2015年末较流行手机木马趋势分析报告

手机中毒真的是小概率事件吗？据360互联网安全中心发布的《2015年第三季度中国手机安全状况报告》显示，在2015年第三季度，平均每天安卓平台截获新增恶意手机程序样本将近6.07万个，平均每天恶意程序感染量达到83.9万人次。

安卓平台不断新增的恶意程序成为困扰安卓手机用户的重要安全问题。近段时间以来，“流量僵尸“木马、”蜥蜴尾“木马等善于伪装的手机木马层出不穷。

2014年开始，伪装成系统软件成为恶意程序常用的传播手法，几乎占据各季度感染量Top10的一半以上。较近，这一比例猛增，并且与去年同期手机木马多伪装成色情应用形成鲜明对比。

详细分析后，360手机安全中心形成这份《2015年末较流行手机木马分析报告》，解析2015年感染量较高的手机木马。

一、手机木马不再偏爱色情APP？

360手机安全中心通过对2014年末、2015年末截获的新增恶意程序样本对比分析发现，去年感染量较多的手机木马多伪装成色情应用，在感染量前10的手机木马中，7款均为色情类恶意程序。

今年则以伪装成系统应用为主，感染量前十的手机木马全部伪装成系统应用。

2014年感染量前10的手机木马分别伪装成：无码高清、咪咪影院、色啦影院、冲浪快讯、全民切水果（山寨版）、快播魅影、雷电战机、狂狼视觉、真人美女、极欲视频；其中7款均为色情类手机应用。

图：2014年终感染量Top10手机木马

2015年末感染量前10的手机木马分别伪装成：Processor、通知服务、Security plugin、系统更新服务、AndroidPatch、SettingService、下载服务、com.android.system、CoreService、GuardService，均为假冒系统类手机应用。

图：2015年末较流行手机木马Top10

今年同期，360手机安全中心监测发现，感染量较高的100款手机木马中，伪装成色情应用的恶意软件占比仅3%，取而代之的是伪装成系统应用类的手机木马，占比高达54%。

图：2015年末感染量Top100手机木马伪装类型分布

其中，安卓补丁和下载服务两款恶意木马占比较多，达11%；setting provider紧随其后，占比高达10%；并且，这些手机木马更堂而皇之的冒充起了手机安全插件，在用户手机中肆虐，以security plugin为名的手机恶意软件在Top100中占比也高达8%。

二、手机木马喜欢伪装成系统应用的七大理由

纵观这一变化的原因，360手机安全专家分析认为木马制作者如今更多考虑到恶意程序感染成功率问题，伪装成系统应用，以系统更新、安全保护等为名，感染成功率更高，并且被卸载的几率更低。以此达到手机木马可以长期潜伏于手机中作恶的目的，本部分详解手机木马喜欢伪装成系统应用的七大理由。

“高冷”的系统文件

安卓系统应用大多采用“安卓机器人”图标，以及service、android等英文名称。正如很多人都会说“电脑C盘里的文件不要乱删，小心系统崩溃”，系统文件正是这样一种高冷的存在。

更容易进入手机

手机木马伪装成系统文件对手机用户的迷惑性极大，系统更新、系统通知服务等名称在普通手机用户看来非常像是手机运行必须的，使用这类名称及图标为木马进入手机降低门槛。

隐藏图标难发现

很多伪装成系统文件的手机木马进入手机后会隐藏图标，手机用户不能在桌面或应用列表中直接找到，而由于像“系统文件”，手机用户很难产生怀疑。

激活设备管理器难卸载

很多伪装成系统文件的木马都会诱导激活设备管理器。一旦激活设备管理器后，手机用户不能通过正常卸载APP的方式卸载木马，必须先取消激活设备管理器，大多数手机用户并不了解如何操作。

