1、截止到2014年第一季度，第三方支付类、电商类、团购类、理财类、银行类这五大手机购物支付类APP下载量增长迅猛。

2、2014年第一季度支付类软体共364款，其下载量占全部软体下载量的30.38%。

3、2014年第一季度截获手机病毒包数143945个，感染手机病毒用户数达到4318.81万。

4、电商类APP下载量和该类别感染的病毒包数均排名第一。

从2013年开始，手机支付类病毒爆发，包括“伪淘宝”病毒、“银行窃贼”及“洛克蛔虫”等系列支付病毒。

截止到2014年，支付类病毒监听键盘输入，或于后台监控手机用户支付账号密码输入信息的特点，成为手机支付类病毒高危化演进的一个信号。

有19.74%的支付类病毒可以读取用户简讯。“用户简讯”的内涵可包括用户支付交易的手机验证码，而黑客可通过验证码破解用户的支付账号，取消数字证书等设定，对支付宝交易的安全造成巨大威胁。

简讯中的钓鱼网址成为诈欺分子入侵用户银行支付账号、窃取诈欺用户资金的关键入口，二维码支付目成为一个高危的支付类病毒的染毒渠道。

随着移动支付的迅速发展，移动支付的问题将成为用户在移动安全领域当中的首要问题，对于移动支付安全套用的需求将会越来大，“泛安全”定位的手机安全软体将不能满足客户，而基于像腾讯手机管家这样定位专业移动支付安全的手机支付安全软体将会更加受到用户和市场的认可。

针对手机支付安全风险，腾讯手机管家提出十个解决方案：

1.查杀支付类病毒木马；

2.精準识别诈欺简讯与钓鱼网址；

3.推安全正版联盟杜绝山寨支付网银类APP；

4. 监控网路环境的安全;

5.支付环境安全监控；

6.二维码安全监测；

7.微信安全支付；

8.找回手机，清除数据；

9.简讯安全监控；

10.APP加固和软体锁。

手机支付购物类软体包样本池中，抽取119703款软体包进行相关研究。购物类官方软体包有52747款，其中，电商、理财、团购类占前三位，分别占比为：43.94%、20.52%、14.30%。第三方支付、银行类、航空类分别占比12.37%、7.81%、1.05%。

电商类APP的布局迅速扩展，与手机用户线下生活消费强相关的电商类、支付类APP已占据绝对主流。

手机银行、手机理财、航空类APP的下载占比分别为：4.81%、2.8%、0.08%。

五大类手机购物支付类软体中，每一类均有大量被二次打包的非支付购物类软体，不少手机支付购物类APP的非官方版本被植入了病毒代码。

除团购类APP之外，其他各类APP的二次打包的非官方版数量均已经超过了官方版数量，而非官方包软体总数达到66956款。

在这五大类手机支付购物类软体中，共有320款软体被植入恶意病毒代码。从比例来看，其中，电商类APP感染病毒的软体款数占39.69%，位居第一。其次是理财类APP和第三方支付类APP，感染病毒的软体款数比例分别占27.19%、13.44%，分别位居第二和第三。团购类、银行类、航空类APP染毒占比分别为11.25%、7.19%、1.25%。

而电商类、理财类、第三方支付类、团购类、手机银行类、航空类这五类软体，每一类感染的病毒包数依次分别为：127、87、43、36、23、4。其中，电商类APP的下载量和该类别感染的病毒包数均排名第一。

在手机支付购物类软体中，安全实验室分析了各类型的典型APP染毒情况。

Ø电商类APP典型病毒

在29款知名电商类APP中，唯品会、麦包包、乐淘、凡客、国美等知名电商的非官方版本均被资费消耗类病毒感染，可私自下载恶意软体或消耗流量资费。唯品会被病毒“银行扒手”感染，该病毒可检测是否安装安全软体决定是否运行恶意程式，后台私自传送简讯，上传手机信息等，对唯品会手机APP使用者的简讯验证码等手机信息构成威胁，进而影响支付安全。

