2013中国手机安全状况报告

2013中国手机安全状况报告

2014年2月11日

摘 要

✧ 2013年全年，Android 平台新增恶意程序样本67.1万个，较去年增长4.4倍；用户感染

恶意程序9747万人次，较去年增长了88.3%。 ✧ 资费消耗、恶意扣费、隐私窃取和诱骗欺诈类恶意程序的感染量最高，分别占到感染人

次数总量的46%、21%、21%和8%。用户手机感染恶意程序后面临直接经济损失的可能性达到了近七成。 ✧ 第三方应用市场是恶意程序传播的主要途径。在对国内37个应用市场（不含360手机

助手）的安全性检测中发现：恶意程序的平均占比为4.0%，最高为21.2%，某大型第三方应用市场中竟然含有7.8万款恶意程序。此外，包含恶意广告插件的程序平均占比为13.0%，最高为52.5%，某大型第三方应用市场中竟然含有29万款带有恶意广告插件的软件或游戏。 ✧ 2013年出现了“欺诈信使”、“支付鬼手”、“尸潮”、“扣费黑帮”和“不死木马”等一

系列新型高危木马，严重威胁用户手机安全。

✧ 2013年全年，被用户标记的各类骚扰电话号码约4.22亿个，被标记的骚扰电话号码日

均活跃数量为230多万个。其中，“响一声”电话以51%的比例位居骚扰电话数量的首位，广告推销电话占比为21%，而诈骗电话的占比约为18%。 ✧ 在被用户标记的骚扰电话号码中，移动电话约占85%，固定电话约占15%。而在被标

记为骚扰电话的手机号码中，中国移动占比最高，为67%。广东、河南和山东是国内骚扰电话的三大发源地。此外，星期二通常是骚扰电话最多的一天，而周日通常则是骚扰电话最少的一天。 ✧ 2013年全年，360互联网安全中心共收到用户举报垃圾短信总量约为4.46亿条，360

手机卫士全年共为用户拦截各类手机垃圾短信971亿条。其中，广告推销类垃圾短信占比约为66%，资讯信息占比20%，违法信息和诈骗信息分别占比7%和5%。 ✧ 广东、北京和山东是垃圾短信的最大发源地。来自广东的垃圾短信发送号码就占了全国

垃圾短信发送号码总量的20%以上，比排在第二位的北京多出了两倍多。此外，星期五通常是用户收到垃圾短信最多的一天，而星期六则是用户收到垃圾短信最少的一天。 ✧ 优惠、热线、发票、农行、信用卡等23个词汇成为2013年垃圾短信中出现频次最高的年度典型词汇。其中，热线、农行、房东和抽奖是诈骗短信中出现频率最高的典型词汇；而治疗、发票、小姐则是违法短信中出现频率最高的典型词汇。

✧ 70%的手机安全漏洞源于定制开发；伪基站是2013年最新流行的垃圾短信发送方式；

交易短信已经成为手机木马攻击的新目标。

关键词：恶意程序、骚扰电话、垃圾短信、手机漏洞

目 录

第一章

恶意程序统计分析 ........................................................................................................ 1

一、 二、 三、 恶意程序新增量与感染量 . ...................................................................................... 1 恶意程序危害分析 . .................................................................................................. 2 恶意程序传播途径分析 . .......................................................................................... 3 四、五、六、第二章

一、二、三、四、五、第三章

一、二、三、四、五、六、第四章

一、二、三、四、第五章

第三方应用市场安全性分析 . .................................................................................. 5 手机木马感染量TOP10 .......................................................................................... 6 年度高危手机木马详解 . .......................................................................................... 7 骚扰电话分析 . ............................................................................................................. 12

骚扰电话总量与活跃量 . ........................................................................................ 12 骚扰电话类型分布 . ................................................................................................ 12 骚扰电话号码运营商分布 . .................................................................................... 12 骚扰电话号码归属地分布 . .................................................................................... 14 骚扰电话的时间分布 . ............................................................................................ 15 垃圾短信分析 . ............................................................................................................. 16

垃圾短信举报量与拦截量 . .................................................................................... 16 垃圾短信类型分析 . ................................................................................................ 16 垃圾短信号码归属地分布 . .................................................................................... 17 垃圾短信的时间分布 . ............................................................................................ 18 垃圾短信年度热词排行榜 . .................................................................................... 19 典型诈骗短信举例 . ................................................................................................ 20 新兴手机安全威胁 ...................................................................................................... 23

70%的手机漏洞源于定制开发.............................................................................. 23 年度高危手机漏洞举例 . ........................................................................................ 24 伪基站发诈骗短信真假难辨 . ................................................................................ 26 交易短信成木马攻击目标 . .................................................................................... 26 2013年手机安全热点事件及解读 .............................................................................. 28

第一章 恶意程序统计分析

一、 恶意程序新增量与感染量

2013年全年360互联网安全中心共截获Android 平台新增恶意程序样本67.1万个，较2012年全年的12.4万个增长了4.4倍，平均每天截获新增恶意程序样本近1838个。

其中7月截获的Android 平台新增恶意程序样本高达19.9万个，远高于全年其他月份截获的恶意程序样本数。

2013年全年，360互联网安全中心共监测到Android 用户感染恶意程序9747万人次，较2012年全年的5175万人次增长了88.3%，平均每天恶意程序感染量达到了26.7万人次。

全年各个月份Android 平台恶意程序感染量总体上保持稳定，在3月份达到最高值988万人次，随后有所回落，下半年恶意程序感染量稳步振荡。

二、 恶意程序危害分析

根据中国反网络病毒联盟的分类标准，手机恶意程序共分为资费消耗、恶意扣费、隐私窃取、诱骗欺诈、流氓行为、系统破坏、远程控制和恶意传播这8个主要类别。根据360互联网安全中心的监测，2013年全年Android 平台，资费消耗和恶意扣费类恶意程序的感染量最高，分别占到感染人次数总量的46%和21%。二者之和达到67%。这意味着对于已经感染了恶意程序的手机用户来说，面临直接经济损失的可能性达到了近七成。

感染量排第三的是隐私窃取类恶意程序，占感染人次数总量的21%。其主要表现为：在用户不知情或未授权的情况下，获取用户个人信息。隐私窃取虽然不直接构成经济损失，但它会为用户的手机安全埋下隐患，一旦危机爆发，危害程度更高。

