2014年Android恶意代码发展报告

2015-06-05 05:41

手机浏览

导读：2014年Android恶意代码发展报告，从历年恶意代码总量的发展趋势来看，2014年Android恶意代码总量的增长幅度没有延续去年猛增的势头，而是突然开始趋近平缓。Android恶意代码的传播速度真的减缓了吗？

AVL移动安全团队统计2014年移动恶意代码数据时发现：本年度Android恶意代码总量已增至123万。从历年恶意代码总量的发展趋势来看，2014年Android恶意代码总量的增长幅度没有延续去年猛增的势头，而是突然开始趋近平缓。Android恶意代码的传播速度真的减缓了吗？

一、摘要

2014年，Android恶意代码出现两个传播高峰：第一个高峰出现在3、4、5月，当时国内某知名应用市场出现了大量捆绑木马，另一个高峰是由于12月爆发了大量恶意色情应用。

2014年，Android恶意代码的主要行为依然是恶意扣费。由于短信拦截木马的爆发，导致隐私窃取类恶意代码数量增长明显。

2014年，Android恶意代码利用各种技术手段躲避手机安全软件的查杀。

2014年，大量广告应用被植入恶意代码，主要用于窃取用户重要隐私信息、推送其他恶意应用等，严重侵犯用户利益。

2014年，恶意代码紧盯手机用户的网银支付账号密码，手机支付类病毒越来越多。网银信息泄露会给用户造成无法估量的经济损失。

2014年，短信拦截木马大面积爆发。攻击者通过伪基站传播钓鱼网站，诱导用户安装短信拦截马。该木马主要用于窃取用户银行卡信息，最终实现资金窃取。

2014年，恶意色情应用利用其诱惑性引诱用户下载，安装后会在后台不断推送恶意应用，消耗手机流量、非法赚取推广费用甚至发送扣费短信，会给用户造成严重经济损失。

二、Android恶意代码数量情况1 总量变化趋势

AVL移动安全团队统计2014年移动恶意代码数据时发现：本年度Android恶意代码总量已增至123万。从历年恶意代码总量的发展趋势来看（如图1），2014年Android恶意代码总量的增长幅度没有延续去年猛增的势头，而是突然开始趋近平缓。Android恶意代码的传播速度真的减缓了吗？

图1 Android恶意代码数量变化情况

2014年，Android恶意代码的传播速度真的减缓了吗？

分类统计Android恶意代码后发现，近两年FakeInst家族恶意代码数量在全年恶意代码总量中比重较大（如图2所示）。

2013年，FakeInst家族恶意代码数量占全年总量的43%。到2014年，该比例降到22%，这在一定程度上影响了Android恶意代码全年总量的变化趋势。

图2 FakeInst家族恶意代码占总量比例情况

因此，为减少该家族恶意代码数量对总量趋势变化的影响，除去FakeInst家族后统计历年Android恶意代码数量（如图3），我们看到2014年Android恶意代码数量依然保持高速增长，增幅并没有减缓的趋势。

图3 历年Android恶意代码数量变化情况（除FakeInst家族）

2 每月数量变化情况

统计近两年每月Android恶意代码数量时发现：每年1、2月的恶意代码传播量均处于低峰；2013年恶意代码传播高峰出现在7、8月，因为当时出现大量利用MasterKey漏洞的恶意代码；2014年恶意代码传播出现了两个高峰：第一个高峰出现在3、4、5月，当时国内某知名应用市场出现了大量捆绑木马，另一个高峰是由于12月爆发了大量恶意色情应用。

图4 每月恶意代码数量变化情况

三、 Android恶意代码详情分析1 恶意代码家族Top10

统计2014年所有恶意代码家族，可以发现恶意代码数量最多的依然是FakeInst家族，数量超过27万。相比于2013年，减少了近14万。从地理位置上来看，该家族恶意代码主要存在于俄罗斯，世界其他地方同样也存在样本。图5展示了2014年Android恶意代码家族Top10及传播情况。

图5 Android恶意代码家族Top10

2 伪装应用名称Top10

恶意代码往往通过伪装成其他应用，诱导用户下载安装。统计2014全年恶意软件伪装的应用名称后发现，大多都是极具诱惑力的色情应用名称，因此建议用户不要被低俗内容所诱惑，不要轻易访问自己不熟悉的视频网站。图6展示了2014年恶意软件伪装名称Top10。

图6 恶意软件伪装名称Top10

3 恶意行为类型分布

恶意扣费依然是Android恶意代码的主要行为，体现出恶意代码的趋利性。2014年，由于短信拦截木马的大规模爆发，导致隐私窃取类的恶意代码数量增长明显。攻击者通过窃取用户银行账户、密码等重要隐私信息，最终给用户造成资金损失。因此AVL移动安全团队建议用户，不要随意点击短信、QQ、微信等聊天

图7 恶意代码行为类型比例情况

4 典型恶意行为特征

2014年，Android恶意代码出现很多新的恶意行为，其中较为典型的恶意行为如下：

通过疯狂截图来获取聊天信息、短信内容等，以窃取用户隐私信息；

利用手机僵尸网络“挖矿”——CoinKrypt家族木马；

通过手机架设Web服务器，窃取用户隐私，反向链接的行为更加隐蔽——Gandspy家族木马；

将移动设备加密锁屏后，对用户进行勒索——simplelock家族；

伪造关机，实际上在后台窃听——shutdownhack家族木马；

恶意刷Google Play榜的“刷榜客”僵尸木马；

XX神器爆发后，短信蠕虫泛滥。

四、 Android恶意代码技术新趋势1 Rootkit和Bootkit攻击技术

2014年，采用Rootkit攻击技术的木马有：长老木马、PoisonCake家族等；Android平台上首个采用Bootkit技术的木马：Oldboot（中文名：不死木马）。这些木马虽然目前只能通过ROM植入方式来传播，需要Root权限才能查杀。但是移动安全厂商也不可掉以轻心，需要努力建立更为强大移动恶意代码对抗方案。

2 编程语言多样化

Android应用支持多种开发语言，除常规的Java与C/++，还有易语言、VB、C#、HTML5等。2014年开始捕获到使用易语言和C#开发的恶意应用，其中易语言开发的恶意代码应用已超过200余个。

3 恶意软件加壳技术

2014年，更多恶意软件采用加壳技术躲避安全软件的查杀。

2013年到2014年仅一年时间，加壳恶意软件数量就增长了约18倍（如图8所示）

图8 加壳恶意软件数量增长趋势