阿里移动安全仿冒软件分析报告

时间:2014-11-03 10:05 来源:论坛 作者:卡饭论坛 点击:

 

报告摘要

2014年,随着移动互联网快速发展和智能手机普及,android手机占比突破80%,在琳琅满目的应用市场上,知名应用被通过二次打包等方式被仿冒的案例层出不穷。

仿冒软件主要通过盗用正版软件图标、名称、仿冒知名软件功能、盗用正版软件界面等方式混淆用户,诱导用户下载安装并实施恶意行为损害用户利益。

为了解仿冒软件的整体情况,本报告选取11类android应用中同等数量的热门应用,其活跃用户量可覆盖85%的移动端网民,使用阿里移动安全中心病毒木马扫描引擎对这些应用进行仿冒检测,得到以下结论:

a.经阿里移动安全中心检测的热门android应用中,近82%的应用都有仿冒软件,且平均仿冒数量为13个。

b.社交、娱乐、新闻、购物和游戏类应用的仿冒问题相对最多,其仿冒软件总量达540个,占所有类别应用总仿冒量的78%。

c.健康、教育、安全等类别应用仿冒量相对最少,其仿冒软件总量55个,约占所有类别应用总仿冒量的8%。

从测试结果来看,android应用的仿冒软件情况并不乐观,这些仿冒软件对用户和应用开发者都会造成影响,如何发现这些风险、拦截恶意行为,保护用户和开发者的利益是阿里巴巴移动安全团队一直努力的方向。

Android应用仿冒软件概述

2014年,随着移动互联网发展和智能手机普及,android手机占比突破80%,在琳琅满目的应用市场上,知名应用被仿冒的案例层出不穷。仿冒软件利用与正版软件相似的图标或名字来混淆用户,诱导用户下载使用。这些仿冒软件大多包含恶意代码,并以推送广告、恶意扣费、隐私窃取等方式损害用户利益,为仿冒软件开发者牟取利润。

1.Android应用仿冒情况综述

为了解android应用总体仿冒现状,阿里移动安全仿冒软件分析报告中将其归纳为11个类别:健康、金融、教育、安全、旅游、阅读、游戏、购物、新闻、娱乐、社交。阿里移动安全中心选取11类应用中等量热门app,并对多个渠道的软件进行分析,结果如下:

a.经阿里移动安全中心检测的热门android应用中约82%的应用都有仿冒软件,平均仿冒数量达13个。

b.社交类应用仿冒软件最多,娱乐、游戏次之,购物和游戏类应用的仿冒软件亦不容乐观。

整体而言,这5类应用的仿冒问题较大,仿冒总量近540个(约占总仿冒量78%)。随着移动互联网的发展,用户对于社交聊天、新闻资讯获取、移动购物、手机游戏等需求也越来越多,庞大的用户群体和潜在利益驱使此类应用的仿冒软件层出不穷,仿冒情况不容乐观。

c.健康、安全等类别应用仿冒情况相对最少。

健康、教育、安全等类别应用的仿冒软件总量55个,约占所有类别应用总仿冒量的8%。

2.各类别应用仿冒软件的特点

从上述统计结果来看,在参与测试的11类应用中,社交、娱乐、新闻、购物和游戏类应用的仿冒数量远高于其他类别,对于这些应用产生的高仿冒量问题,阿里移动安全中心做了进一步的分析。

(1) 社交类应用

在参与测试的11类应用中,社交类应用的仿冒软件量最多,达142个,占测试结果中总仿冒量的21%。该类仿冒软件利用社交类应用的最大优势--熟人实施恶意行为,病毒木马通过收集用户的通信录,获取熟人的相关通讯信息进行自身传播,甚至会假冒用户进行金钱借贷活动。

(2) 娱乐类应用

娱乐类应用如视频播放器、音乐播放器等,因其有文字、图片、声音、动画等多种展现形式,能给用户带来生活上的放松和享受,已经成为手机用户的必备软件。这类仿冒软件通常是恶意或垃圾广告的宿主,并通过广告推送、流量资费消耗、静默短信发送等恶意行为影响用户体验和利益。

(3) 新闻类应用

新闻类应用以其便捷、快速、及时、无纸化的优势成为广大手机用户了解社会、生活等方面资讯的主要渠道,并被广泛安装和使用。新闻类仿冒软件顺势而生,这类病毒木马利用新闻类应用的消息推送功能和权限对用户推送广告、获取用户地理位置等信息,对用户造成影响。

(4) 购物类应用

在这移动互联网时代,移动购物类软件以其随时随地购物的特点被广大用户所喜爱。但便捷购物的背后确隐藏着威胁,一些仿冒软件伪装成正版应用并在用户购物时记录购物账号、银行卡号及密码等隐私信息,并通过一系列途径盗取用户账号中的财产,损害用户利益。

(5) 游戏类应用

近年来,手机游戏不仅在应用数量上快速增长,而且在收益上亦保持较高利润率。正因如此,手机游戏引来了恶意软件的觊觎,他们在热门游戏中注入恶意代码以达到广告推送、游戏盗号等目的,不仅损害游戏用户的利益,也给游戏运营商带来信誉和收入上的损失。

