报告摘要
随着移动互联网的发展和智能终端的普及，android系统的各类应用呈爆发式增长，但在增长的同时，一个不容忽视的问题逐渐凸显：安全。不法分子花样翻新，伪基站、手机恶意软件、电信诈骗等越来越多的诈骗方式出现在手机中，让用户防不胜防，特别是病毒木马等恶意软件对用户合法权益构成的威胁越来越大。
根据阿里移动安全中心2014年9月份的统计数据：

    2014年9月，android手机病毒木马造成的设备感染量呈上升趋势，9月周均涨幅约32%，9月周均感染量达470,442台。
    2014年9月，随着手机感染量的上涨，阿里移动安全中心病毒木马引擎的查杀能力也在迅速提升，9月周均查杀量涨幅约36%，9月周均查杀量达841,960次，良好的查杀能力在较大程度上阻挡了恶意行为对阿里用户造成的损害。

虽然安全产品能够较好地抑制病毒木马肆意泛滥，保护用户和开发者的合法权益，但安全产品与病毒木马的对抗依旧胶着，并且呈现出了新挑战：

    由于存在巨大黑色产业链利益，支付类病毒木马数量持续增长。
    加固技术被恶意软件利用，从而导致部分恶意软件逃避安全产品的拦截。
    木马的恶意攻击行为逐渐向系统层渗透。
    蠕虫病毒不断涌现。

Android应用的诸多安全问题导致用户利益一再受损，对应用开发者的权益也造成了不小影响。如何发现这些潜在风险、拦截恶意软件、保护更多用户和开发者的利益是阿里巴巴移动安全团队一直努力的方向。

2014年9月Android手机安全现状
随着移动互联网、智能终端的快速发展，不法分子的花样也在不断翻新，伪基站、手机恶意软件、电信诈骗等越来越多的诈骗方式出现在手机中，让用户防不胜防。用户误下载含匿名弹窗广告、窃取手机隐私、私发扣费短信等功能的恶意软件案例比比皆是，这些恶意软件已对用户的合法权益构成威胁。
1.2014年9月android手机病毒木马的用户感染量和查杀量趋势
根据阿里移动安全中心2014年9月份的统计数据：
2014年9月，android手机病毒木马造成的设备感染量在逐渐上涨，9月份周均涨幅达32%，周均感染量达470,442台。
2014年9月，随着手机感染量上涨，阿里移动安全中心病毒木马引擎的查杀能力亦迅速提升，9月份周均查杀量涨幅达36%，周均查杀量达841,960次，良好的查杀能力较好地拦截了病毒木马的恶意行为，保护了阿里用户的利益。
点击图片以查看大图 图片名称: 配图1.jpg 查看次数: 2 文件大小: 46.6 KB 文件 ID : 93017

2.android手机病毒木马类型分析
根据阿里移动安全中心的统计，andorid手机病毒木马类型以恶意扣费、流氓行为、隐私窃取为主，且分别占比45.5%、24.4%、24%。
恶意扣费类病毒木马占比最高，约45.5%，该类病毒会在用户不知情的情况下私自发送短信，订阅某些游戏服务或者SP业务，对用户的资产造成一定影响。
流氓行为类病毒木马占比24.4%，该类病毒木马通过强行推送广告、占用知名软件界面等行为骚扰用户，严重影响用户体验。
隐私窃取类病毒木马占比24%，该类病毒木马通过盗取用户短信、通讯录、照片等隐私信息，实施有针对性的诱骗欺诈行为。
值得注意的是，虽相较于恶意扣费、流氓行为等类别的病毒木马，短信劫持的占比较小(约0.4%)，但此类病毒容易劫持用户验证码短信等信息，危及支付账号的安全，对用户财产带来影响。
点击图片以查看大图 图片名称: 配图2.JPG 查看次数: 0 文件大小: 57.1 KB 文件 ID : 93018
3.android手机代表性病毒木马示例
点击图片以查看大图 图片名称: 配图3.jpg 查看次数: 0 文件大小: 77.7 KB 文件 ID : 93019点击图片以查看大图 图片名称: 配图4.jpg 查看次数: 0 文件大小: 76.7 KB 文件 ID : 93020点击图片以查看大图 图片名称: 配图5.jpg 查看次数: 0 文件大小: 44.6 KB 文件 ID : 93021
Andriod手机代表性病毒木马分析
2.1支付类病毒木马
随着移动电商的快速发展，android支付类应用呈爆发式增长，与此同时移动支付面临的安全风险也越来越大，支付类病毒木马导致网银或支付账号被盗案件层出不穷，对用户的利益造成极大影响。
案例[1]：2014年8月12日，浙江金华的何先生发现卡里二万多块钱无故消失，通过银行查询发现卡里的钱被人在北京、深圳等地盗刷，且都是通过网银在线、快钱、广东天翼支付等第三方支付平台被转走的。银行调查发现，何先生的手机被植入了木马病毒，不法分子通过网购钓鱼等手段，获取了何先生的银行卡、身份证号等信息，再利用手机病毒截取验证码短信，进而重置网购支付密码，盗取账户资金。
上述案例反映出android手机支付类病毒木马对用户财产造成的影响，如何有效拦截病毒木马的恶意行为变得格外重要。根据阿里移动安全中心的统计，2014年9月，android手机支付类病毒木马的设备感染量和查杀量结果如下：
2014年9月，android手机支付类病毒木马造成的设备感染量稳步增长，周均感染量为31,857台，且自9月中下旬起上涨幅度有所减弱。
2014年9月，随着手机感染量上涨，阿里移动安全中心病毒木马引擎对支付类病毒木马的查杀能力亦逐渐提升，周均查杀量为56,698次，日渐强大的查杀能力较好地保障了阿里用户的利益。
点击图片以查看大图 图片名称: 配图6.jpg 查看次数: 0 文件大小: 48.2 KB 文件 ID : 93022