排在第四位的是诱骗欺诈类恶意程序，占感染人次数总量的8%，约为780万人次。这类恶意程序主要是通过伪造、篡改和劫持短信、彩信、邮件、通信录、通话记录、收藏夹和手机桌面等方式，对用户实施诱骗和欺诈。虽然这类恶意程序的感染量与诈骗短信和诈骗电话的数量相比还有很大差距，又由于其更具隐蔽性和迷惑性，而且会长期驻留在用户手机中，因此其实际危害甚至高于传统的电信诈骗。诱骗欺诈类恶意程序的快速增长值得高度关注。

三、 恶意程序传播途径分析

第三方应用市场及论坛仍然是恶意程序传播的主要途径，占比超过60%。其次的传播途径分别是手机预装和恶意网址。下图给出了各种传播途径的比例分布。

2012年，第三方应用市场及论坛在恶意程序的传播途径中占比尚不足50%。而在2013

年这一比例则超过了60%。其主要原因是，随着第三方应用市场的竞争越来越激烈，部分应用市场开始盲目的追求软件和游戏的收录数量，甚至将此作为自己的主要竞争优势，因而忽视了对应用程序安全性的审核，使得恶意程序在应用市场中的数量越来越多。另外，某些应用市场的开发商，包括收录量过百万的大型应用市场的开发商，实际上并不具备专业的软件安全检测能力，这也使得第三方应用市场的管理越来越混乱。

手机预装仍然是仅次于第三方应用市场的恶意程序第二大传播途径。预装恶意程序的情况在山寨手机和水货手机中尤其多见。不过相比于2012年超过30%的比例，2013年，手机预装在恶意程序传播途径中的占比大幅下降到20%左右。造成这种情况的主要原因是：越来越多的专业的安全厂商开始参与到手机root 、刷机和预装软件卸载的工具开发之中，使得通过预装软件将恶意程序直接植入手机ROM 内核的方式受到了很大的打击。但需要指出的，手机上预装的恶意程序要比通过其他形式感染手机的恶意程序更难清除，甚至有些预装恶意程序会屏蔽或卸载手机安全软件。

通过恶意网址传播恶意程序的情况比较复杂，主要包括短信链接、短链接和二维码三种形式。短信链接就是在短信中含有的网址链接。就目前情况而言，短信链接仍然是最为主要的恶意网址传播方式。

其次是来自微博、微信等手机应用中的网址短链接。特别是随着微信的快速普及，通过微信群发带有木马程序的恶意网址或钓鱼网站，已经成为一种非常普遍的网络攻击方式。特别值得关注的是，人们在PC 上通常都是使用浏览器来打开网址，安全软件通常都能有效的发现和拦截恶意网址。但在手机上则有所不同，通过微博、微信等手机客户端软件打开的网址往往无法被手机安全软件捕获。这就使得人们通过手机访问恶意网址的几率大大提升。 通过二维码传播恶意程序的比例在2013年增长迅速，这一方面是由于二维码应用越来越广泛，扫二维码已经成为很多手机用户的日常习惯，另一方面也是由于多数二维码扫码工具并不具有识别恶意网址的能力，只是简单将二维码翻译成网站地址。这就给恶意程序通过二维码传播创造了更加有利的条件。另外，恶意二维码目前也是钓鱼网站在手机上传播的重要途径。下图给出了360手机卫士拦截恶意二维码的手机截图。

四、 第三方应用市场安全性分析

第三方应用市场是用户下载软件和游戏的主要途径。如前所述，超过六成的恶意程序是通过第三方应用市场和论坛下载到用户手机中的。2014年第四季度，360互联网安全中心对国内用户量较多的37个应用市场（不含360手机助手）中的各种软件和游戏进行了安全性检测分析。这37个应用市场的市场规模和应用下载量情况如下：

检测分析结果显示，在这些应用市场中：恶意程序的平均占比为4.0%，最高为21.2%，某大型第三方应用市场中竟然含有7.8万款恶意程序。下图给出了不同规模的应用市场中，恶意程序的平均占比情况和最高占比情况分析。

有些程序本身并不是恶意程序，但却被他人捆绑或打包了恶意广告插件。被捆绑了恶意广告插件的程序，即使该程序并未在手机前台运行，其携带的恶意广告插件也会不断的在系统中弹出各种广告，而且是匿名弹广告或冒名弹广告，用户并不知道这些广告是由哪一款软件或游戏弹出的，因此很难关闭这些广告，部分恶意广告插件甚至根本无法关闭。还有一些恶意广告插件甚至会挟持其他软件（如微信）弹广告。此外，恶意广告插件还会消耗用户的手机流量，造成资费损失，属于手机吸费的一种重要形式。

尽管某些恶意广告插件的危害甚至大于单纯的恶意程序，并且会对被污染的软件或游戏程序的声誉造成损害，但到目前未知，对于带有恶意广告插件的程序是否属于恶意程序，业界尚没有形成共识。

检测分析结果显示，在上述37个第三方应用下载市场中，包含恶意广告插件的程序平均占比为13.0%，最高为52.5%，某大型第三方应用市场中竟然含有29万款带有恶意广告插件的软件或游戏。这一结果非常惊人。下面两图给出了不同规模的应用市场中，包含恶意广告插件的程序平均占比情况和最高占比情况分析。

从上面两图中可以看出：大型第三方应用下载市场中普遍含有几万款恶意程序和十几万款至几十万款不等的带有恶意广告插件的程序。而中小型第三方应用下载市场则良莠不齐（平均值与最大值之间的差别较大），个别应用市场上有超过1/5的程序为恶意程序，1/3甚至半数以上的程序带有恶意广告插件。

五、 手机木马感染量TOP10

下表给出了2013年第四季度感染量最高的十大恶意程序及其危害。在这十大恶意程序中，有六款为吸费软件。

六、 年度高危手机木马详解

（一） 伪装微信消息的木马

2013年2月，360互联网安全中心截获34款新型Android 手机木马，这些木马会自动下载各种软件，并伪装微信消息诱骗用户安装。下图为恶意程序伪装微信消息的手机截图。

