移动互联网络安全与手机恶意软件的研究

崔 成

(吉林警察学院信息工程系，吉林 长春 130117)

0 引言

智能手机已经成为人们生活的一部分，人们对于智能手机的依赖程度已经超越PC机.移动互联网正在从各方面改变人们的生产、生活方式，成为“全面、随时、随地”传输信息的有效平台，手机购物、移动金融等业务将成为2014年爆发性的增长点.2014年1月，中国互联网络信息中心(CNNIC)发布的第33次《中国互联网络发展状况统计报告》显示，截至2013年12月底，我国网民规模达到6.18亿，互联网普及率为45.8%，其中手机网民人数达到 5 亿［1］.

近年来，手机病毒成为了病毒发展的下一个目标，黑客的视线正逐渐由传统互联网转移至移动互联网.手机中毒、流氓软件、短信诈骗、隐私泄露、电话骚扰、流量吸费等手机安全事件频频发生，给广大手机用户带来诸多困扰，甚至威胁到个人财产和人身安全.如2013年底，某知名女艺人遭遇电信诈骗事件损失21万元人民币，再次引发了网友对于手机安全问题的强烈关注.

2013年手机病毒出现了数十倍增长，据瑞星监测，2013年1至12月，新增病毒样本3310万余个，病毒总体数量比2012年同期增长163%，同时新增手机病毒样本80余万个，与2012年相比，有数十倍的增长，其中以恶意扣费、隐私窃取、恶意传播、资费消耗、诱骗欺诈等几大类为主［2-3］.

手机病毒是以手机为感染对象，以移动通信网络和计算机网络为平台，破坏手机功能或者破坏数据、影响手机使用并且能够自我复制的一组指令或者程序代码［4］.其特点是具有传播性、隐蔽性和破坏性.手机病毒一般都是由计算机程序编写，并通过短信、彩信、上网浏览、下载软件、下载铃声以及蓝牙等方式，实现网络到手机或手机到手机之间的传播，并且具有破坏系统的功能，如死机、关机、删除存储资料、损毁SIM卡、损坏芯片等.

手机木马是具有隐藏性的、自发性的特点，可被用来进行恶意行为的程序，多不会直接对手机产生破坏，而是以控制为主.由于受到PC病毒的启发和影响，当前手机病毒和木马越来越多的结合在一起，因此经常把这类程序或代码统称为手机病毒木马程序，或者叫移动互联网恶意程序.移动互联网恶意程序是指运行于包括智能手机在内的具有移动通信功能的移动终端上，存在窃听用户通话、窃取用户信息、破坏用户数据、擅自使用付费业务、发送垃圾信息、推送广告或欺诈信息、影响移动终端运行、危害互联网网络安全等恶意行为的计算机程序［5］.

1 手机恶意软件发展的现状

早在2000年6月，西班牙发生了一件令人匪夷所思的事情，许多人无故收到一些名为“Timofonica”的骂人骚扰信息.经西班牙有关部门查证，VBS/Timofonica程序是通过Microsoft Outlook的电子邮件传播的，它把信息发送给西班牙的一个叫Email-to-GSM(电子邮件到GSM)网关，然后再随机地把信息传送给GSM移动电话用户.携带此病毒的邮件到达移动电话用户的邮箱时，主题是“TIMOFONICA”，附件的文件名是“TIMOFONICA.TXT.vbs”，正文是西班牙文，内容是关于西班牙电信营运商Telefonica的.“Timofonica”一词主要意思是开“Telefonica”一个玩笑，词根“Timo”在西班牙文中表示“取笑”意思.这些电子邮件是通过Telefonica Movistar网络的GSM网关进行转发的，再将此病毒传播给GSM手机，所以VBS/Timofonica袭击的对象主要是西班牙用户.后来此程序被命名为VBS.Timofonica手机病毒，这是全球第一个手机病毒的雏形.其实VBS.Timofonica并不能算做真正意义的“病毒”，它不具备传染性，VBS.Timofonica自身不会进行传播及复制，它只不过是一种攻击程序或者叫邮件炸弹.

2004年6月，出现了一个名为 EPOC.Cabir.A(又名卡波尔)的蠕虫病毒，这种病毒是基于诺基亚塞班(Symbian)操作系统的，通过蓝牙技术在一定范围内的蓝牙设备间传播，专门感染诺基亚s60系列智能手机系统，这是世界上第一个真正意义上的手机病毒.五个月后该病毒传入中国上海，这是我国发现首例通过手机蓝牙感染Caribe病毒的案例.2004年11月15日，应女士的手机在短短几秒钟的时间内，收到好友28条内容重复的短信.在应女士的提醒下，好友上网查询了近期的手机话单情况，发现自己除了话费超支外，还订制了一些莫名其妙的业务，而手机上的一些个人资料也不翼而飞.经专家鉴定分析，应女士好友的手机已经“中毒”了.