除以上5类应用外,金融类应用的仿冒问题也应得到关注,这类应用通常与用户财产相关,若用户使用了金融仿冒软件,将极有可能造成经济损失。

Android应用仿冒软件分析

仿冒软件是一类在未经正版软件生产商许可下,在外观或内容上仿造或复制其他正版软件的软件,用户一般较难发现这类软件,或者当发现的时候已经对用户造成了损失。

1. 仿冒软件类病毒木马发展趋势

根据阿里移动安全中心的统计结果,2014年9月至10月,android 手机仿冒软件类病毒木马造成的设备感染量和病毒查杀量均处于上升趋势:

a. 2014年9月至10月,android应用仿冒软件类病毒木马造成的设备感染量稳中有升,周均感染量达6,532台,且自10月第二周开始感染量有所下降。

b.2014年9月至10月,随着设备感染量上涨,阿里移动安全中心对仿冒软件类病毒木马的查杀能力亦迅速提升,周均查杀量达9,330次,良好的查杀能力在较大程度上抑制了病毒木马的恶意行为,保护了阿里用户的利益。

2. 仿冒软件使用的技术

(1) 图标

这类仿冒软件直接使用正版软件的图标,或对正版软件图标进行一些微小变形(如拉伸、旋转、加水印等)后的图标作为软件图标。这种方式利用用户的弱视觉辨别和疏于细节的习惯,混淆用户使其相信该仿冒图表代表正版软件,从而实施进一步的恶意攻击。

(2) 软件名称

这类仿冒软件直接使用正版软件的名称,或使用与正版软件在字面或含义上极其相似的名称作为自己的软件名。如故意在正版软件名称中加上“正版”、“官方”、“手机”等字样诱导用户。此外,不少仿冒软件还利用正版软件的某项功能名称作为软件名,这种方法利用了用户的使用习惯和相信权威的思维习惯。

(3) 用户界面

这类仿冒软件直接盗用正版软件的用户界面,诱导用户进行相关操作,但通常在背后处理逻辑中对用户实施恶意行为。如记录登录账号和密码并发送到远端服务器,进而转移账户资金等。

(4) 整体复制

这类仿冒软件直接盗用正版软件的整套功能并在其中插入恶意代码,如钓鱼网站链接、广告推送、隐私获取等。实现这种仿冒软件的最常用手段就是二次打包,重打包后的软件与正版软件在外观和内容上均一模一样,用户根本无法识别真伪,最终造成的危害也极大。

3. 仿冒软件检测

仿冒软件不仅损害用户利益,同时也影响着应用开发者的权益和收入,如何准确检测出应用的仿冒软件并提示用户谨慎安装变得格外重要。

一般而言,仿冒应用检测主要依赖于图标和软件名称,而阿里移动安全中心从图标、软件名称、用户界面、整体复制等多个维度检测仿冒应用,其检测能力具备以下优势,可较好地覆盖仿冒软件,保护用户和开发者的权益。

(1) 全网实时监控,可监控阿里系400多个渠道及网盘论坛等全网范围,为应用开发者提供所发布应用的真实仿冒数据。

(2) 通过在阿里移动安全中心移动产品上的集成服务于用户,在检测到仿冒软件时可提示用户,避免用户被诱导安装。

总结

随着移动互联网的发展和智能终端的普及,android应用的数量在快速增长,由于潜在的利益驱使和各应用市场准入审核不严格等原因,恶意仿冒软件日趋盛行,这些仿冒软件的恶意行为不仅侵犯用户隐私、损害用户经济利益,也给应用开发者甚至运营商的信誉和收益带来影响。为尽量避免仿冒软件对用户和正版软件开发者造成影响,阿里移动安全中心建议:

a.建议用户安装正规安全软件厂商出品的正版安全软件,并及时更新安全软件的病毒库,以识别并清除恶意病毒木马,保护用户手机。

b.建议正版软件厂商除了在应用开发过程中采取规范、安全的开发策略,还应采取防仿冒措施如使用应用加固产品对正版软件加固。

c.建议各大应用市场或商城以更严格的准入规则审核应用,减少仿冒软件的数量,维护用户和正版软件开发者的权益。

如何持续监测仿冒软件,拦截恶意行为,保护广大开发者和用户的利益是阿里巴巴移动安全团队一直努力的方向。2014年10月22日,阿里巴巴集团正式向全球发布两大重量级产品:阿里聚安全(阿里移动安全开发平台)和阿里钱盾(安全类app),阿里聚安全提供的仿冒监测服务依托阿里系的大数据,可覆盖全网近500个应用市场、网盘及论坛,保护正版应用开发者的合法权益与收入,推动行业良性发展。阿里钱盾集成了仿冒监测服务,对手机用户下载的软件进行仿冒检测,避免用户无意中下载了仿冒应用,危害手机安全。

阿里移动安全官方微博:http://weibo.com/alimobilesecurity。

阿里聚安全官方网站:http://jaq.alibaba.com。

阿里钱盾官方网站:http://qd.110.taobao.com。

版权声明:本报告中凡注明来源于“阿里移动安全中心”等一切图标数据及统计结论均属阿里巴巴集团版权所有,如需转载或摘编,敬请注明出处。

(责任编辑:往生)