这些恶意程序会将自己伪装成“圆桌骑士”、“双截龙”、“侍魂”、“三国志”、“名将”、“雷电”、“合金弹头”等热门游戏，并在描述中加入如“绿色无广告版”等字样。用户一旦安装这些应用，手机就会联网接收黑客通过服务器发出的各种指令，远程控制手机，开始联网自动下载各种用于流氓推广的应用，并在下载过程中产生大量流量，消耗手机资费。

（二） 可致微博、微信乱弹广告的木马

2013年4月，360互联网安全中心截获到一批“借刀杀人”型手机恶意程序。与以往乱弹广告的恶意程序不同的是，这些恶意程序本身并不弹广告，而是让正常的微博、微信等应用频频弹出广告，不但消耗用户手机流量，更让用户误以为这是厂商自行在微博、微信上投放的广告。据统计，截至2013年4月底，携带此恶意广告插件的恶意程序将近300余款，感染量多达31万。下图为这些恶意程序导致微信、微博弹出广告的手机截图。

分析发现，这些恶意程序主要是正常程序被植入了一种特殊的恶意广告插件。这个插件会暗中在后台启动监控服务功能，通过获取服务器指令，自动检测判断手机中是否含有微信、微博等应用，随即在这些正常应用界面中频繁弹出“精品推荐”等不同类别的广告。

（三） “欺诈信使”木马群发诈骗短信

2013年上半年，360互联网安全中心截获了一个名为“欺诈信使”的手机木马。该木马通常会伪装成常用软件或游戏，一旦被安装到手机中，该木马就会读取手机内存和SIM 卡内的联系人信息，并向所有联系人群发事先编辑好的诈骗短信。诈骗短信的常见内容是以在KTV 等私人场所被警察抓获为由，让亲友将所谓的“保释金”汇入“某某的银行账户”。下图是360手机卫士拦截此木马读取个人信息和尝试发送短信时的截图。

欺诈信使木马可以将任何一部手机变成垃圾短信或诈骗短信的群发器，没有固定的端口，这也给运营商的监管造成了很大难度。同时，由于收信者看到的发信号码是自己熟悉的亲人或朋友的号码，因此其迷惑性更强，更加难以识别。

（四） “支付鬼手”专偷用户手机支付帐号密码

2013年5月，360互联网安全中心截获了一款名为“支付鬼手”的手机木马，该木马伪装成淘宝客户端，将用户输入的淘宝账号、密码以及支付密码通过短信暗中发送至黑客手机，同时诱导用户安装木马子包，木马子包会劫持用户收到的包含验证码在内的所有短信，并联网上传或直接转发至黑客手机。而黑客一旦收到这些信息，就会将用户支付宝财产洗劫。“支付鬼手”是当时截获的唯一一个具有完整盗窃支付账号能力的手机木马。下图为360手机卫士拦截“支付鬼手”木马安装及拦截该木马向黑客手机发送短信时的手机截图。

下图为“支付鬼手”木马诱导用户安装名为“账户安全服务”的恶意子包的手机截图。

“支付鬼手”木马主要是通过二维码、论坛等多渠道进行传播。黑客会将木马下载地址制作成二维码图片在网站及论坛传播，诱骗用户扫描下载，其安装包显示名称为“旺信内测版”或“跳蚤街”等名称。

（五） 具有三层防查杀能力的Android 木马

2013年6月，360互联网安全中心截获了一款“Backdoor.AndroidOS.Obad.a ”的恶意程序。该木马的主要行为是偷偷发送短信为手机定制扣费业务，并下载更多的恶意程序。此外，为了在短时间内感染更多设备，已被感染的手机还会被控制自动搜索其他蓝牙设备，发送恶意程序并远程执行木马命令进行安装。

而特别值得注意的是，该木马具备“反查杀，难解析，难卸载”等特性，是迄今为止发现的结构最复杂的Android 木马之一。其独特之处在于该木马具备三层防查杀特性，使该木马不仅很难被发现，而且极难被卸载。此外，该木马还利用Android 系统自身漏洞，将其注册为设备管理器且在列表中不显示，最终使木马程序无法关闭和卸载，使被感染的手机始终处于安全风险之中。

下图为该木马在手机上的信息和被手机卫士拦截的情况截图。可以看出，该木马即无法被强行停止，也无法被直接卸载。

不仅如此，该木马还利用了Android 系统存在的另一种缺陷。使得该木马即便以一种错误的方式注册进设备管理器，Android 系统也能让其注册成功，而用户却无法找到取消该木马管理权限的入口，此时木马便可随意在被感染手机中作恶。

（六） 最耗流量木马“尸潮” 2013年7月2日，360互联网安全中心截获到一批恐怖的“尸潮”木马最新变种。该变种伪装成超过12000款热门手机应用进行传播，如“疯狂猜图”、“百度魔图”、“超音速飞行中文版3D ”等。一旦安装这些被感染的应用，黑客就可随时通过远程操控，让手机在后台下载未知应用，大量消耗手机上网流量。“尸潮”是迄今为止消耗流量最多最快的手机木马。

（七） “扣费黑帮”系列木马

2013年8月15日，360互联网安全中心发布橙色预警，一批名为“扣费黑帮”的恶意

扣费手机木马正在蔓延，感染软件数量高达惊人的5000余款。这类木马可使黑客远程操控中毒手机所发送的短信内容，让中毒手机不仅发送扣费短信，而且还会向亲友群发诈骗短信、广告信息等，使手机成为庞大的诈骗短信“肉鸡”手机群。 “扣费黑帮”系列木马还具备少见的“反侦查”机制：该木马入侵手机后会首先检测手机中是否安装了安全软件，如果这些安全软件处于运行状态，则“扣费黑帮”不会触发恶意行为，隐蔽性和自我保护能力极强。

（八） “不死木马”，最难清除的手机木马 2013年12月，有用户向360互联网安全中心反馈手机中有“杀不掉”的木马。据用户描述，他刚购买的手机经常莫名其妙地出现大量自己没有安装过的软件，消耗了大量流量，造成资费损失。该用户使用360手机卫士进行杀毒，发现手机中有三个预装的木马。但问题是，在清除这些木马之后，每次重新启动手机之后，又会出现同样的现象，并再次检测出存在木马。