Ø第三方支付类APP典型病毒

在抽取的21款支付类APP中，淘宝充值、淘宝彩票、支付宝等非官方版手机客户端纷纷遭遇病毒入侵。银联支付大众版感染了支付类病毒“洛克蠕虫”，该病毒可通过二次打包的方式把恶意代码嵌入银行APP，未经用户允许私自下载软体并安装，还会安装恶意子包，进一步窃取银行账号及密码，可盗走用户账号中的资金，对银联手机支付大众版客户端的支付安全造成极大威胁。

Ø理财类APP典型病毒

在114款理财类APP当中，和讯外汇、和讯股票、国盛证券、中金财经等理财证券类非官方套用均被植入恶意代码或遭病毒山寨。其中，染毒的广发证券至强版感染用户数达到27.6万。其中，广发手机证券被扣费病毒“银行扒手”感染。

Ø团购类APP典型病毒

在19款知名团购类APP当中，被感染的团购类APP包括：12580团、窝窝团、美团网、糯米糰等，这些软体的非官方版均被植入恶意病毒。

Ø银行类APP被感染情况

在抽取的58款银行支付类APP中，中信银行、交通银行、光大银行、农行手机银行、工行手机银行、浦发手机银行、邮储银行等手机客户端均被病毒二次打包感染。其中，中兴、广大、交通银行三款银行类手机客户端均感染了病毒“银行毒手”(a.expense.googla.a)，该病毒伪装成正常网银等客户端软体，检测是否安装安全软体决定是否运行恶意程式，后台私自传送简讯，禁止回馈信息，上传手机信息等，给手机用户的支付验证码信息等造成威胁。

可以看出，电商类、理财类、第三方支付类APP已成为病毒紧盯的感染对象，而银行类与第三方支付类APP与手机用户的银行资金、账号密码直接关联，风险相对更大，广大手机用户对于这些类别APP的下载应保持足够警惕。

2013年，查杀病毒次数1.82亿次，是2012年3.2倍。

2013年全年，手机中毒用户总数达到1.08亿，相当于广东省人口总数，约为北京市人口的5倍。2013年的手机染毒用户是2012年的3.12倍。

1、2014年第一季度，截获的病毒包总数达到143945个，呈现持续增长趋势，其中手机支付类病毒呈现突飞猛进的发展势头。

2、2014年第一季度，手机染毒用户数达到4318.81万，为用户查杀病毒次数为6871.44万，均呈现持续同比增长的趋势。

3、2014年第一季度，截获的病毒包总数：143945个。其中，2014年第一季度Android病毒类型占比情况为：资费消耗占35.53%、隐私获取类占比22.87%、恶意扣费占比17.25%、诱骗欺诈占比13.75%、流氓行为占比6.3%。远程控制、恶意传播、系统破坏占比分别为3.1%、1.03%、0.17%。

其中可以看到，恶意扣费占比达到17.25%，位居第三位。恶意扣费病毒包呈现增长趋势，对移动支付安全造成一定的威胁。占比达35.53%的资费消耗类病毒通过私自下载恶意套用或私发简讯可对手机用户的金钱流量造成巨额消耗;占比达22.87%的隐私窃取类病毒则可以窃取到用户的敏感支付信息;而占比13.75%的诱骗欺诈类病毒可通过善于伪装的知名电商、银行客户端等诱骗用户下载从而窃取用户手机资费或者账号密码等。可以看出，多种Android病毒类型均可以对手机支付安全造成威胁。

静默联网、删除简讯、传送简讯、读简讯、开机自启动

静默联网比例高达61.09%、位居第一，静默删除简讯、静默传送简讯、开机自启动、读简讯的病毒行为分别占比37.3%与36.51%、30.1%、19.74%。分别位居第二和第三、第四、第五。

静默安装、静默卸载、监听键盘输入、静默获取root许可权分别占比为5.62%、4.77%、4.52%、3.34%。

这四个病毒行为可在用户不知情的情况下，可卸载掉手机端重要软体（安全软体），安装病毒子包或者监听用户键盘输入的动作或内容、获取root许可权、窃取用户账号密码等隐私。

支付类病毒感染用户总数已达1126.75万。

特徵：未经用户允许，后台私自下载未知软体，给用户造成资费消耗和存在流氓行为。

“银行鬼手”(a.expense.tgpush)

“银行扒手”(a payment googla b)

“银行毒手”(a.expense.googla.a)

