安全联盟联合12321发布5月手机APK木马报告

手机APK木马月度分析报告

“李翔您有一条罚单详情信息……”

“董超家长，这是您孩子新学期模拟测试的全面情况……”

“冯元同学，这是我们班整理出来的团体照和电话，有空进来分享一下……”

相信不少网民都收到过类似的短信，这些短信通常附带着一个网址链接，而这些链接往往都是经过骗子伪装的apk木马病毒链接。apk格式是安卓手机可以直接读取、安装的文件，用户点击后木马病毒将直接侵入手机，造成手机信息被窃，财产被盗。

数据显示，国内最大的网络安全数据共享平台安全联盟与中国互联网协会12321网络不良与垃圾信息举报受理中心5月共接受各类网址举报55433条，拦截了13767个恶意网址，这些网址被收录至安全联盟恶意数据库，并同步至腾讯、搜狗、金山等安全联盟合作伙伴进行全网拦截预警。

这些被拦截的网址中包括 1592条apk木马病毒链接，占拦截总量的11.56%。这些木马病毒通过控制手机的短信和通话，直接拦截手机银行卡、支付验证码等信息，盗取用户钱财。同时还会将手机的通讯录、短信、通话记录上传至指定服务器，并通过后台的大数据分析，筛选出新一轮诈骗的目标对象，编制更具针对性的诈骗话术和手段，使得目标对象被骗几率大大增加。并且，还能通过控制中毒手机进行木马病毒的二次传播，以窃取到更多用户信息，因此这种apk木马病毒对网民财产安全的危害极大。

安全联盟及12321举报中心对1592条木马病毒链接进行了分析。

一、 apk木马病毒传播短信分析

82.66%的短信内容直呼用户姓名 欺骗性强

通过对散播apk木马病毒的短信进行分析后发现，有82.66%的短信内容都直呼用户姓名，甚至对其单位、职务等信息都了如指掌，极具欺骗性。造成该现象的原因一方面是由于个人信息泄露被不法分子所利用，另一方面主要是由于不法分子控制中毒手机，窃取了中毒手机上的通讯录、短信内容、通话记录等个人隐私信息。

所以，对于附有不明网址的短信，即使带有自己的姓名也切勿轻易相信，否则极易掉进犯罪分子设计的陷阱。

近半apk木马病毒短信冒充学校， 37.75%冒充熟人

在apk木马病毒短信中，有750条为冒充学校发送学生信息的情况，占比高达47.11%，其次为冒充熟人发送相册/视频，占比为37.75%，此外还有冒充交警发送违规记录(6.72%)、冒充同事发送工作资料(3.96%)、冒充亲友发送请帖(3.52%)等，诱导内容五花八门，让人防不胜防。

在冒充学校的木马短信中，有47.88%的冒充学校与家长的第三方沟通联系平台，如校讯通、校园通、家校通、校园网等，其次为冒充班主任(22.13%)、学校教务处等部门(14.13%)、教育主管部门(7.73%)。这些冒充学校的短信往往以查询学生在校情况(34.57%)、查看成绩单(27.79%)、核实学籍档案(13.03%)等为理由，利用家长关心孩子的心理诱骗其点击apk木马病毒链接。

近日正值高考和小升初考试之际，该类病毒短信更是呈明显上涨趋势，家长、考生们务必要提高警惕，收到类似信息时需要与老师和学校进行沟通，核实信息真实性，切勿随意点击不明链接。

在冒充熟人发送相册/视频的病毒短信中，共有58.90%的为恐吓、爆料丑事等，如“XX，看看你做的好事吧”、“XX，想不到你家那位是那么不要脸，这些你留着慢慢看”等，其次为活动聚会照片，占比达26.96%，如“XX，这是我们聚会时的照片，点开看看”，这些都是利用了用户害怕、猎奇的心理，达到让用户点击木马链接的目的。

二、apk木马链接分析

74.18%的apk链接使用短网址 伪装性极强

在被拦截的1592条木马链接中，有1448条都使用了短网址，占比高达74.18%的。短网址顾名思义就是在形式上较短的网址，当用户打开短网址时获取后台数据库中存储的目标网址，再跳转到目标网址，目前已有许多企业或者个人网站提供之类服务。

借助于这样的网址缩短服务，让不法分子可以用易于传播的简短网址替代原来冗长的apk链接，更为重要的是，经过缩短的网址将隐藏掉apk后缀，让链接变得与普通网址无异，更加具有欺骗性。对此，安全联盟和12321联合呼吁企业在提供短网址转换服务的同时，应当加强对于apk后缀链接的安全检测，以从源头上对木马病毒链接起到遏制作用。

70.30%的apk木马短链接使用企业提供的短网址服务

安全联盟发现有70.30%的apk木马链接使用了企业网站提供的短网址服务， 29.70%使用了个人网站提供的短网址服务。

使用企业提供的服务生成的1018条apk木马链接中，新浪的t.cn域名最多，达到889条，占比高达87.33%。短网址最初是在新浪微博中使用较多，因微博只能发布140字，新浪便为用户提供了短链接生成器，而这种服务也被心怀不轨的不法分子所利用。并且由于新浪短网址域名被广大网民所熟知，也更容易让网民上当。除了新浪的t.cn域名外，其次还有百度的dwz.cn域名(占比5.11%)、上海诺戎的py1.net域名(占比2.26%)等。

