1、 2017 年 中国手机安全状况报告 2018 年 2 月 6 日 摘 要 Android 系统漏洞分析系统漏洞分析： 此次报告评测的 64 个系统漏洞，按照 Google 官方对系统漏洞的危险评级标准，按照危 险等级递减的排序规则，共分为严重、高危、中危三个级别。分别有严重级别漏洞 11 个，高危级别漏洞 36 个，中危级别漏洞 17 个。此次系统安全分析结果显示： 87.5%的 Android 设备受到中危级别漏洞的危害，93.9%的 Android 设备存在高危漏洞，88.1%的 Android 设备受到严重级别的漏洞影响。 在这 64 个漏洞中， 按照其危害方式分类， 有远程攻击漏洞

2、30 个， 权限提升漏洞 24 个， 信息泄漏漏洞 10 个。此次系统安全分析结果显示：92.3%的设备存在远程攻击漏洞， 91.5%的设备存在权限提升漏洞，85.6%的设备存在信息泄露漏洞。 有 93.94%的设备存在至少一个安全漏洞，漏洞最多的设备同时包含有 49 个安全漏洞。 通过对每个 Android 版本平均漏洞数量进行统计， Android 5.1 及其以下版本平均漏洞 数量较多， 这很大程度上是由于部分老旧设备无法获得更新而我们检测的漏洞又在持续 增加，因此造成了这种现象；而 Android 6.0 以上系统则更为安全，平均漏洞数量急剧 降低。其中比较新的 Android 7.0

3、 和 7.1 的系统中，平均漏洞数较上一季度有所降低，这 主要是由于新版本的系统中安全补丁推送已经较为普及， 厂商对于新版本系统的推送积 极度有所上升。 约有 46.0%的用户能够保持手机系统中安全补丁等级的版本与厂商所能提供的最新版 本保持一致。整体上，可以明显发现近一半的用户还是会保持手机系统的更新。但是仍 有 14.6%的用户的系统版本滞后厂商最新版本一个月及以上，大约 9.0%的用户手机版 本滞后 4-6 个月，约 17.9%的用户手机版本滞后半年以上，有 12.4%的用户手机版本滞 后官方最新版本达一年以上。 安卓手机安卓手机 APP 威胁形势分析：威胁形势分析： 2017 年 12

4、 月通过 360 显危镜检查的约 1.8 万款安卓主流 APP 应用中，发现了 99.5%的 安卓应用存在威胁风险， 平均每个应用威胁风险数量为 38.6 个。 可见安卓市场上的 APP 存在严重的安全隐患。 动态注册广播威胁风险是检测到的第一威胁风险，占比 24.6%，其次是隐式意图调用风 险，占比 15.5%，unzip 解压缩风险是第三大风险，占比 8.3%，未使用编译器堆栈保护 技术风险占比 6.8%，动态链接库中包含执行命令函数风险占比 5.5%。此五大威胁风险 占整体的 60%以上。还有 20 余个风险林林总总的存在。 从具有威胁风险的 APP 类型来看，新闻资讯类应用全部都有威胁

5、风险，其次是游戏娱 乐类（99.9%） 、购物优惠类（99.8%） 、影音图像类（99.8%）和健康医疗类（99.7%） 。 金融理财类应用是威胁风险最少的，为 98.6%。 从平均风险数量来看，优惠购物类风险数量最高，达每个应用有 70 个，其次是新闻资 讯类 （56.3 个） 、 旅行出行类 （44.6 个） 、 通讯社交类 （43.5 个） 和影音图像类 （43.3 个） 。 最少威胁数量的是金融理财类（24.1 个） 。 恶意程序：恶意程序： 2017年全年， 360互联网安全中心累计截获Android平台新增恶意程序样本757.3万个， 平均每天新增 2.1 万恶意程序样本。 201

6、7 年全年， 从手机用户感染恶意程序情况看， 360 互联网安全中心累计监测到 Android 用户感染恶意程序 2.14 亿，平均每天恶意程序感染量约为 58.5 万人次。 从近六年的移动恶意程序感染人次看，经过 2012-2015 年的高速增长期，2016 和 2017 年呈现下降趋势，说明手机恶意程序进入平稳期。 2017 年 Android 平台新增恶意程序主要是资费消耗，占比高达 80.2%；相比 2016 年增 加了 6 个百分点。 从地域分布来看， 感染手机恶意程序最多的地区为广东省， 感染数量占全国感染数量的 10.4%；其次为河南（6.8%） 、山东（6.5%） 、河北（5.