随后，360互联网安全中心对该用户的手机内进行了检测，在该用户手机内捕获到全球首个被写入Boot 分区的手机木马，并将其命名为“不死木马”（英文命名为Oldboot ）。这是目前已知的最难清除的手机木马，目前在国内的手机感染量已经超过50万部。

该木马的主要行为是频繁联网，下载大量推广软件，造成流量资费损失并将手机电量迅速耗尽。此外，通过对该木马的代码分析还发现，

该木马还拥有卸载其他软件和劫持短信发送给任意手机号的功能。

由于该木马被写入了手机磁盘引导区，因此，清除木马之后，只要重新启动手机，该木马又会被重新载入。木马病毒感染磁盘引导区的攻击方法在个人电脑领域并不罕见，但在智能手机领域尚属首次被发现。检测显示，目前世面上的绝大多数手机安全软件都无法彻底清除该木马。用户一旦发现手机感染了该木马，需要使用专杀工具才能将其彻底清除。

综合木马特征和用户反馈的情况来看，“不死木马”目前的主要传播方式应该是在手机流通销售的某个环节被人工手动刷入的。

第二章 骚扰电话分析

一、 骚扰电话总量与活跃量

2013年，360互联网安全中心共收到用户标记的各类骚扰电话号码约4.22亿个（去重），平均每天被用户标记的活跃骚扰电话号码数量约为230多万个。也就是说，全国平均每天有约230万个电话号码在不断骚扰全国手机用户。

骚扰电话号码的日均活跃量是指每日持续有用户标记的骚扰电话号码数量的平均值。很多骚扰电话号码一旦被用户大量标记，其接通率便会大幅下降，并最终被弃用。而一个骚扰号码一旦被弃用，用户标记数量也随之下降并最终归零。被用户持续标记的号码就是活跃的骚扰号码，而长期无人继续标记的骚扰号码即为不活跃的骚扰号码。

二、 骚扰电话类型分布

综合360互联网安全中心监测与用户标记情况分析，2013年，“响一声”电话以51%的比例位居骚扰电话数量的首位，较2012年44%的比例上升了7个百分点；广告推销电话占比为21%，较2012年的28%有明显下降；而诈骗电话的占比约为18%，较2012年的17%略有上升。

绝大多数响一声电话都是声讯台等吸费电话，有些声讯台还设在国外，一旦拨打回去，手机资费就会快速的被消耗殆尽。

三、 骚扰电话号码运营商分布

从用户标记的骚扰电话号码的号段分布上看，85%为移动电话号码，15%为固定电话号码（包括普通座机号码，400、800电话号码，95开头的商务客服号码和各种网络电话号码）。

下图给出了2013年第四季度被用户标记为骚扰电话的手机电话号码的运营商分布情况及与第三季度情况的对比。

从图中可以看出，2013年第四季度，来自中国移动的手机骚扰电话号码仍然最多，占比为67%，较2013年三季度的47%有20个百分点的较大增幅；除此之外，中国电信和中国联通在第四季度的手机骚扰电话号码占比均有下降，降幅较大的是中国电信，四季度占比为13%，环比三季度下降了18%个百分点；其次是中国联通，四季度占比为20%，较2013年三季度下降了2个百分点。

四、 骚扰电话号码归属地分布

从用户标记的骚扰电话号码归属地区来看，广东（12.1%）、河南（6.6%）与山东（6.4%）成为骚扰电话三大发源地。其中，广东占比虽然较2012年的17.4%有明显的下降，但仍是连续两年名列第一，而且广东也是唯一一个骚扰电话号码数量占比超过百分之十的省级行政区。

与2012年相比，2013年骚扰电话号码的地域集中度有明显降低，同时骚扰源有向全国各个地区扩散的趋势。造成这种情况的主要原因，可能是由于电信运营商加强了对重点地区骚扰电话号码的打击力度，从而迫使骚扰电话向监管相对薄弱的地区扩散。

五、 骚扰电话的时间分布

从时间段上看，上午8点至12点，下午16点至21点是用户标记骚扰电话的高峰时段，也是骚扰电话最为活跃的时段。早高峰的顶点出现在上午9点前后，9点-10点之间的用户标记量平均约占全天标记总量的5.9%；晚高峰的顶点出现在下午18点前后，18点-19点之间用户标记的骚扰电话数量平均约占全天标记总量的6.3%，这也是用户全天标记骚扰电话最为为频繁的时段。而每天凌晨0点到6点则是骚扰电话比较稀少的时段，凌晨3点前后最为清净，3点至4点之间的用户标记量平均仅为全天标记量的0.4%。

以一周为观察周期进行统计，星期二通常是骚扰电话最多的一天，用户标记数量平均约占一周标记总量的16.0%，而周日通常则是骚扰电话最少的一天，用户标记数量平均仅占一周标记总量的12.4%。周日可以称为一周的“清静日”。

第三章 垃圾短信分析

一、 垃圾短信举报量与拦截量

据360互联网安全中心统计，2013年全年共收到用户举报垃圾短信总量约为4.46亿条，360手机卫士全年共为用户拦截各类手机垃圾短信971亿条，较2012年垃圾短信拦截总量的712亿条增长了36.4%，平均每天拦截垃圾短信2.66亿条。

二、 垃圾短信类型分析

从用户举报的垃圾短信的内容来看：广告推销、资讯信息、违法信息及诈骗信息的数量最多。下图给出了各种类型垃圾短信在数量上的比例分布情况。

从图中可以看出，广告推销是数量最多的垃圾短信，占比为66%。相比于在媒体上进行广告投放，群发垃圾短信的推广成本要低得多。这也使得部分商家将群发垃圾短信最为商业推广的首选方式。

下图给出了广告推销类垃圾短信内容的具体分类数量情况。可以看出，地产广告、打折促销、医疗广告和教育移民广告是数量最多的四种类型。特别是地产广告比例高达48%，十分引人注目。在2013年全国楼市一片大涨的形势下，售楼者仍然需要采用群发垃圾短信的方式进行促销，这种奇特的现象耐人寻味。

排在垃圾短信类型第二位的是资讯信息，占比约为20%。事实上，绝大多数咨询信息都带有一定的广告色彩，目的是吸引读者登录特定的网站或者是下载新闻类客户端软件。

在违法类垃圾短信中，推销违禁品和色情服务占有相同的比例，均为30%；其次是非法博彩，占比为18%；办证发票名列第四，占比达到了12%。

三、 垃圾短信号码归属地分布

从用户举报的垃圾短信发送号码的号段分析来看，广东（20.3%）、北京（6.1%）和山东（5.8%）是垃圾短信的最大发源地。特别是广东，来自这一个省的垃圾短信发送号码就