一般而言，android手机支付类病毒木马具有以下行为特点：
a)病毒启动后通过注册设备管理器权限、锁屏、隐藏图标等方式在后台自动运行，让用户无法察觉，并启动核心服务，增加用户的卸载难度。
b)监听手机短信，获取支付验证码。如短信拦截病毒，当用户手机收到支付验证码短信后，该病毒会把支付验证码短信转发或上传到远程服务器，再通过获取的验证码内容完成支付或转账操作。
c)将用户手机通讯录中的联系人列表上传至服务器，以备实施恶意行为。
Android手机支付类病毒木马从各个渠道，通过多样化的手段攻击用户手机，不断危害用户的利益，随着移动互联网和智能终端的进一步发展，手机支付安全的挑战将越来越大。
2.2恶意扣费类病毒木马
恶意扣费类病毒木马会在用户不知情的情况下，通过私自发送短信、订阅某些游戏服务或SP业务等方式，达到扣取用户资费的目的。在资金利益的驱使下，恶意扣费类案件亦屡见不鲜。
案例[2]，据新华社报道，黑客瞄准用户了解天气情况的需求，将恶意程序捆绑在天气相关的应用中。一款名为“刮钱木马”的病毒，专门捆绑在天气查询软件中诱骗手机用户下载，一旦安装，便会在后台私自发送扣费短信，并屏蔽回馈短信，让用户无法察觉，此外该类病毒还会通过远程控制的方式向用户通讯录联系人群发短信，消耗手机用户大量话费。
上述案例反映出恶意扣费类病毒木马对用户财产造成了一定影响，根据阿里移动安全中心的统计，2014年9月，android手机恶意扣费类病毒木马的设备感染量和查杀量结果如下：
2014年9月，android手机恶意扣费类病毒木马造成的设备感染量逐步上涨，周均感染量达107,568台。
2014年9月，随着设备感染量的上涨，阿里移动安全中心病毒木马引擎对恶意扣费类病毒木马的查杀能力亦逐步提升，周均查杀量达205,621次。
点击图片以查看大图 图片名称: 配图7.jpg 查看次数: 0 文件大小: 46.5 KB 文件 ID : 93023
一般而言，android手机恶意扣费类病毒木马具有以下行为特点：
a)病毒启动后判断手机卡运营商类型，并根据不同运营商发送不同扣费短信代码。
b)启动后无任何提示下自动发送扣费短信。
c)利用美女图、美女视频等方式伪装成知名游戏或系统软件，导致用户感染量较大。
2.3隐私窃取类病毒木马
隐私窃取类病毒木马通过盗取用户短信、通讯录、照片等隐私信息，实施有针对性的诱骗欺诈行为。
案例[3]：据央视新闻报道，近日一款图标为“WPS图表”的手机间谍软件大肆窃取手机用户隐私，给用户造成了不必要的经济损失。据悉，北京某工程师安装“WPS图表”并激活后发现，该软件在后台与两个163邮箱进行数据交互，该工程师打开这两个邮箱后，里面的内容让大家大吃一惊：邮箱中记录了很多手机联系人的姓名、手机号、短信内容、银行卡账号、交易密码等隐私信息。随即，工程师将该软件进行卸载，但仍发现该病毒软件在后台运行，并继续与邮箱进行数据交互。
从上述案例可以看出，隐私窃取类病毒木马不仅泄露用户个人隐私，还可能导致用户财产受损。根据阿里移动安全中心的统计，2014年9月，android手机隐私窃取类病毒木马的设备感染量和病毒查杀量结果如下：
2014年9月，android手机隐私窃取类病毒木马造成的设备感染量稳中有升，周均感染量达120,515台，且自9月第二周开始上涨幅度有所削弱。
2014年9月，随着手机感染量的上涨，阿里移动安全中心病毒木马引擎对隐私窃取类病毒木马的查杀能力提升显著，周均查杀量达247,557次，良好的查杀能力在很大程度上遏制了病毒木马的恶意行为，保护了阿里用户的利益。
点击图片以查看大图 图片名称: 配图8.jpg 查看次数: 0 文件大小: 47.1 KB 文件 ID : 93024