2013年初，截获了首款感染国内银行手机客户端——中国建设银行的手机支付病毒a.expense.lockpush（洛克蠕虫），该病毒通过二次打包的方式把恶意代码嵌入银行APP并私自下载软体和安装，进一步安装恶意子包，窃取银行帐号及密码，继而盗走用户账号中的资金。该病毒是典型的二次打包类支付类手机病毒。

“银行毒手”、银行扒手”这类手机支付类病毒通过二次打包，伪装成正常软体，在后台运行恶意程式，给用户造成的危害包括个人手机信息隐私泄露，私自传送简讯造成资费消耗，而用户全不知情。这类手机支付类病毒，给用户造成的危害性相对较小，但普遍针对银行类、购物类软体进行二次打包。比如在2014年2月，“银行毒手”通过二次打包伪装大量一线电商类APP，包括伪装唯品会、淘宝特卖、聚美优品等软体诱骗用户下载。而该病毒可禁止回馈信息，上传手机信息，而这些特徵也可以指向用户手机支付确认简讯，对用户的支付安全构成了一定的威胁。

特徵

通过模拟淘宝官方的用户登录页面收集用户输入的淘宝帐号密码以及支付密码，通过页面诱导用户输入，并转发淘宝的帐户与密码。

“伪淘宝”(a.privacy.leekey.b)

当手机用户安装“伪淘宝”木马客户端之后，在“伪淘宝”的木马客户端登录页面，用户输入用户名和密码，点击登录，就会执行传送简讯的代码，将用户的账户名和密码传送到指定的手机号码13027225522，同时诱骗用户安装包名为taobao.account.safety的恶意子包，软体名称为“帐号安全服务”。当用户安装完该恶意子包后，再次点击提交会发出广播，启动恶意子包服务。

可以看出，该病毒伪装成淘宝客户端，骗取用户淘宝帐号、密码以及支付密码传送到指定的手机号码，同时诱骗用户安装恶意子包，造成用户核心隐私和资金的大规模泄漏。该病毒的存在，使得手机购物、支付安全的风险大增。

转发手机用户简讯（包括验证码简讯）到指定号码，拦截用户简讯，盗取手机支付确认验证码和手机资费

“简讯盗贼”（a.remote.eneity）

“盗信殭尸”（a.expense.regtaobao.a）

“鬼面银贼”

19.74%的支付类病毒可以读取用户简讯。这里的“用户简讯”包括用户支付交易的手机验证码，而黑客可通过验证码破解用户的支付账号。将中毒手机变成“肉鸡”，私自传送简讯注册淘宝帐号，同时可拦截禁止自动回复系列支付确认简讯，盗取手机支付确认验证码和手机资费，甚至威胁支付宝账户余额。

可见“简讯盗贼”和“盗信殭尸”病毒均可以窃取手机支付验证码。“盗信殭尸”病毒的特徵是监控手机支付类验证码，通过窃取验证码来配合窃取支付里的金额，而之前查杀的“简讯窃贼”、“窃信鬼差”病毒都属此类。

2014年，查杀了一款名为“鬼面银贼”的支付类病毒，该病毒可伪装成银行、金融、理财等热门套用，骗取用户下载，一旦安装激活会窃取用户银行账号密码、身份证和姓名信息，同时还会私自拦截和上传用户简讯（包括验证码简讯）内容到指定号码。

这种支付类病毒盗取网银的手段非常明显：即转发用户简讯或监控收集支付验证码，由于手机用户都捆绑了网银、支付宝等，当网银、支付宝等发生消费、支付操作的时候，都会收到简讯提醒，内容涉及消费金额、账号余额、支付过程中的简讯验证码等信息。而这类支付类病毒可通过拦截这些涉及到网银和支付的简讯内容来窃取用户网银资金，这些病毒的存在，是用户手机支付的隐忧。

代表

银行悍匪（a.rogue.bankrobber.）

特徵

“银行悍匪”病毒由母程式（简称：母包）和子程式（简称子包）组成，母包中含有恶意子包。母包通常被二次打包到热门游戏如100个任务、坦克大战中，通过游戏软体需要安装资源包等方式诱导用户安装和启动恶意子包。子包是核心的恶意程式，会进一步诱导用户激活设备管理器，获取ROOT许可权，删除SU档案，安装后隐藏图示，卸载防毒软体，监控指定Activity页面。