占了全国垃圾短信发送号码总量的20%以上，比排在第二位的北京多出了两倍多。

四、 垃圾短信的时间分布

从时间段上看，从早上9点到晚上22点是用户举报垃圾短信的主要时段。下午17点前后是用户举报垃圾短信最多的时段。而凌晨4点前后则是用户举报垃圾短信数量最后少的时段。不过，用户标记骚扰电话基本上都是接到电话之后立即进行标记，而用户举报垃圾短信的时间相比于接到垃圾短信的时间则可能有一定的延时。下图给出了一天之中每个时段用户举报的垃圾短信的数量占全天用户举报总量的平均百分比情况。

如果以一周为统计周期，则星期五通常是用户举报垃圾短信最多的一天，占比约为一周举报总量的15.4%，而星期六通常则是用户举报量最少的一天，占比约为一周举报总量的12.3%。这表明，用户在星期六收到的垃圾短信最少，可以称为“清洁日”。

五、 垃圾短信年度热词排行榜

某些词汇或短语在垃圾短信中出现的频率很高。统计显示，2013年，在垃圾短信中出现频率最高的23个典型词汇分别是（按照出现频次由高到低排序）：

优惠、热线、发票、农行、信用卡、积分、贷款、现房、抵押、投资、房东、电脑、礼品、开业、放款、产权、担保、抽奖、治疗、招商、房产、餐饮、小姐。

这些词汇大量使用在各种类不同内容的垃圾短信中。结合这些词汇的含义与出现场景，又可以将这些词汇进行归类。下表是对这些词汇的一个归类统计。

表3 垃圾短信包含的典型热门词汇分类

上表中有4个词汇被归为涉嫌诈骗这个类别。实际上，表中的所有典型词汇均可能被用在诈骗短信中，但这4个词汇与诈骗的关联程度最高，用户在手机上见到这4个词汇时需要格外提高警惕。下面就对这4个词汇涉嫌诈骗的情况进行简要的说明。

热线：热线通常是指热线电话。短信中出现陌生的热线电话，十有八九都是诈骗电话。 农行：在“打款类”诈骗短信中，收款帐号被注明为“农行”帐号的比例最高。而其他商业银行在此类诈骗短信中出现的频率均不足农行出现频率的1/5。骗子究竟为何如此热衷于使用农业银行帐号作为收款帐号，目前还不清楚。关于“打款类”诈骗短信的实例，请见下一小节。

房东、抽奖：冒充房东让他人向指定帐号打款，冒充热门电视节目发送抽奖、中奖短信，都是2013年非常流行的短信诈骗方式。具体实例，请参见下一小节。

六、 典型诈骗短信举例

本节主要针对2013年比较流行的诈骗短信，给出一些具体的实例，供大家参考。

（一） 传播木马链接

举例：152xxxxx290用户：您的好友给您发来一张照 片，点 击查 收! http://xxx 举例：安卓提醒：您系统已过期损坏! 请免. 费下载安装2013最新版Url:http://xxx

提示：这些网址实际上是手机木马的下载链接，一旦点击并下载文件，手机就会中毒。

（二） 假冒身份要求打款

举例：你好！我是房东，号码已换，请记下。另外你那租金请打我爱人卡上，工行：6212 2643 0100 0960 763谭华伟。

举例：钱准备好了直接打到这张新卡上，农--行：622848 34983170 28176户名：王亚玲 安全提示：陌生人发来的打款短信一律不可信，不认识收款人绝不能轻易转款。特别的，任何时候都不要轻易和房东的老婆发生任何关系。

（三） 银行密码器升级诈骗

举例：尊敬的用户; 您的电子密码器将今日过期，请尽快登入我行维护网站

www·iczp·cn·com 更新, 给您带来不便敬请理解！（工 商）e

举例：尊敬的用户：您的中银e 盾于次日失效，请即时登陆我行维护网站www.yesboc.com

进行更新，给您带来不便敬请谅解！【中国银行】

安全提示：仔细辨别，还是能够看出，这些网址并不是银行的网址，而是仿冒银行的钓鱼网站。登录这些网站，输入网银帐号和密码，帐号和密码就会被盗。收到类似短信不能确定时，首先应当拨打银行的官方客服进行咨询和确认，这样就不会轻易上当了。

（四） 航班取消诈骗

举例：尊敬的旅客:郝兵您好！您所预订的2013年12月16日济南-乌鲁木齐08:40起飞13:10到达的SC4905航班因飞机机械故障, 不能正常起飞, 已被取消. 请您收到短信后通知后及时办理退款或改签. 给您带来不便，敬请谅解！山东航空办理客服电话:4008-161080【山航】

安全提示：这类诈骗短信靠的是海量群发碰运气，遇到恰好购买了相关航空公司机票的用户，就有可能通过虚假客服电话实施诈骗。当然，也不能排除个别航空公司的内部人员泄漏旅客出行信息的可能。遇到此类短信，最好是通过可信的搜索引擎查询航空公司的官方客服电话后在拨打电话咨询。

（五） 博彩诈骗

举例：您好！告_诉您准_确（单双，生宵）, 可_中_后再合_作（一个号），详_旬：186_xxxx_3878 王_科_长

举例：香港马会为打击大陆黑庄, 特别推出内幕精准一码中特会员料, 抢订热线

137xxxx8678李生或登陆官网www.xxx.com

（六） 社保诈骗

举例：社 保 管 理 中 心 最后 通 知：您有一份补 助 金（4980元）尚未领 取，请及时办理联系电话[1**********]王

安全提示：收到此类短信，首先应通过官方渠道联系当地的社会保障机构进行咨询，也可以通过可信的搜索引擎查找当地社保机构的联系电话进行咨询。

（七） 中奖诈骗

举例：温馨提示：您号码已被湖南卫视《爸爸去哪儿》抽选为幸运星, 获得9.8万元及苹果电脑一台。请电脑登陆: bbqunzv.com 验证码5688

安全提示：冒充热门电视节目的抽奖、中奖类短信诈骗在2013年极其猖獗。如果您从未参加过相关电视节目的抽奖活动，就不要轻信任何此类短信。如果您确实参加了相关电视节目的抽奖活动，也一定要到电视台公布的官方网站上进行查询，或者是拨打电视台公布的官方电话进行咨询。