获取更高级权限

Root权限是安卓手机系统的高级权限，很多伪装成系统应用的木马会获取root权限，把自己藏在系统程序目录中，手机重启后恶意程序立即启动。

金蝉脱壳

有些伪装成系统文件的木马程序还会金蝉脱壳，进入手机后会先释放恶意子包到系统目录，之后删除手机程序列表中的母程序，完全潜伏在系统应用中。

增加查杀难度

伪装成系统应用的手机木马一旦成功潜入手机系统，将会大大增加手机安全软件查杀难度。窃隐私、偷流量、扣话费、盗刷银行卡全都在悄无声息中进行。

总之，较之于以色情为名的恶意软件，2015年激增的伪装成系统文件的手机木马更具迷惑性，这也导致了其感染量大。而通过诱导激活设备管理器、获取Root权限、隐藏图标等招数更让用户难以察觉，增加手机安全软件的查杀、卸载难度。

对于此类伪装成系统文件的手机木马，用户一般不敢贸然删除。建议通过360手机卫士等安全软件对此类木马进行查杀，保障手机安全、正常使用。

三、2015年末感染量Top100手机木马的七大恶行

数据统计显示，2015年末，手机木马感染量前100的恶意程序分别存在私自下载、私自窃取隐私、释放恶意程序到系统目录、隐藏图标、恶意广告、阻止正常卸载、私发短信这7大恶意行为。其中私自下载、隐私窃取、释放恶意程序到系统目录的恶意行为位居前三，分别占比57%、37%和36%。

图：2015Top100木马恶意行为统计

恶意行为之“私自下载”

占比：57%伪装成系统应用的手机木马都存在私自下载行为。

直接威胁：流量安全

危害：手机木马在用户不知情的情况下下载恶意插件、下载安装程序、下载推广应用，可以执行更多恶意行为，更主要的是，私自下载插件或APP，直接消耗手机用户的流量。

恶意行为之“隐私窃取”

占比：37%伪装成系统应用的手机木马都存在隐私窃取行为。

直接威胁：隐私安全

危害：手机木马在用户不知情的情况下窃取手机型号、IMEI号、手机短信、通讯录、照片甚至是支付宝账号密码、网银账号密码等，造成手机用户隐私外泄，财产受损。

恶意行为之“释放恶意程序到系统目录”

占比：36%伪装成系统应用的手机木马会释放恶意程序到系统目录。

直接威胁：系统安全

危害：手机木马获取Root权限后可以将恶意程序安装到系统文件中，甚至替换掉正常系统文件，破坏手机系统，甚至能远程控制用户手机。

恶意行为之“隐藏图标”

占比：26%伪装成系统应用的手机木马会隐藏图标。

直接威胁：系统安全

危害：手机木马隐藏图标会使恶意行为执行更为隐蔽，手机用户无法直接从桌面或应用程序中找到该应用，增加手动卸载难度。

恶意行为之“恶意广告”

占比：22%伪装成系统应用的手机木马存在恶意广告行为。

直接威胁：手机正常使用

危害：恶意广告会通过插屏等方式强制弹出，遮挡手机屏幕，甚至无法关闭，严重影响手机用户正常使用APP。

恶意行为之“阻止正常卸载”

占比：11%伪装成系统应用的手机木马会诱导手机用户激活设备管理器。

直接威胁：难卸载

危害：激活设备管理器后，手机用户如果想卸载恶意程序，必须先手动取消激活设备管理器，但一般手机用户并不了解如何操作，通过正常卸载APP方式无法删除恶意程序。

恶意行为之“私发短信”

占比：10%伪装成系统应用的手机木马会私发短信。

直接威胁：话费安全

危害：私发短信有可能是转发手机用户已有短信，或私自订制扣费业务，导致手机用户在不知情的情况下隐私外泄、话费被扣。

伪装成系统应用的木马在入侵用户手机后，私自下载、隐私窃取、释放恶意程序到系统目录的行为十分常见，而每一款木马都可能存在两到三种恶意行为，这也意味着“全能”的恶意软件逐渐成为主流。