银行悍匪可窃取包括农业银行、招商银行、广发银行、兴业银行、邮储银行、南京银行、中信银行、光大银行、民生银行、浦发银行、平安银行、广州农商银行、重庆银行、中国银行、华夏银行、湖州银行、上海银行等20余家手机银行的账号密码，将其强制结束进程，同时弹出悬浮视窗骗取用户账号和密码。

该木马高度模仿真正的手机银行软体，用户从软体图示上很难区分，一旦用户安装运行了“山寨手机银行”，就会被要求用户输入手机号、身份证号、银行账号、密码等信息，并把这些信息上传到黑客指定伺服器，盗取了银行账号密码后，立即将用户账户里的资金转走。

特徵

可进行二次打包和仿冒程式，包括支付宝年度红包大派发、微云图集、移动掌上门市、中国人民银行、中国建设银行、理财等十余款套用。

其另一个危害在于可以监听用户手机简讯，并可将简讯内容转发至指定手机号码。很多手机用户都通过手机号注册网购账户、支付账户，并通过手机验证码登录一些网购、理财账号。

专家监测分析，“盗信殭尸“、“伪淘宝”等高危支付类病毒主要是被製毒者或製毒机构上传到网路硬碟，生成二维码，并将相关的二维码图片在网站及论坛传播诱骗用户下载，许多手机用户见码就扫，这种方式无疑增加了感染病毒的几率。

二维码

另一方面，刷二维码变得越来越普遍，并成为许多手机用户的习惯，通过二维码传播恶意程式的比例从2012年以来就已经迅速增长，由于许多二维码扫码工具并没有有恶意网址识别与拦截的能力，这就给了手机病毒极大的传播空间。

二维码支付渠道已成为一个感染高危手机支付类病毒的染毒渠道，但是高危并不意味着没有解决办法或者鼓励用户完全杜绝使用二维码支付，因为二维码支付毕竟是未来发展趋势，而手机用户可以安装，通过针对线上恶意网址、支付环境的扫描与检测来避免二维码扫描渠道染毒。

在验证简讯窃取中，快捷支付所需要的条件是：姓名、身份证号、银行卡号、手机病毒转发动态校验码。而黑客盗取账号资金的必要条件是：用户姓名、银行卡号、身份证号一致，中毒手机号与第三方账号绑定的手机号一致的时候。

受害者的验证简讯被诈欺分子窃取场景往往出现在网路购物的过程中。诈欺者可通过即时通讯找到目标用户，进而通过捏造身份（淘宝卖家等），通过利益诱惑来骗取用户信任，关键的环节是通过骗取用户扫描二维码进行购物支付，手机用户扫描之后即会感染病毒。

之后黑客可直接套取目标用户信息，简洁利用手机病毒或钓鱼网站等诱骗用户填写个人信息后传递给诈欺者。如“姓名、身份证号、手机号”等信息，进而手机病毒会监听转发目标用户手机简讯给诈欺者，特别是各类支付平台“动态校正码”简讯，其次是利用网路各类支付平台特别是第三方支付平台盗取目标用户支付账号的或者快捷支付账号的银行卡。在这方面，诈欺者冒用目标用户身份验证开通新第三方支付平台账号，绑定目标用户的银行卡账户到快捷支付中，然后进行支付或转账等操作，目标指向银行卡内余额。所有的用户隐私信息条件具备之后，进而便可以盗取手机用户的余额资费。

2014年,手机支付安全的状况越加不容乐观。而Android系统漏洞却加剧了这一现状。2014年2月18日，国内漏洞报告平台乌云发布紧急预警称，淘宝和支付宝认证被爆存在安全缺陷，黑客可以简单利用该漏洞登入他人淘宝/支付宝账号进行操作，不清楚是否影响余额宝等业务。