（八） 超低价欺诈

举例：151xxxx2044您好！苹果iphone4s 手机599元仅1000台。限本号今日抢! Url:http://p.gmbot.cn

安全提示：首先，超低的价格十有八九都是诈骗陷阱；其次，不论商品价格如何，如果短信链上的网站不是您熟悉的购物网站，就不要轻易尝试登录和购买。上面例子中的链接就是一个钓鱼网站，不但付款之后收不到货，而且钓鱼网站还很有可能会盗取您的网银帐号和密码。

（九） 考证诈骗

举例：【通】【知】：你的【會】【考】未 过，最 后内 部 操 作 包 过. 请 速 联 系。电话：132 xxxx 7986 张 老 师

安全提示：“真正的老师“不可能做这样的事情，而且做这样的事情本身就是违法的。轻信这种短信，破财之后也不会有任何结果。

（十） 银行卡停用、扣费诈骗

举例：工行通知：于2013年7月6日17点止，您名下所有银行账户将停用，如有不解速电：020-66205630【广州分行】

举例：温 馨 提 示！截 止 7 月 7 号, 我 行 已 成 功 从 您 户 上 减 去 1200„详 询0754-86701315《工 行》

安全提示：此类短信的发信号码和短信中留下的电话号码通常都不是银行的官方客服。不过，由于伪基站诈骗在2013年下半年非常流行，骗子通过伪基站技术可以将发信号码伪装成银行官方客服号码。因此，即使是银行官方客服号码发来的类似短信，也不要轻信。如果收到此类短信后自己却有担忧，也一定不要直接拨打短信中留下的联系电话，而是要通过银行官方客服进行咨询。

（十一） 怀孕诈骗

举例：张英28岁夫港商，因失去生育能力, 为继家业，寻健康男士与我怀孕，通话满意速汇定金50万，有孕重酬100万, 电话[1**********]

安全提示：色利双收，这种美事是不可能的。

（十二） 复制手机卡诈骗

举例：你想知道他人的通话短信内容吗？做一张和他一样的卡可以了解一切，是你事业，婚姻的好帮手，电话；[1**********]王经理

安全提示：通常情况下，与对方联系并付款购买之后，自己不会收到任何东西。

第四章 新兴手机安全威胁

随着智能手机应用的不断发展，针对手机的攻击方式也在不断变化。本章将从手机漏洞、伪基站和交易短信劫持这几个方面，介绍一些手机安全威胁的新趋势和新动态。

一、 70%的手机漏洞源于定制开发

手机系统的安全漏洞是对手机安全的最大威胁。而不同于个人电脑上Windows 的安全漏洞，手机的安全漏洞存在普遍化、定制化和修复周期长等特点。为了深入了解厂商定制与安卓系统碎片化给手机安全带来的影响，360互联网安全中心针对较为流行的9大品牌、18款典型型号的安卓手机进行了漏洞测试分析。具体品牌及型号见下表：

表4 参与漏洞检测的9大手机品牌及18个具体型号

以上典型机型的系统版本主要为安卓2.x 和4.x 两大类，在出厂默认设置条件下对这些型号的手机进行测试分析后发现，安卓2.x 版本中的9款手机平均存在20个已知的安全漏洞，最少的是8个漏洞，而最多的则达到40个漏洞；安卓4.x 版本中的9款手机平均存在19个已知的安全漏洞，最少的是3个漏洞，最多的同样达到了40个漏洞。

研究发现，使用Google 原生安卓系统Nexus 系列的手机漏洞是最少的，其次是索尼手机。国产手机漏洞数量通常介于10到20个之间，少数国际知名品牌的某些手机型号中，检测出存在30-40个安全漏洞。根据360互联网安全中心对上述机型手机预置应用的调查结果来看，因厂商定制产生的手机安全漏洞，约占被测试手机已知漏洞总数的70%。目前，厂商定制是产生手机漏洞较多的主要原因。

在针对上述机型的安全检测中，360互联网安全中心还对6种危害较大且比较常见的漏洞类型进行了统计。具体统计结果见下表：

表5 六类漏洞在各型号手机中的分布

可以看出，后台消息、签名漏洞、短信欺诈和后台电话这四类漏洞几乎存在于所有手机

中，其中后台消息和短信欺诈漏洞的检出数量分别高达70个和57个。后台消息和后台电话漏洞可能会被利用来进行恶意扣费，短信欺诈漏洞更会对用户的财产安全带来严重的威胁。数据显示，几乎每部手机都不同程度地存在以上漏洞，这种现象令人十分担忧。

手机漏洞的修复周期长也是一个重要的安全隐患。这主要是由以下几方面的原因造成的：第一，手机行业尚未形成如Windows 系统那样定期统一推送补丁的机制；第二，不同厂商对系统安全的重视程度也不同，因此厂商修复系统漏洞的周期也长短不一，某些山寨手机厂商甚至从手机出厂之后就从不修补任何手机漏洞；第三，同样是由于厂商定制开发的原因，使得某些厂商开发的安卓系统没有办法随着Google 原生安卓操作系统一起升级。另外，出于对手机系统升级可能带来的其他方面问题的担忧，很多用户也不愿意主动升级自己的手机操作系统。

二、 年度高危手机漏洞举例

（一） 签名漏洞危及99%的安卓手机

2013年7月，Bluebox 公司曝光了一个严重的安卓系统签名漏洞。该漏洞使99%的安卓设备面临巨大风险：黑客可以在不破坏APP 数字签名的情况下，篡改任何正常手机应用，并进而控制中招手机，实现偷账号、窃隐私、打电话或发短信等任意行为，从而使手机瞬间沦为“肉鸡”。该漏洞也被业界公认为史上最严重的安卓系统签名漏洞。

就在7月下旬，360互联网安全中心截获了一批利用该漏洞实施攻击的手机木马，这类使用了合法签名的木马会导致手机隐私被窃、自动向通讯录联系人群发诈骗短信及私自发送扣费短信。该类木马涉及游戏、壁纸及网银等多种软件，并且绝大多数都是来自应用商店，危害性和传播性不容小觑。下图是360互联网安全中心截获的部分安卓系统签名漏洞木马。