一般而言，android手机隐私窃取类病毒木马具有以下行为特点：
a)窃取用户的联系人列表。
b)窃取短信收件箱、已发短信中的所有短信内容。
c)通过基站或GPS等方式实时窃取用户地理位置信息。
d)窃取并上传用户手机中的照片。
e)监听用户通话并录音，再将录音文件上传到服务器。
f)窃取所有通话记录信息。
g)窃取用户手机登陆过的邮箱地址。
h)上传用户所有SD卡的文件信息。
2.4盗版软件类病毒木马
在各类android应用纷呈的当下，除了以上提到的直接通过恶意行为损害用户利益的病毒木马类型，还不乏利用仿冒知名软件的应用，诱导用户下载以迅速获取流量和收入的行为。
从阿里移动安全中心的统计结果来看，2014年9月，相较于支付类、恶意扣费类和隐私窃取类病毒木马的设备感染量和查杀量，盗版软件类病毒木马的相应数值偏小，但上涨幅度较大，未来仍需密切关注盗版软件类病毒木马的行为。

点击图片以查看大图 图片名称: 配图9.jpg 查看次数: 0 文件大小: 44.7 KB 文件 ID : 93025

一般而言，android手机盗版软件类病毒木马具有以下行为特点：
a)盗用知名软件图标
大多用户安装软件不会注意图标细节，恶意软件抓住用户的这种视觉概观特点，采用与知名软件类似的图标误导用户，让用户以为安装的软件就是该知名软件。
b)直接或间接盗用知名软件名称
盗版软件为了能够快速引入用户和流量来获利，会把自身软件名称设定得与正版知名软件相似或相近，以此方式达到目的。
c)仿冒知名软件功能
d)直接或间接引用知名网站
间接引用的盗版软件，其主色调和页面布局与正版软件极其相似，极易混淆用户的认知。对于直接引用的盗版软件，通常会直接盗用正版软件的整套UI，甚至功能。
移动安全发展趋势
2014年，随着移动互联网的进一步发展，android手机安全形势持续严峻，并逐渐呈现出新的挑战，主要表现在支付类木马数量持续增长、加固技术被恶意软件利用、恶意攻击行为向系统底层渗透以及蠕虫病毒不断涌现等方面。
3.1支付风险类木马数量持续增长
随着移动电商的快速发展和android支付类应用的增长，移动支付面临的安全风险也越来越高。其中，劫持支付验证码短信是支付类病毒木马最常用的作案手段，仅7月份阿里移动安全中心就截获了3035个劫持支付码短信行为的木马。其中一款名为Android.intercept.fakecmcc的木马通过伪装成某知名运营商的客户端诱导用户输入网银账户、密码等信息，然后劫持用户收到的支付验证码短信并转发到指定的手机号码，最终成功转走账户内的资金。为了对抗各种安全软件，该木马甚至通过混淆、加固等方式衍生出多个变种，未来挑战依旧存在。
3.2加固技术被恶意软件利用
由于android特有的开放性以及支持自签名的特点，导致目前市场上应用被重打包的现象非常普遍。为了保护应用开发者的利益，应用安全加固服务应运而生。应用安全加固的本质是对关键代码进行加密或者隐藏，从而增加逆向分析和重打包的难度。虽然应用安全加固在一定程度上保护了软件版权，但也对恶意代码分析和检测工作提出了更高挑战。
据悉，目前已经有大批恶意软件正在使用某些安全厂商的加固服务，以逃避安全产品的拦截。因此，建议加固服务提供商及时接入恶意代码检测服务，避免对具有恶意行为的应用进行加固，让安全加固服务“助纣为虐”。
3.3恶意攻击行为向系统底层渗透
大部分病毒木马的恶意行为都是基于标准的android api实现的，一般无法直接获取系统或者其它应用的数据。但近期阿里移动安全中心发现一款名为Android.privacy.injectChat的木马，它通过注入某知名社交应用的进程，达到窃取用户聊天记录的目的。此外，还有大名鼎鼎的oldboot病毒，通过刷机方式把木马安装包写入boot分区。这些案例表明恶意行为的攻击和对抗战场已经进一步扩大到系统底层，尤其是拥有root权限的手机，更是这类病毒木马的重灾区。
3.4蠕虫病毒不断涌现
近年来，android病毒木马量不断增长，并逐渐形成了一条包括制作、交易、推广等环节的黑色产业链，这当中潜藏的巨大利益驱使木马开发者不惜一切把木马植入到用户手机中。除了常见的电子市场、水货刷机等传播渠道外，最近，一种通过短信传播恶意软件下载链接以骗取用户安装的蠕虫病毒正逐渐爆发。
该病毒会向手机通讯录上的所有联系人发送带有木马下载链接的短信，诱骗用户点击安装。这种蠕虫病毒的特点是传播迅速，能够让病毒开发者在短期内获得大量收益，而当它们被各大安全软件发现并拦截时，已经对大批用户造成了影响。例如Android.fraud.xxsq病毒，在短时间内便感染了大批用户，蠕虫病毒的传播速度可见一斑。