2000年至2004年这段时间是手机病毒的初始阶段，主要以短信病毒为主.手机病毒主要是利用手机(非智能手机)芯片中固化程序的缺陷，通过网络手机发送有特殊字符的短信，当用户查看这些短信时就会导致手机的固化程序异常，产生如关机、重启或者删除个人资料等现象.

从2004年以后开始，手机病毒种类繁多，五花八门，主要以诱骗型病毒为主，比较典型的手机病毒有X卧底和近期出现的银行悍匪等.

2006年出现的X卧底软件是一个木马程序，最初源于泰国Vervata公司研发的一款名叫FleXiSpy的软件.该恶意程序被安装在被控手机上后，在被控手机上建立了一种特殊的通话模式，在这种模式下，被控手机仅仅启动了手机的话筒，不启动手机的听筒，所以被控用户在这种通话模式下被无声无息、毫无察觉地监听，还会把被控手机上所有短信文本、通话记录、通话录音等内容发送到指定的网络服务器上.后来，这款原名叫FleXispy的软件被国内的某些公司和软件开发人员汉化改进后，改名为X卧底并包装成间谍软件进行推广销售.X卧底软件安装后，监控者还可以通过手机或电脑发送一些特殊指令来控制这个被监控手机，在待机状态下周围的环境声同样也会被监听.

2006年出现的彩信木马病毒—吞钱贪婪鬼，也叫 SymbOS/Commwarrior.A 或 SYMBOS_COMWAR.A，该病毒通过蓝牙和彩信两种方式传播.

2009年针对手机的病毒和木马新增1649种，病毒累计总数达到3382个.

2010年是手机病毒大肆泛滥的一年，新增病毒数达到6760个，如钓鱼王手机病毒、手机骷髅病毒、同花顺大盗、老千大富翁、QQ盗号手等等，主要基于塞班和安卓操作系统.

2011年，手机病毒木马程序新增24794个，累计达到42869个.其中比较活跃的手机恶意软件包括:阿基德锁(a.privacy.AckidBlocker)、跟踪隐形人(BD.TRACK)、联网杀手(s.rogue.uFun)、电话杀手(SW.PhoneAssis)、安卓吸费王(MSO.PJApps)、短信 窃 贼 (SW.Spyware)、短 信 大 盗 (SW.SecurePhone)、X 卧底(Spy.Flexispy)、安卓窃听猫(SW.Msgspy)、电话吸费军团(BD.LightDD)等.

2012年，针对诺基亚塞班系统的病毒包的数目开始持续减少，从第一季度的4981个到第三季度4455个，原因是诺基亚手机的销售量在持续下滑.与之形成明显反差的是针对安卓系统的病毒包数，已经开始呈现出爆发式的增长，第三季度病毒包数达到了52766个，是第一季度病毒包数6902的7倍多.

据国家互联网应急中心统计发现，2013年手机病毒继续呈爆发式增长，比2012年增长了5倍，总数达到70万例.如2013年6月卡巴斯基发现的最复杂的特洛伊木马名叫“Backdoor.AndroidOS.Obad.a”，该恶意程序利用此前未记录的Android安全漏洞，通过垃圾短信操控用户设备，并可截获包括电话号码、IMEI编号、通话记录、运营商、本地时间和MAC地址等关键信息.基于安卓系统的手机病毒“RoBot通讯录”，该病毒伪装成通讯录APP引诱用户下载.2013年7月份，出现的仿冒国内知名照相APP的手机病毒“山寨POCO”，该病毒通过第三方APP商店及APP论坛等平台大量传播.

从发展趋势看，手机病毒呈现多样化、隐蔽化、底层化、顽固化、反杀毒化的发展模式.其中，手机游戏仍然是手机病毒的重灾区，2013年的十大手机病毒均以二次打包的方式进入到热门游戏中，“战神OL”、“格斗之王 III”、“魔兽世界”等知名游戏纷纷中标.除了手机游戏领域外，手机支付类病毒也增长迅猛.2013年手机网购、手机支付用户比例逐步提高，而手机网购支付又往往绑定用户钱包功能，因此容易被手机病毒盯上.