7、9%）和浙江（5.9%） 。 从城市看，北京用户感染 Android 平台恶意程序最多，占全国城市的 4.9%；其次是广 州（2.1%） 、重庆（1.8%） 、成都（1.7%）和东莞（1.5%） 、石家庄（1.5%） 。 Android 平台挖矿木马：平台挖矿木马： 从 2013 年开始至 2018 年 1 月，360 烽火实验室共捕获 Android 平台挖矿木马 1200 余 个，其中仅 2018 年 1 月 Android 平台挖矿木马接近 400 个，占全部 Android 平台挖矿 类木马近三分之一。 Android 平台挖矿木马伪装成各类应用软件，统计发现其中工具类（20%） 、下

8、载器类 （17%） 、壁纸类（14%）是最常伪装的应用类型。 从样本来源来看，除了被曝光的在 Google play 中发现的十多个挖矿木马外，我们在第 三方下载站点捕获了 300 多个挖矿木马，根据其网页上的标识，估算出这个网站上的 APP 总下载次数高达 260 万余次。 从网站来看， 据 Adguard 数据显示， 2017 年近 1 个月内在 Alexa 排行前十万的网站上， 约有 220 多个网站在用户打开主页时无告知的利用用户计算机进行挖矿，影响人数多 达 5 亿。 挖矿木马在币种选择上是随着币种的挖掘难度和币种相对价格等因素而变化。目前在 Android 平台发现的挖矿木马选择的

9、币种主要有（BitCoin） 、莱特币(Litecoin)、狗币 (Dogecoin)、卡斯币(Casinocoin) 以及门罗币（Monero）这五种。 Android 平台勒索软件平台勒索软件： 2017 年 1 月至 9 月，360 烽火实验室共捕获手机勒索恶意软件 50 万余个，平均每月捕 获手机勒索软件 5.5 万余个。其中 1 月到 5 月手机勒索软件呈现波动式增长， 今年我们发现了勒索软件使用的三种新型的技术手段：语音识别、二维码和文件加密。 钓鱼钓鱼网站网站： 2017 年，360 手机卫士共为全国手机用户拦截各类钓鱼网站攻击 28.8 亿次，相比 2016 年 19.5 亿增

10、长了 47.7%，占 360 各类终端安全产品拦截钓鱼网站总量（406.5 亿次）的 7.1%。 从钓鱼网站拦截类型来看，赌博博彩类比重最高，为 73.2%。其他占比较高的类型包括 虚假购物（9.2%） 、虚假招聘（6.6%） 、金融证券（5.9%） 、假药（1.6%）以及钓鱼广告 （1.4%）类型的钓鱼网站。 在手机端拦截的钓鱼网站中， 正常网站被黑之后用来钓鱼的网站占比为 5.8%， 其余 94.2% 的网站是不法分子自建的钓鱼网站。 从地域分布来看，手机端钓鱼网站拦截量最高的地区为广东省，数量占全国的 31.1%； 其次为广西（8.7%）、福建（7.4%）、湖南（6.2%）和浙江（4.1

11、%）。其他进入 Top10 的地区还有四川 （3.9%） 、 江西 （3.2%） 、 山东 （3.1%） 、 湖北 （3.0%） 、 河南 （2.7%） 。 骚扰电话骚扰电话： 2017 年，用户通过 360 手机卫士标记各类骚扰电话号码（包括 360 手机卫士自动检出 的响一声电话）约 2.42 亿个，平均每天被用户标记的各类骚扰电话号码约 66.4 万个。 2017 年共拦截 380.9 亿次，首次出现下降确实，这说明政府、 运营商及相关企业联手 打击骚扰电话取得了一定成效， 遏制住了其不断上涨的势头。 平均每天为全国用户识别 与拦截 1.04 亿次。从月度数据看，3 月拦截的最多，达 6

12、1.3 亿次。 2017 年，综合 360 互联网安全中心全年的拦截监测与用户标记情况、用户调研分析， “响一声”电话，以 43.2%的比例位居用户标记骚扰电话的首位；其次为广告推销 （36.1%） 、诈骗电话（9.2%） 、房产中介（8.2%） ，金融/保险（3.3%） 。 从骚扰电话识别和拦截情况看， 广告推销类骚扰电话占比 79%而位居首位， 其次为诈房 产中介（7.9%） ，诈骗电话（6.1%）从去年的第二位，下降为第三位，可见在国家大力 的打击下，有了初步的成效。 从骚扰电话的拦截次数看：固定电话的总拦截次数占比最高，达到 51.2%；其次为中国 联通、 中国电信、 中国移动的手机电