为apk木马短链接提供服务的个人网站服务器多部署在国外

使用个人网站提供的短网址服务生成的430条apk木马短链接中，其中87.38%的个人网站的服务器都部署在大陆以外，监管较为困难，让违法犯罪行为更易实施。

85.18%存放apk木马病毒的网站未备案

通过对apk木马短链接跳转的存放apk木马病毒的目标网站进行分析，安全联盟发现有85.18%存放apk木马病毒的目标网站都未进行备案。网站备案的目的是为了防止在网上从事非法的网站经营活动，打击不良互联网信息的传播，这些未进行备案“钻空子”的网站更易从事网络犯罪活动并逃脱法律的制裁。此外，通过对这些网站检测发现，其中有部分网站是由于被黑后植入了木马链接，网站自身根本未能察觉，我们也呼吁网站务必加强网站的安全检测，别让不法分子有机可乘。

三、 案例分析

案例一：木马病毒“控制”手机 向好友发送借钱短信

张先生近日收到一个陌生号码发来的短信，“别人拍到你在外面有人了……你自己看看”，张先生一头雾水，出于好奇他点开了短信中附带的网址，手机却马上黑屏了。

几分钟后，张先生打开手机，不料他却收到了朋友的来电:“你是不是有急事?我刚刚打了8万元到你的账户上。”朋友的这句话让张先生一头雾水。接着张先生发现，自己手机通讯录里的所有好友都收到了他借钱的短信。张先生这才明白过来，肯定是刚刚那个链接作祟，是诈骗分子搞的鬼，于是他立马报了警。警方调查发现，张先生那个朋友汇出的8万元，不到一个小时就被人在其他地区取走了。

案例分析：这是典型的诱导用户点击木马病毒后向通讯录好友实施诈骗的行为。张先生点击网址后，木马病毒瞬间侵入手机，读取通讯录信息，并控制张先生的手机向通讯录中的好友、亲人发送借钱短信。一般人对陌生手机号码具有防备心，但当看到是用户本人的号码发来的短信，极易信以为真上当受骗。骗子越发狡猾，安全联盟和12321举报中心提醒大家，即使收到的是熟人号码发来的特殊信息，也要务必事先进行电话确认，以免调入陷阱。

案例二：爱子心切 家长极易中招木马病毒

最近，蒋女士收到一条手机短信，内容是为“ XX你好，这是您孩子在学校的表现记录，请及时查阅……《校讯通》”。自己的女儿正面临小升初考试的关键阶段，看到短信上面“校讯通”三个字，老蒋深信不疑，便毫不犹豫点了其中的网址，结果手机屏幕仅闪了一下，并没有跳出任何网页。但随后，蒋女士绑定了网银的银行卡被转走了近万元。

案例分析：校讯通本是由第三方提供的利用网络平台进行手机短信群发，轻松实现家长与老师间的双向交流的系统平台。但近年来却成为许多不法分子实施诈骗的“幌子”。犯罪分子利用的就是家长爱子心切导致的瞬间不理智，一旦点开链接网址，木马病毒便会侵入手机。 安全联盟与12321举报中心提醒家长，收到孩子的相关短信需要冷静思考，同时学校的校讯通信息一般不会发送网址链接，收到类似短信要提高警惕，可电话与老师进行沟通确认。

案例三：编织骗局 精准“投放”木马病毒

近日，做网上家具生意的刘先生收到了买家的网上留言，对方称自己要做定制家具，向刘先生询问了手机号码，说要把式样发给他。之后，刘先生收到了对方发来的链接，点击后却似乎无法打开。刘先生没有多想，可接下去就再也联系不上这位买家了。做生意常碰到这种事情，所以他并没有放在心上。

但随后，他却发现自己的手机好像出了问题：手机突然变得安静了，除了电话，平时一直响个不停的短信却很少有动静，尤其是一些银行账户变动的短信，一条都没有收到。刘先生将手机重刷了系统，短信功能这才恢复正常，随后刘先生发现自己银行卡内的2万元存款竟然不翼而飞，于是赶紧报警。

警方怀疑，刘先生的手机是在点击别人发过来的链接后中了木马病毒。经过提取和动态调试，警方发现了隐藏在刘先生手机中的木马，这款木马里面有一个用于截取信息的接收端。

案例分析：刘先生点击不明链接后，手机表面上并无任何异样，但事实上已经不知不觉中招了。这种木马可以读取手机状态，设置指定拦截一些特定的短信号码，比如银行或第三方支付平台的一些短信，不法分子便以此获取了刘先生的支付短信，盗走了他卡里的钱，与此同时刘先生与朋友之间的短信完全正常，使得刘先生迟迟都未发现异样，欺骗性极强。

二、四、 安全提示：

为了防止手机感染木马病毒，用户对于一些来历不明的链接和非官方软件，坚决不能点击、下载;手机可安装防护软件，定期进行扫描与病毒查杀，提高手机安全系数。同时，存款较多的银行卡建议不要绑定网银等网上支付业务。

若不慎中招，可立即使用安全软件进行查杀。而对于一些难以清除的顽固木马病毒，使用安全软件或恢复出厂设置亦不能解决时，最好及时到正规的手机服务商进行系统重装，并前往银行更改与该手机相关联的银行卡密码，还要通知亲友谨防上当。

关于安全联盟

安全联盟(www.anquan.org)是国内最大的网络安全数据共享交换平台，致力于团结互联网企业及行业机构建立行业公认的互联网安全标准，构建有效的网络安全社会化治理体系。目前已有8亿余条恶意网址数据，拥有腾讯、搜狗、金山等合作伙伴120余家。通过将恶意网址同步至合作平台的各大互联网终端，以每天30亿以上的安全风险提醒，为广大网民避免了难以估计的巨额经济损失。

关于12321网络不良与垃圾信息举报受理中心

12321网络不良与垃圾信息举报受理中心为中国互联网协会受工业和信息化部委托设立的举报受理机构。负责协助工业和信息化部承担关于互联网、移动电话网、固定电话网等各种形式信息通信网络及电信业务中不良与垃圾信息内容的举报受理、调查分析以及查处工作。