在垃圾短信方面，广告类短信依然占据最大比例，所占百分比达到92.61%.而诈骗类短信虽然所占比重只有2.9%，但年增长率却高达21%，增速最快［6］.

2 手机病毒的传播方式

(1)利用蓝牙(Bluetooth)、红外等无线传输方式进行传播［6-8］.比如Lasco系列病毒就是通过蓝牙传播的蠕虫病毒，专门感染运行于支持S60系列平台的Symbian手机.

(2)感染手机使用的可执行文件，当用户使用或者误击的时候就会激活病毒自身，从而感染目标.比如“韦拉斯科”病毒感染电脑后，会搜索电脑硬盘上的SIS可执行文件并进行感染.

(3)通过短信通群发系统(SMS)或彩信(MMS)进行传播.如Commwarrior这种病毒传播方式就是通过MMS多媒体信息服务方式来传播的.

(4)通过网页挂马的方式来被动传播.如宝马下载器变种木马(win32.trojdownloader.bmwat.ex.117184)，闪屏炸弹木马(win32.troj.splashscreen.os.299008)等.

(5)利用手机的BUG攻击:这类病毒一般是在便携式信息设备的“EPOC”上运行，如“EPOCALARM”、“EPOC-BANDINFO.A”、“EPOC-FAKE.A”、“EPOC-GHOST.A”、“EPOC-ALIGHT.A”等.

(6)通过USB盘进行传播.如CardTrap.

(7)通过第三方APP商店及APP论坛等平台传播.如山寨POCO病毒就是通过第三方APP商店及APP论坛等平台大量传播，用户一旦轻信后下载，手机会立刻中毒，并在不知不觉中被捆绑恶意推送程序，大量占用手机流量，届时手机资费将被消耗一空，甚至因欠费被停机.

3 手机病毒木马程序的危害

中国反网络病毒联盟(ANVA)在2011年底提出的《移动互联网恶意程序定义与命名规范》上，明确划分了手机病毒木马程序给移动用户造成的八大类危害.

(1)恶意扣费.恶意扣费行为是指在用户不知情或未授机的情况下，通过隐蔽执行、欺骗用户点击等手段，订购各类收费业务或使用移动终端支付，导致用户直接经济损失.如扣费歪歪病毒、伪来电狗等病毒.

(2)隐私窃取.隐私窃取是指在用户不知情或未授权的情况下，获取涉及用户个人信息的行为，导致用户个人照片、手机号码、隐秘短信、日程安排、各种网络帐号、银行账号和密码等重要信息泄露，有可能被不法人员利用进行欺诈勒索、违法传播等活动.如资费魔怪、引渡病毒等.

(3)远程控制.远程控制是在用户不知情或未授权的情况下，能够接受远程控制端指令并进行相关操作，受此类病毒感染的个人手机会成为控制者的肉鸡.如红透透、伪视听等病毒.

(4)恶意传播.自动通过复制、感染、投递、下载等方式将自身、自身的衍生物或其它恶意代码进行扩散的恶意行为，并使用户蒙受数据流量损失或成为恶意程序的传播者.如饥渴吸费魔、伪无线上网等病毒.

(5)资费消耗.资费消耗是指用户不知情或未授权的情况下，通过自动拨打电话、发送短信、彩信、邮件、频繁连接网络等方式，导致用户资费损失.此类危害行为带来的危险后果是不断消耗用户话费，给用户带来经济损失，如系统设置吸费王、伪安装助手等病毒.

(6)系统破坏.系统破坏是通过感染、劫持、篡改、删除、终止进程等手段导致移动终端或其它非恶意软件部分或全部功能、用户文件等无法正常使用的，干扰、破坏、阻断移动通信网络、网络服务或其它合法业务正常运行的行为.其危险后果主要表现为系统破坏，导致用户手机无法正常使用，损害用户利益，如短信狂魔、伪SIS包装等病毒.

(7)诱骗欺诈.诱骗欺诈是指自动通过伪造、篡改、劫持短信、彩信、邮件、通讯录、通话记录、收藏夹、桌面等方式，诱骗用户，而达到不正当目的的恶意行为.产生的危害后果是通过欺骗使用户利益损失.

(8)流氓行为.对于执行后对系统没有直接损害，也不对用户个人信息、资费造成分割的其它恶意行为都是流氓行为.危险后果主要表现为间接地对用户手机造成影响，使用户不能方便地使用手机，并给用户手机带来安全隐患，如短信僵尸、伪存储卡等病毒.