13、话号码， 分别占总拦截次数的26.0%、 12.3%和9.9%。 400/800 电话被拦截的次数占比明显减少，2016 年为 10.6%，而 2017 年为 0.3%， 其与 虚拟运营商电话相同。 从用户标记为骚扰电话的号码个数看，被标记的中国移动电话号码数最多，占比高达 48.96%；其次为中国联通、中国电信，分别为 16.7%和 15.6%；固定电话骚扰标记号码 数从去年的第二名， 下降到今年的第四名， 占比 14.6%； 400/800电话占比最低， 为 0.1%。 从各地骚扰电话的拦截量上分析，2017 全年数据显示，广东省用户骚扰电话拦截次数 最多，在全国各地的骚扰电话拦截总次数的

14、占比高达 18.7%，其次是北京（10.7%） 、山 东（6.9%） 、上海（5.8%） 、四川（5.7%） 、江苏（5.4%） 、浙江（5.4%） 、河南（5.0%） 、 河北（4.1%） 、福建（3.7%） 。 2017 全年数据还显示，广东的骚扰电话号源最多，在全国各地的骚扰电话号码归属地 中的占比高达13.1%； 其次是山东与河南， 被骚扰电话号码次数占比分别为7.3%、 6.7%。 垃圾短信垃圾短信： 2017 年，360 手机卫士共为全国用户拦截各类垃圾短信约 98.5 亿条，平均每天拦截 2698.6 万条。比较近几年数据，整体呈现快速下降的趋势，从 2012 年的 700 多亿

15、，下 降到 2017 年的不到百亿。 2017 年 0.8%的垃圾短信是由伪基站发送的。 相比 2016 年的 4%， 下降了 3.2 个百分点。 可以说前两年疯狂的伪基站短信基本上已经被遏制住。 通过用户举报的垃圾短信内容分析来看， 2017 年广告推销类短信最多， 占比达 98.1%； 诈骗短信约占垃圾短信总量的 1.2%；违法短信占比 0.7%。而 2016 年诈骗短信和违法 短信分别占比为 2.8%和 4.2%，可见在政府、运营商和安全企业的共同打击下，诈骗和 违法短信均出现了下降的趋势。 而对于诈骗短信进行抽样分析，冒充类的诈骗短信最多，第一名是冒充电商（40.5%） 、 其次是冒充

16、银行/金融机构（37.7%）和冒充运营商（7.9%） 。而赌博博彩（6.2%）和虚 假购物（2.3%）也占用有一定的比例。 2017 年广东地区用户接到的垃圾短信数量最多，占全国总量的 17.3%；其次是河南 （6.8%） 、山东（6.5%） 、浙江（6.5%）和江苏（6.4%） 。 关键词：关键词：恶意程序、钓鱼网站、骚扰电话、垃圾短信、网络诈骗、安卓漏洞、安全趋势 目 录 第一章 安卓系统漏洞形势分析 . 1 一、 手机系统安全性综述 . 1 二、 手机系统版本安全性 . 6 三、 手机系统安全性地域分布 . 8 四、 手机系统安全性与用户性别差异 . 9 五、 漏洞修复情况 . 10 六

17、、 典型手机系统高危漏洞实例. 12 第二章 安卓手机 APP 威胁形势分析 . 14 一、 2017 安卓主流应用威胁概况. 15 二、 2017 安卓应用第三方 SDK 威胁概况 . 17 第三章 恶意程序 . 23 一、 恶意程序新增量与感染量 . 23 二、 恶意程序危害分析 . 25 三、 手机木马感染量年度 TOP10 . 25 四、 恶意程序感染量地域分布 . 26 第四章 ANDROID 平台挖矿木马 . 27 一、 手机挖矿木马历史演变 . 27 二、 规模和影响 . 28 三、 目标币种 . 29 四、 挖矿方式及收益分配 . 29 五、 挖矿技术原理 . 31 六、 挖矿

18、木马的技术手段 . 32 七、 ANDROID平台挖矿木马趋势 . 34 第五章 ANDROID 平台勒索软件 . 36 一、 手机勒索软件肆虐严重 . 36 二、 新型勒索软件不断涌现 . 36 三、 社交网络成为勒索软件主要传播渠道 . 37 四、 勒索软件定制与工厂化 . 38 第六章 ANDROID 平台恶意程序技术特点 . 40 一、 恶意程序升级，瞄准企业攻击 . 40 二、 安卓平台挖矿木马重回视野. 40 第七章 钓鱼网站 . 42 一、 手机端钓鱼网站拦截量 . 42 二、 钓鱼网站拦截量地域分布 . 43 第八章 骚扰电话 . 44 一、 骚扰电话号码标记量与拦截量 . 4

