省已十分接近。总体上，Symbian系统的衰落趋势无可避免，在2013年Symbian中毒缓慢增长甚至下滑的趋势将不会有大的改变。

第七章 手机病毒渠道来源分布

在2013年1月的病毒来源渠道分布中，电子市场与手机论坛是最主要的传播渠道，分别占据27%与22%的比例。

临近年末，制毒者或制毒机构迫于快速盈利的需求，加大了针对手机论坛与电子市场的投毒比重。在目前，国内大部分手机论坛与少部分电子市场由于缺乏针对山寨或恶意软件的识别能力，许多制毒者或制毒机构抓住该渠道的审核缺陷与安全漏洞，在1月份，上传抢票类恶意软件或将抢票类软件二次打包注入恶意代码上传至电子市场的情况特别突出。二次打包过的热门软件可轻易绕过数字签名的审核机制。目前制毒者或制毒机构的伪装隐藏技术

越来越强，各种云端控制指令与技术已经快速提升，使得电子市场与手机论坛的病毒入侵的几率大大提升。

2013年1月，市场水货手机出货量大增，恶意软件厂商可以利用水货渠道大规模内置恶意软件非法盈利。国内黑色刷机产业链因利益需求也利用该渠道刷入各种恶意ROM包，使得内置ROM病毒的水涨船高，在1月份达到14%的比例。

手机论坛是山寨、恶意软件的集散地。目前手机病毒通过批量复制快速感染的特征，在短时间内可快速生成几百上千个伪装类病毒软件在论坛传播。论坛传播的比例达到22%。在手机论坛缺乏审核机制的条件下，网盘传播也在在1月进一步增长，达到10%.软件捆绑渠道感染已成为制毒者或制毒机构采用的普遍而快捷的攻击用户手机的方式，在2013年1月该渠道传播病毒占10%比例。

2013年1月，二维码渠道染毒的增势明显，二维码染毒的比例进一步增至6%。制毒者与制毒机构利用该渠道内置恶意链接或网址盗取网银资金、恶意扣费等现象已经引起媒体与行业的广泛关注。

1. 电子市场：病毒企图绕开电子市场的安全检测系统在审核上线之前被截获、又或者是通过一些没有接入安全检测的电子市场进行传播，占27%；

2. 手机论坛：通过上传论坛附件或提供下载网络硬盘下载地址方式，占22%；

3. ROM系统内置：rom制作者因为利益的驱动在rom里预装病毒软件，占14%；

4. 手机资源站：热门软件尤其是游戏软件经常包含病毒或者远程下载，占11%；

5. 网盘传播：通过网盘捆绑手机论坛提供下载链接；占10%；

6. 软件捆绑：通过录入或开设手机下载WEB/WAP资源站点，提供直接的软件下载地址，占10%；

7. 二维码：通过微博附带下载地址链接或者二维码恶意网址链接，占6%。

第八章 专家建议

随着手机安全形势的恶化与年末临近，手机用户提升手机安全意识非常重要，移动安全实验室专家对手机用户做出如下建议。

1.从正规的渠道购买手机、下载应用。许多水货手机往往在出货前就已经刷机或者内置了各种流氓软件，而这些刷入或内置入ROM的恶意软件包一般很难用常规手段卸载或清除，新买的手机应及时下载腾讯手机管家，获取Root权限，及时查杀ROM病毒与最新流行病毒。与此同时，手机用户应该选择从正规安全的渠道下载应用。比如，腾讯手机管家PC版、应用宝等，这些应用下载平台均经过腾讯手机管家的安全检测，可确保下载安全。

2.不要见码就刷。二维码的火爆，使得该渠道成为一个新兴的病毒来源。临近春节，各种刷二维码获得优惠折扣劵等活动高涨，手机用户最好安装具备二维码恶意网址拦截的手机安全软件进行防护，或使用接入安全识别功能的二维码软件，降低二维码染毒的风险。

3.学会使用安全软件的各种功能来保护自身安全利益。应下载安装如腾讯手机管家一类

的手机安全软件定期给手机进行体检和病毒查杀，另外，手机用户还可以使用该软件的隐私权限监控、软件联网管理等功能，及时监控恶意软件的过度权限要求和后台私自联网等恶意行为，确保利益不被损害。

4.不要点击收到的不明短信链接。临近年底，套取用户网银账号与密码等信息的钓鱼网站也进一步增长，为避免遭受钓鱼网址等风险，手机用户可以安装腾讯手机管家开启恶意网址检测，避免钓鱼网址的攻击欺诈。

目前而言，用户还可以关注@腾讯移动安全实验室、@腾讯手机管家的官方微博以及相关的“恶意软件曝光”行动，对手机安全资讯做到全面把握和掌控，安全而轻松的享受移动互联网生活。

腾讯手机管家官方网站：

腾讯手机管家腾讯微博：/qqsecure

腾讯手机管家新浪微博：/qqmanager

腾讯移动安全实验室官方微博：/QQSecurityLab

腾讯移动安全实验室

2013年2月4日