四、九大可恶木马评分榜

2015年九大木马中，位居榜首的伪装成“processor“的手机木马感染量达到了近35万，并且存在隐藏图标、盗取个人信息、私自安装程序等多个恶意行为。本报告将针对2015年末感染量较高的九大手机木马进行详细分析。

No.1 木马伪装名称 Processor

感染量       348146

恶行         隐藏图标、盗取用户信息、私自安装程序

可恶指数     ★★★★★

评级理由     Processor一般为安卓手机处理器名称，跟电脑一样，处理器是手机的大脑，小白用户真的不敢“妄动”啊！

No.2 木马伪装名称 通知服务

感染量       218230

恶行         私自下载安装程序

可恶指数     ★★★★☆

评级理由     微信有人跟你说话需要“通知”，APP升级需要“通知”，手机快没电了需要“通知”，这样的“通知服务”你装了就不敢删吧。

No.3 木马伪装名称 Security plugin

感染量       189685

恶行         私自联网下载安装应用、诱导用户激活设备管理器

可恶指数     ★★★★

评级理由     Security不是安全的意思吗？跟安全相关的东西删掉之后会不会手机很危险？手机里万一有支付宝、网银之类的，小白用户绝对会放行的。

No.4 木马伪装名称 系统更新服务

感染量       172336

恶行         私自下载安装程序

可恶指数     ★★★☆

评级理由     系统不能更新手机会越来越慢吧？别人有的新功能我是不是没有了？小白用户看见“系统更新服务”一定会欢脱地点击安装！

No.5 木马伪装名称 AndroidPatch

感染量       163031

恶行         隐藏自身图标、释放恶意程序到系统目录下

可恶指数     ★★★

评级理由     Android就是安卓啊，不安装这个我的手机是不是就没法用了？可是Patch是什么，看不懂啊，装还是不装呢？

No.6 木马伪装名称 SettingService

感染量       156022

恶行         联网下载恶意软件并静默提权安装、向系统释放恶意文件、消耗用户流量。

可恶指数     ★★☆

评级理由     SettingService是设置服务，手机壁纸啊、铃声啊、主题啊、流量开关都得用得到，这种程序小白用户怎么敢不装？

No.7 木马伪装名称 下载服务

感染量       143535

恶行         隐藏自身图标、释放恶意程序到系统目录下、有恶意广告的行为

可恶指数     ★★

评级理由     下音乐、下APP、下视频，简直一秒也离不开这个下载服务，不能不装！

No.8 木马伪装名称 com.android.system

感染量       140187

恶行         隐藏图标、盗取用户隐私信息

可恶指数     ★☆

评级理由     看起来很高大上的名字啊，电脑里这么长名字的文件一般都不敢动，手机也是一样的吧？小白用户又被骗了……

No.9 木马伪装名称  CoreService

感染量       83507

恶行         隐藏图标、私自下载安装程序

可恶指数     ★

评级理由     “核心服务”看上去就关乎手机生死存亡，不装是不是手机就没法开机？不能打电话发微信聊QQ看视频实在是太可怕了。小白用户又点击安装了。

2015年，手机恶意软件呈现出向“广撒网”转型的特点，不以诱惑信息为诱饵，不面向固定群体。而是将目标群体设置为所有安卓用户，此外，如今手机木马也更加贪婪的利用多种恶行肆虐作恶。

五、手机木马IQ高 小白用户怎么防？

1、建议安卓手机用户不要随意开放root权限，作为安卓系统的底层权限，一旦开放root权限就意味着手机大门已敞开。为手机软件使用行方便的同时，也为手机木马行了方便。

2、日常使用手机过程中，谨慎点击软件内的推送广告。来源不明的手机软件、安装包、文件包等不要随意点击下载。

3、同时，手机上网时，对于不明链接、安全性未知的二维码等信息，不要随意点击或扫描，避免其中存在木马病毒危害手机安全。

4、养成良好的手机使用习惯，通过360手机卫士等手机安全软件，定期查杀手机木马，避免遭受潜伏在手机中的恶意软件危害。