（二） 挂马漏洞致使点击网址即中招

2013年9月，安卓系统WebView 开发接口引发的挂马漏洞被曝光。黑客通过受漏洞影

响的应用或短信、聊天消息发送一个网址，安卓手机用户一旦点击网址，手机就会自动执行黑客指令，出现被安装恶意扣费软件，向好友发送欺诈短信，通讯录和短信被窃取等严重后果。国内大批热门应用和手机浏览器受到影响。

目前，多数手机应用的开发者已经修补了该漏洞，手机用户可以通过升级软件或游戏来解决此问题。下图为通过微信发送的挂马链接的一个实例。

（三） GSM 漏洞可致短信被黑客监听

通信层面的安全漏洞造成的威胁往往是最难以防范的。2013年，360互联网安全中心首家发布红色警报：由于国内运营商对部分地区GSM 制式的数据通信没有加密，黑客可以监听自己所在基站覆盖范围内所有GSM 制式手机（移动、联通的2G 用户）的通信内容。一旦手机短信内容被黑客获取，手机号码所绑定的网上支付、电子邮箱、聊天账号等重要账户将全部面临被盗风险。

对此360互联网安全中心建议，GSM 手机用户收到各种短信验证内容时应提高警惕，一旦发现不是由自己发起的网上支付或“找回密码”短信，应立即联系银行和支付平台客服求助。

（四） iOS 被爆多个安全漏洞

即便是封闭的苹果iOS 系统，也可能因为漏洞攻击而变得脆弱。2013年8月，短短一条阿拉伯语字符串在网上走红，只要通过短信、微信消息、朋友圈、微博等方式把字符串发送给iPhone 的iOS6手机用户，就会造成对方应用闪退崩溃。

此外，2013年苹果手机重磅推出了iOS7，但新系统却曝出多个“锁屏漏洞”，使用者通过几步简单的操作，即可绕过锁屏密码，查看手机内的邮件、照片、软件等。这一漏洞可使用户隐私泄露。苹果目前已修复该漏洞。

事实上，iOS 上的漏洞数量并不亚于Android 、Windows Phone 等其他系统，其中不少漏洞可以被利用进行远程攻击，iOS 漏洞价格在国外黑客交易市场也居高不下，吸引了更多黑客火力。而对于iPhone 用户来说，及时更新系统，谨慎点击可疑消息是防范威胁最好的办法。

作为银行客户端软件开发者，不仅要关注安卓系统的安全漏洞，也要关注iOS 系统的安全漏洞，以及时短信提醒客户或升级产品。

三、 伪基站发诈骗短信真假难辨

2013年，一种名为伪基站的强发垃圾短信和诈骗短信的攻击方式泛滥。不法分子将与电信运营商的无线基站同频的伪基站放入车中，在人群密集的街道和小区自动搜索附近的手机卡信息，发送广告或诈骗短信，甚至冒充95588等银行号码诱骗中招者访问虚假网银，盗刷银行账户资金。另外，冒充电信运营商号码，如[1**********]的伪基站短信也不在少数。

进入2013年下半年，又出现了大量伪基站伪装运营商、银行等官方号码发送欺诈短信，诱导受害者下载可以拦截和转发用户短信的手机木马（如“隐身大盗”木马）的案件。该类木马可以实现盗刷支付账户的目的。

据某不法商家宣称，其一个月就能卖出伪基站上百台，而一台伪基站每小时最多可发3万条短信。保守估计，2013年国内由伪基站发出的短信达到上百亿条规模。

由于伪基站使用的发信号码多为银行或电信运营商的官方号码，这些号码不仅对于用户来说很具有迷惑性，而且这些号码通常也会被手机安全软件列入白名单，因此，目前市面上的绝大多数手机安全软件和号码管理软件也不能识别和拦截伪基站短信。目前，针对日益泛滥的伪基站攻击，360手机卫士已推出拦截功能，并可标记这些伪基站短信。

四、 交易短信成木马攻击目标

很多网上支付工具都会与手机进行绑定，用于发送验证码和交易信息通知。进入2013年以来，以拦截和窃取交易短信为目标的手机木马迅速泛滥，最典型的是名为“隐身大盗”的安卓木马家族。此类木马运行后会监视受害者短信，将银行、支付平台等发来的短信拦截掉，然后将这些短信联网上传或转发到黑客手机中。黑客利用此木马配合受害者身份信息，可重置受害者支付账户。国内已出现多起“隐身大盗”侵害案例，有受害者损失高达十余万元。

目前有网站以1000元的价格公开售卖短信拦截类木马。下图是一个名为“咖啡科技”的不法公司卖出手机木马后，使用该木马的黑客的手机短信截屏。从图中可以看出，一条支付宝发给用户的“找回密码”短信被劫持到了黑客的手机上。这名黑客实际上正在尝试登录并修改某用户的支付宝账户。由于木马劫持了支付宝发给用户的短信，因此，黑客就可以通过“找回密码”这种方法修改用户的账户密码。

第五章 2013年手机安全热点事件及解读

（一） 利用微信钓鱼案件频发

黑客盗取QQ 帐号之后，向被盗帐号的好友发送诈骗信息和钓鱼网站的事情早已有之。而在2013年，随着微信的日益火爆，微信盗号事件的频发也引起广泛关注。相比QQ ，微信好友都是实时在线，信息随时推送，所以微信被盗后的诈骗速度更快、范围也更广。同时，微信联系的朋友基于熟人圈子，诈骗者简直如鱼得水，这也侧面反映出隐私泄露的危害性。 于是，通过被盗微信，群发钓鱼网站来盗取其他微信用户的QQ 帐号成为骗子的惯用手法。骗子通常以“在吗，问你个事，这个女的你认识吗……”等诱惑性内容开始，勾起好友的好奇心，紧接着就发来一个钓鱼网站链接，诱惑好友点击，盗取QQ 帐号。进而实施诈骗。下图为某用户微信帐号被盗后，与好友的交谈记录截图。