19、4 二、 骚扰电话类型分布 . 45 三、 骚扰电话号源分布 . 45 四、 骚扰电话归属地分布 . 46 第九章 垃圾短信 . 49 一、 垃圾短信数量与源头 . 49 二、 垃圾短信类型分析 . 50 三、 垃圾短信地域分布 . 51 第十章 2017 年手机诈骗典型案例 . 53 一、 购物退款诈骗 . 53 二、 骗取付款码刷单兼职诈骗 . 55 三、 利用亲密付的退改签机票诈骗 . 58 四、 “分享”钓鱼网站诈骗 . 59 五、 返现购物平台诈骗 . 60 六、 双人半价购物诈骗 . 61 七、 微博高仿号假冒好友诈骗 . 64 八、 清理微信僵尸粉诈骗 . 65 九、 兼职诈骗-

20、微信朋友圈广告 . 69 十、 美女微商的跨国恋诈骗 . 71 十一、 朋友圈“免费”的连环陷阱 . 72 十二、 微信红包诈骗 . 74 第十一章 手机安全趋势分未来析 . 77 一、 具备自动化和对抗能力的恶意软件工厂不断涌现 . 77 二、 恶意挖矿木马愈演愈烈 . 78 三、 公共基础服务成为恶意软件利用的新平台 . 79 四、 脚本语言成为恶意软件新的技术热点 . 79 1 第一章 安卓系统漏洞形势分析 本章基于“360 透视镜”应用用户主动上传的 80 万份漏洞检测报告，检测内容包括近 两年（最新漏洞检测更新至 2017 年 12 月）Android 与 Chrome 安全公告中检

21、出率最高的 64 个漏洞，涵盖了 Android 系统的各个层面，且都与具体设备的硬件无关。我们统计并研究了 样本中的漏洞测试结果数据， 并对安全状况予以客观具体的量化， 希望引起用户和厂商对于 手机系统漏洞的关注与重视， 为 Android 智能手机用户的安全保驾护航， 并希望以此来推进 国内 Android 智能手机生态环境的安全、健康发展。 一、 手机系统安全性综述 (一) 系统漏洞的危险等级 此次报告评测的 64 个系统漏洞， 按照 Google 官方对系统漏洞的危险评级标准， 按照危 险等级递减的排序规则，共分为严重、高危、中危三个级别。即“严重”级别的漏洞对系统 的安全性影响最大，

22、 其次为 “高危” 级别漏洞， 然后为 “中危” 级别漏洞， 低危漏洞未入选。 在这 64 个漏洞中， 按照其危险等级分类， 有严重级别漏洞 11 个， 高危级别漏洞 36 个， 中危级别漏洞 17 个。其中高危以上漏洞对用户影响较大，在此次安全评测中对此类漏洞的 选取比例达 73.4%。 此次系统安全分析结果显示： 87.5%的 Android 设备受到中危级别漏洞的危害，93.9% 的 Android 设备存在高危漏洞，88.1%的 Android 设备受到严重级别的漏洞影响。 (二) 系统漏洞的危害方式 此次报告评测的 64 个系统漏洞，参照 Google 官方对系统漏洞的技术类型分类标

23、准并 加以适当合并，按照各漏洞的明显特征分类，共分为远程攻击、权限提升、信息泄漏三个类 别。 远程攻击漏洞是指攻击者可以通过网络连接远程对用户的系统进行攻击的漏洞， 权限提 升是指攻击者可以将自身所拥有的权限得以提升的漏洞， 信息泄漏则为可以获得系统或用户 敏感信息的漏洞。 2 在这 64 个漏洞中， 按照其危害方式分类， 有远程攻击漏洞 30 个， 权限提升漏洞 24 个， 信息泄漏漏洞 10 个。 此次系统安全分析结果显示：92.3%的设备存在远程攻击漏洞，91.5%的设备存在权限 提升漏洞，85.6%的设备存在信息泄露漏洞。与往期相比，虽然检测漏洞数又有所增加，但 影响设备比例有所降低，