2013年7月底，国家网际网路应急中心发布信息，Android作业系统存在一个签名验证绕过的高危漏洞即Masterkey漏洞（Android签名漏洞）。

正常情况下，每个Android应用程式都会有一个数字签名，来保证应用程式在发行过程中不被篡改，但黑客可以在不破坏正常APP程式和签名证书的情况下，向正常APP中植入恶意程式，并利用正常APP的签名证书逃避Android系统签名验证。而利用该签名漏洞的扣费木马可寄生于正常APP中， 进而针对捆绑手机用户进行恶意扣费，并向用户联繫人传送恶意软体下载推荐简讯，在Android系统中，MasterKey漏洞是最为常见的一个，黑客们可以通过这个漏洞绕过系统认证安装手机病毒或恶意软体，进一步操控用户的Android系统及他们的设备。

因此Android签名漏洞对移动支付安全性的威胁在于,黑客可以利用这个漏洞，对正版手机购物、第三方支付、银行、电商类等手机客户端进行篡改，植入恶意程式，而篡改之后的程式的数字签名不发生改变，对手机支付购物类的账号密码与资金造成严重威胁。

2013年9月，在乌云漏洞平台，被曝出多款Android套用出现严重手机挂马漏洞现象。黑客通过受漏洞影响的套用或简讯、聊天讯息传送一个网址，只要用户点击网友发过来的挂马连结，都有可能中招。接着手机就会自动执行黑客指令，出现被安装恶意扣费软体、向好友传送欺诈简讯、通讯录和简讯被窃取等严重后果。国内几大知名的手机浏览器APP等都受此漏洞影响，包括手机QQ浏览器、猎豹浏览器等最新版本浏览器已经修复该漏洞。

截止到2014年第一季度，垃圾短累计举报数接近12.29亿条。

其中，在2014年第一季度,广告类垃圾简讯占比82.09%、诈欺类垃圾简讯占比10.57%、违法类垃圾简讯占比3.01%、其他类占比4.34%。

截止到2014年第一季度，骚扰电话累计标记总次数为1.48亿次。其中，在2014年第一季度用户标记的骚扰电话类型中，广告推销为20.79%、诈欺电话为18.99%、房产中介占比为16.3%、保险理财为14.69%、标记为其他类型的占比29.23%。

诈欺简讯与钓鱼：这种诈欺的技术含量最低，但却是现在用户遇到最多，且最容易遭受损失的诈欺手段，手机在这里起了诈欺通道的作用。而可以智慧型识别诈与拦截诈欺简讯,识别诈欺电话。

另一方面，在2013年12月26日， 管家联合广东省公安厅、中国网际网路协会、银监局、银行协会、三大运用商、世纪佳缘、去哪网等政府组织、企业共同发起了国内首个“天下无贼”反信息诈欺联盟，向日益猖獗的信息诈欺产业链发起全面反击。通过动员全社会力量，通过标记诈欺电话和简讯、数据共享、案件侦破受理及安全防範教育等深度合作，打造一个“网路+社交”的反诈欺信息网路，改变了过往打击信息诈欺单兵作战、各自为政的现状。

反信息诈欺联盟的成立作为整合产业链的力量共同打击诈欺简讯的试水案例，基于的诈欺举报功能，可以将诈欺线索及数据与警方共享，极大提升侦破骗局的机率。与此同时，针对诈欺中“资金转移”这一核心环节，警方联合银行系统可以做到及时帮助民众冻结操作，避免或减少被骗损失，未来还将针对骗子建立银行账号黑名单机会。通过各链条联动极大提升了打击诈欺团伙的有效性，该联盟可对诈欺产业链形成极大的威慑力。

另外，手机可安装有效的软体甄别钓鱼类恶意网址，如果访问的网址是"钓鱼"等恶意网址，会立即弹窗提醒：“你正在访问盗号网址，建议你停止访问并马上进行查杀"，手机用户因此可免受经济诈欺等损失。

深度集成的网路安全监控模组可支持对手机网路环境进行监控和扫描，判定网路环境的风险状况，自动感知判定网路环境的变化，并进行相关的软体启动检测，可对WiFi网路环境的安全性、包括WiFi钓鱼的存在或隐患进行检测，并检测WiFi密码设定状况、DNS等遭遇篡改情况进行后颱风险判定与扫描。一旦检测发现问题，会立即提醒用户风险状况，提醒用户留意恶意病毒的相关行为风险，确保用户在使用支付类网银类软体的安全性。