（二） 三星Galaxy S4曝高危短信欺诈漏洞

360互联网安全中心6月17日独家发现三星“机皇Galaxy S4存在一个高危短信欺诈漏洞。利用该漏洞，恶意程序可在后台偷偷发送扣费短信，或伪造任意发送号码在中毒手机收件箱中写入诈骗短信，对机主进行恶意扣费或欺诈。除S4用户外，不排除部分搭载三星“云备份”组件的三星S3以及Note2等机型也受到这个新的短信欺诈漏洞的威胁。

新漏洞存在于三星S4的“云备份”组件中，该系统组件并不会校验数据发送者的身份。这直接导致恶意程序可以在不申请发送短信和存取短信权限的情况下，向任何号码发送任何内容的短信。更严重的是，利用该漏洞，任何第三方程序都能冒充亲友、银行等机构组织、客户服务商等，肆意伪造含有诈骗内容的短信或彩信，并以未读状态暗中放入短信收件箱中，吸引S4用户上钩。下图为360手机卫士为三星S4提供的短信欺诈漏洞临时补丁的截图。

28

（三） 安卓系统签名漏洞遭大面积利用

2013年7月，Bluebox 公司曝光了一个被称为史上最严重的安卓系统签名漏洞。99%的安卓设备面临巨大风险。利用该漏洞，黑客可以在不破坏APP 数字签名的情况下，篡改任何正常手机应用，并进而控制中招手机。随着漏洞被曝光，一大批利用该漏洞制作的恶意程序在国内外被发现。

（四） iOS 系统被曝多个安全漏洞

2013年8月底，一串神秘的字符让广大iPhone 用户陷入了无尽的头痛中。据了解，苹果iOS 6和OS X 10.8系统存在文本漏洞，只要短短一条阿拉伯语字符串，就可能使绝大多数iPhone 手机上的应用崩溃。经360互联网安全中心测试，此次“危险字符串”攻击，可以通过短信、微信、微博等方式传播，使用户无法打开上述应用。

在该问题出现后，普遍的解决方式是用大量消息将带有危险字符的消息顶掉。除此之外并没有更好的解决办法。苹果公司表示该漏洞将会在 OS X 10.9 和iOS 7 正式版中被修复。

2013年9月下旬，iOS 系统再次爆出新漏洞，这是iOS 系统被曝出的第二个锁屏漏洞。利用该漏洞，即使用户的手机处于锁屏状态，陌生人也可以查看手机主人的Facebook 信息、Twitter 信息，电子邮件，通话记录等，使iPhone 密码锁屏功能形同虚设。

9月23日，美国佐治亚理工学院研究人员在中国互联网安全大会上，披露了一个恶意充电器漏洞的危害。利用该漏洞，黑客可在一分钟内，用改装的假冒充电器将恶意程序植入

29

iPhone 设备中，未越狱的设备也难逃攻击。恶意程序被植入后，就会在用户不知情的情况下，偷偷为手机安装任意应用并将其隐藏，偷窥手机屏幕，窃取应用密码甚至完全操控手机。

虽然在iOS 7最新系统中，苹果已封堵了包括锁屏漏洞、充电器漏洞等超过80个安全漏洞，但系统漏洞仍存安全隐患。

（五） 最严手机实名制开始在国内实施

自2013年9月1日起，国内用户在办理固定电话、移动电话开户过户等入网手续时，需进行真实身份信息登记。同时，未登记真实身份资料的手机老用户也需要重新登记。最终确保所用手机号码都与身份真实的个人一一对应。实施实名制，主要是为了遏制当前泛滥的垃圾短信和骚扰电话，规范经营，减少通过手机实施违规、违法行为。

在2010年时，有关部门也曾宣布实施手机用户实名登记制度，但由于没有明确的法律条文支持，实施效果并不理想。而此次，相关部门加大力度整治手机垃圾信息，旨在从根本上保障用户个人信息安全。实名登记过程，需要用户出示本人有效证件原件，提供真实身份信息进行登记，然后才可激活并办理业务。另外，所有代理商须签订协议，需要有核实真实身份信息登记的条件，并实际核验。

（六） 银行系统升级诈骗持续高发

2013年9月以来，用户举报“银行系统升级”类诈骗短信的频率很高，部分区市甚至出现井喷式爆发。一些用户也因此遭到上百元至上万元不等的经济损失。这类诈骗主要针对使用工行电子密码器、中行“E 令”的用户，且骗子还设置了仿真网站，极具迷惑性。下面两图为用户举报此类欺诈短信的截图实例。

30

这类诈骗短信通常会有以下特点：

1）短信伪装性强：发送号码中通常包含“95588”等这样的银行号码，短信中还含有与银行官网相似的网址。用户稍不留神信以为真，就会落入了骗子的陷阱。

2）盗窃网银速度快：短信中的网址实为钓鱼网址，如果通过电脑或手机进入并输入银行账号和密码，骗子仅2-3分钟的功夫就可以将账户中的财产全部盗空。

3）专盯业务繁忙人群：此类诈骗短信的受害者通常为与银行有账目往来，又忙于工作没时间仔细鉴别短信内容真伪的人群。

（七） 全国多地伪基站泛滥

进入2013年9月份以来，长沙、连云港、开封等地相关部门接到举报，称有不法分子在利用通信“伪基站”群发垃圾短信，对移动通信基站造成严重干扰。在伪基站活动区域，手机用户会出现掉网现，无法正常通信，并伴有不时收到垃圾短信的现象。

31

经相关部门排查发现，此类伪基站一般会移动“作案”，通常是以机动车为基地，使用笔记本电脑、大功率发电机、汽车电源逆变器和天线作为工具。而使用此类基站的多为房地产公司等需要大量发送垃圾短信的行业。

（八） 全球首个感染引导区的安卓木马被截获 2013年12月，有用户向360手机卫士反馈手机中有“杀不掉”的木马，随后360互联网安全中心在该用户手机内捕获到全球首个被写入Boot 分区的手机木马，该木马已经感染了超50万台国内手机。 该木马会被写入手机磁盘引导区，导致每次手机启动都会率先读取木马文件，所以即使安全软件暂时清除了该木马释放的恶意程序，在手机重启后，又会再次释放恶意程序，继续作恶。2014年1月，360手机卫士推出全球独家专杀工具，并将样本和分析报告分享给安全厂商，该木马被命名为“Oldboot ”，中文名为“不死木马”。

32