24、 主要原因为部分设备的厂商大幅度更新手机的安全性， 将设备的补 丁等级保持与谷歌同步，修复了所有漏洞。 为了观察不同类别的漏洞中哪些影响的设备比例最多， 我们分别对三种类别的漏洞进行 统计排序， 挑选出了各类别中影响设备比例占比前三名的漏洞， 其中影响最广泛信息泄露漏 洞仍然为 CVE-2016-1677， 72.5%的设备都存在这个漏洞， 环比上升 1.8%； 权限提升漏洞中， CVE-2017-0666 依然影响最广，77.7%的设备均受影响，影响比例下降 5.2%；远程攻击漏洞 中，CVE-2015-7555 影响设备依然最多，影响 77.7%的设备，下降 10.5%。而第三季度中我 们

25、关注的 CVE-2016-3861 在本季度中影响设备比例已经退出 Top3，取代它的位置是漏洞 CVE-2015-6764，影响 63.0%的设备。 第二季度中 Android 新修复并公开的 CVE-2015-7555 漏洞在本季度中影响设备数量依 3 然十分庞大，同比仅降低了 10.5%，并且预计在未来一段时间仍会如此。CVE-2017-13156 即是 12 月披露的“Janus”漏洞，影响 59.7%的设备。 远程攻击漏洞，是危险等级高、被利用风险最大的漏洞，也是我们最关注的漏洞，为 此我们统计了每期报告中远程攻击漏洞排名 Top3 的趋势变化，结果如下图所示。 远程攻击漏洞整体呈下

26、降趋势，但是受漏洞影响的设备依旧保持在较高比例，4 成以 上的用户手机仍然处于被远程攻击的风险之中，安全形势并不乐观。 (三) 系统浏览器内核的安全性 系统浏览器内核是用户每日使用手机时接触最多的系统组件， 不仅仅是指用户浏览网页 的独立浏览器，实际上，许多安卓应用开发者考虑到开发速度、保障不同设备之间的统一性 等因素，会使用系统提供的浏览器内核组件。因而用户在每日的手机使用中，大多会直接或 间接地调用系统浏览器内核。 在此次评测中，系统浏览器内核是指 Android 系统的 Webview 组件的核心，在 Android 4.4 之前，Android 系统的 Webview 是基于 Webk

27、it 的，在 Android 4.4 及以后的系统中， Webview 的核心被换成了 Chromium(Chrome 的开源版本，可近似理解为 Chrome)。 在统计的样本中，Webkit 内核版本由于其版本较为一致，故在示意图中仅占一块，其余 为 Chrome 内核的不同版本。本季度 Webkit 所占比重几乎为 0%，较上季度降低 9%。截止 至本季度， 当前Google发布的Android平台Chrome稳定版的内核的最新版本为Chrome 60， 而在此次检测中有 1%的用户将自己手机中的浏览器内核升级至最新。而从图中可以看出， Chrome 内核版本大于等于 55 的设备占 24

28、%。对比上一季度的数据，版本大于 50 的设备比 例有所增长， 从 18%增至 27%。 在此次检测中， 并且最新版本 60 在国内用户之中占比 1%， 同比上季度增长 0.91%，说明国内厂商有更新浏览器内核的举措。总的来说，浏览器内核整 体版本有所跟新推进， 国内安卓生态圈中对浏览器内核的更新进度相对有所增强， 但仍存在 严重的更新滞后问题，第二节远程攻击漏洞中跻身 Top3 的 CVE-2015-6764，即是浏览器内 核漏洞，足以说明这一点。 4 为了研究不同浏览器内核版本的安全性， 我们统计了不同版本的浏览器内核的平均漏洞 个数。下图显示了不同 Webview 版本平均漏洞数量，其中

29、内核版本在 Chrome 46 以下的版 本中漏洞数量明显高于 Chrome 47 以上版本，Chrome 55 以上版本漏洞数量相对最少。从图 中可以看出较新版本浏览器内核漏洞数量相对较少， 其中 Chrome 57 版本及以上的设备平均 漏洞检出情况则为 0。 以上数据充分说明保持最新版本的浏览器内核可以十分有效增强手机 浏览器内核的安全性。 浏览器内核漏洞多数可通过远程方式利用， 因而对于用户的手机安全危害较大。 安卓系 统浏览器内核漏洞的分布情况如下图所示。 其中 87.4%的设备存在至少一个浏览器内核漏洞， 18.2%的设备同时存在 4 个浏览器内核漏洞，为漏洞数量最多的设备。有 12.6%的设备不受 这些漏洞影响。较上一季度，浏览器安全情况有所上升，但上升比例不大。整体来看浏览器