许多团购、支付类、电商、理财类套用被二次打包内置恶意代码和病毒，存在窃取用户银行帐号密码，转发用户简讯、读取用户通讯录等隐私风险，因此如何确保手机支付环境安全非常重要。而安装了的用户，在安装手机支付类套用软体时，会提醒用户该安装包是否为官方发布的版本。

先锋版支持对银行类、电商、团购、第三方支付类App等进行严格支付环境安全检测。比如，打开一款非官方版的招商银行App，会在检测后提示用户"存在账号被窃取、财产遭受损失”等风险，建议立即清除，而打开官方版招商银行的时候则提示用户"支付环境安全"，用户可以放心使用网银。此外，在打开淘宝、支付宝、财付通等网购支付类套用的时候，均会进行支付环境安全检测，确保为手机用户构建安全的支付环境。

二维码本身并无病毒，而二维码所包含的网址连结、套用安装包可能存在钓鱼、挂马、内置病毒或恶意代码，从而导致用户手机中毒，并对手机支付构成威胁。

为了帮助用户安全扫码，率先与知名二维码扫描工具灵动快拍、我查查等合作推出安全扫码功能，确保用户在使用这些工具扫码的时候，对二维码包含的网址和套用进行安全检测。

在的实用工具列里面，通过添加安全扫码的功能模组之后，用户在通过微信扫一扫或其他扫码工具扫描二维码的时候，均已在后台开启安全扫码防御功能，均可以确保用户安全扫描二维码。

新版全新打造“微信安全”模组，为微信提供支付、登录、隐私等全方位安全保护，此前的版本也具备“微信安全”功能，支持针对微信聊天中的恶意网址进行拦截，查杀危害微信的恶意外挂程式与病毒。安卓4.6版则再次升级了“微信安全”，并与微信5.1版本中“我的帐号”的“手机安全防护”进行入口对接，全面扫描微信支付、登录环境、账号安全以及隐私泄露问题，为手机用户微信支付的安全保驾护航。

手机用户通过开启了手机防盗功能之后，如果手机丢失或者被盗，当丢失的手机被更换SIM时，会立即将更换后的号码发简讯给用户设定的紧急联繫人与用户QQ信箱，提醒用户手机若被盗，进行远程控制。通过该网址，用户可以远程“手机锁定”、“手机定位”、“清空手机数据”。通过锁定手机，对方将无法开机，通过获得的手机号码，找回丢失手机，同时也可以通过该手机号码进行远程定位，将手机所在位置告知警察，帮助找回手机。很多用户手机中还有重要联繫人、私密照片视频等，而手机防盗功能中，一个重要功能就是可以通过“远程清空手机数据”完成清理手机中安装的重要软体与数据，包括支付宝、淘宝、微信、手机银行等重要与支付类隐私相关的APP，防止手机用户重要网银账号、密码等信息泄露，确保支付宝、网银资金、用户手机通讯录、简讯等隐私安全，避免手机用户遭遇连串损失。

用户通过第三方支付、银行类套用在进行的电子商务活动中，简讯验证码都是最后的安全防线，一旦用户的支付验证简讯被恶意程式获取，手机支付用户的安全堤防会全面溃败，会直接导致银行支付账号财产被窃取，造成严重的金钱损失。

针对简讯验证码的安全问题，的简讯安全监控功能可以监控用户接收到的简讯，并判断是否为官方简讯，有效识别伪基站或者其他冒充的银行支付类简讯，对用户进行诈欺提示并有效拦截。可对银行、支付类相关简讯进行监控，避免被转发等风险，并通过支付安全模组对简讯进行加密，恶意程式与第三方套用均无法直接获取调用该信息，从而有效保护Android简讯验证码，确保用户安全读取验证码并安全完成手机支付。

提供平台并针对合作厂商提供的APP进行加固，加固后，可以防反编译，以防止病毒针对正版软体二次打包。

另外，除了可以锁定档案、隐私信息外，软体也可以上锁。手机用户可通过实用工具列开启软体锁，在软体列表中选择要添加的软体，比如微信、淘宝、支付宝、手机银行等客户端等等，勾选即可添加。此后，每次进入该软体时都需要输入私密保护密码，其他人无法看到这些软体中的内容，也就是说，为手机支付账号上了一道安全锁。