三、安全形势解析
相比第一、二季度,三季度Android恶意软件出现了很多新的特征,“远程控制木马”异军突起导致恶意软件数量仍然呈现增长趋势,而在地域分布方面,北美的安全形势不容乐观。
1.恶意软件增长趋势解析
通过报告数据可以看到,三季度Android恶意软件继续呈现增长趋势,并有多个在一季度、二季度出现的恶意软件再度变种,如在2011年2月截获的“安卓吸费王”恶意软件,在三季度继续呈现爆发趋势,至今已有超过500款应用成为其的伪装和利用对象。
同时,由于远程控制木马的快速兴起,通过“后门”二次传播恶意软件、恶意插件的现象也开始增多,导致出现了短期内大量恶意软件集中发作的现象,部分恶意软件在威胁手机安全的同时还开始向Pad/数字机顶盒迁移,安全威胁呈现了扩散趋势。
2.恶意软件地域分布解读
地域分布数据中,中国大陆感染比例略有下调,这与“云安全”产品在这一地区的积极部署,和手机用户安全意识的逐渐提升相关。而北美地区的安全形势逐渐呈现恶化趋势,据网秦北美研究中心分析,这主要以通过获取ROOT权限后盗取用户隐私的DroidDream恶意软件感染量激增有关,数据显示,包括“Super Guitar Solo(超级吉他独奏)”等数十款热门应用均成为其的伪装对象。
3.系统平台感染比例分析
三季度在Android平台下,Android2.2操作系统的感染率依然最高。这主要由由于部分定制机和改装机均基于Android 2.2系统,使得其市场份额相对较高导致。而伴随下半年出厂的Android新机陆续搭载Android2.3或更高版本,第四季度的2.3有望成为新的感染重点。
4.恶意软件感染特征判定
在三季度Android安全报告中,“远程控制木马”呈现迅猛增长势头,且比例直线上升,和以往恶意软件固定的、静态的威胁特征不同,“远程控制木马”的威胁则是动态的、可变的,如其在强行获取ROOT权限 – 这一Android操作系统的核心权限之后,会强行连接到对应的网络服务器中,并等待其派发的指令来实施进一步的威胁,如可操作其联网上传用户隐私、盗取用户地理位置、通过派发恶意指令触发扣费行为等。
与传统意义上的手机病毒和恶意软件不同,这类应用的特点是通过同一套程序实施不同的危害,其由于通过同一“后门”可派发不同的威胁指令,在用户毫不知情的状态下运行,直接造成多种危害。
而在其它感染比例中,恶意扣费软件比例仍然较高,这主要因“安卓吸费王”变种的激增和先后出现大量以联网扣费为主要方式的吸费软件。相比之下,二季度感染比例最高的隐私窃取类恶意软件比例则略有下降,由于媒体的多次曝光和国家相关机构的坚决治理,目前包括“X卧底”、“窃听猫”等恶意软件都得到了系统整治,安全形势略有好转。
5.安全威胁传播途径分类
第三季度,中国大陆地区的Android手机出货量继续呈现井喷态势,据美国投资公司Morgan Keegan分析师特拉维斯·麦克科特(Travis McCourt)发布的投资者报告分析,第三季度仅在中国市场智能手机出货总量就达到了800万至1000万部,远超过去年同期的200万至300万部。其中,采用Android操作系统的智能手机占据了当季中国市场智能手机销售总量近一半的份额。
而在Android手机出货量激增的当前,手机应用的获取渠道 – Android应用商店、手机应用论坛由于安全监管机制还较为薄弱,仍然存在有被黑客利用散播恶意软件的现象,如在三季度的网秦“云安全”监测平台数据显示,在超过75%的应用渠道中发现存在或曾存在有恶意软件。
▲数据显示手机论坛依然是Q3季度Android恶意软件的主要传播途径
同时,在本次安全报告公布的2011年第三季度的十大Android恶意软件中显示,恶意软件正在将其的伪装方向转移至Android的热门应用之中,一旦用户在缺乏安全机制的渠道下载到被伪装为正常软件进行传播的手机病毒及恶意软件,极易被植入恶意代码,造成个人财产、隐私的损失。