从社会学角度看手机病毒和木马等恶意软件对移动互联网安全造成的危害来划分:经济类危害、信用类危害、信息类危害、设备类危害、窃听监听、骚扰电话和垃圾短信.

4 典型病毒案例分析

目前，手机病毒的编写、运行和传播离不开两个方面:第一是数据传输，第二是在手机操作系统平台上利用如Java等高级语言写入程序.

2014年1月2日被曝光的#银行悍匪#(a.rogue.bankrobber)的手机木马，被称为目前国内最危险的手机银行病毒，中毒用户数高达1.08亿.它已经被打包到诸多知名应用和游戏中，如附着在“坦克大战”游戏，诱使用户下载安装.该木马可高度模仿真正的手机银行软件，窃取用户银行存款，可读取淘宝以及22家银行手机客户端软件账号密码信息，还可后台卸载安全软件，窃取用户手机短信、通话记录，并可后台私自发短信控制手机.

(1)运行过程

银行悍匪病毒由母程序和子程序两部分组成，母程序中含有恶意子程序.首先病毒会诱导用户安装恶意子程序，子程序被安装后隐藏安装图标，使得普通用户很难发现对应程序，避免被用户卸载;然后强迫用户激活设备管理器，获取安卓操作系统ROOT权限，删除SU文件，并静默卸载手机已安装的杀毒软件.

(2)病毒的流氓行为特征

银行悍匪病毒首先会监听淘宝购物网站手机客户端以及22家银行的手机客户端，当被控手机运行这些APP应用窗口时，会强制结束进程，同时弹出悬浮窗口骗取用户账号和密码.该病毒还会窃取用户手机信息、短信信息和用户通话记录信息，并把这些信息以短信的形式发送到号码为1454＊＊＊＊＊37的手机上，给用户造成个人信息泄露和严重的资金被盗风险.其次是攻击手机已安装的国内主流安全软件，并强行卸载安全软件，增强自身安全性.第三是自动隐藏安装图标，躲避用户卸载.

(3)攻击国内主流安全软件和监听购物网站和银行客户端

银行悍匪病毒所攻击的国内主流安全软件包括:奇虎360安全卫士、腾讯手机管家、金山卫士、金山杀毒软件、安管佳科技公司的安全管家等.

在监听方面可以读取手机中安装的淘宝购物客户端和22家银行客户端APP信息.这22家银行APP信息包括:中国银行、农业银行、招商银行、光大银行、广发银行、兴业银行、邮储银行、中信银行、民生银行、南京银行、浦发银行、平安银行、广州农商银行、上海银行、重庆银行、四川银行、华夏银行、湖州银行、青岛银行、泰隆银行、杭州银行、昆仑银行等.

(4)防范措施

①安装并进入腾讯手机管家，在安全防护中找到病毒查杀一栏如图1(a)所示.② 进入病毒查杀功能后，点击下方按钮，对手机进行病毒扫描及杀毒如图1(b)所示.③若扫描时遇到有危险的软件，手机管家会立即查处并“卸载”，即可清除病毒如图1(c)所示［9］.④ 在病毒查杀的“设置”选项中还可手动进行“病毒扫描模式”设置和“更新病毒库”，如图1(d)、1(e)所示.

图1 防范措施示意图

5 手机病毒的防范措施

移动互联网信息安全最突出的两个问题是手机病毒和个人信息的泄漏，如何预防、如何防范是摆在我们面前急需解决的问题.一方面需要电信运营商、手机制造商和移动互联网安全产品公司的密切配合，通力合作，打造一个良好的安全的运行环境;另一方面也需要手机用户、移动互联网网民改变观念，提高个人素养，养成良好的上网习惯［10］.

(1)不接受不安全的链接［11］.这包括不随意打开短信链接;不随意接受陌生设备的连接请求;不打开来路不明的彩信图片与链接;不去浏览色情网站.

(2)注意软件的安装来源.不要下载来路不明的手机软件;下载软件前要看看软件的评论和软件安装时要求开放的权限，如果软件要求开放的权限与软件功能明显不符，就要特别小心了;不把手机连接到他人电脑上去安装软件;要特别留意“山寨机”预装的软件.

(3)注意无线传输的安全问题.在公共场所，如果没有特殊情况，最好是关闭蓝牙、红外接收功能.不连接无密码保护的wifi无线路由器，如果需要连接无线路由，可以事先确认是否是商家免费提供的wifi，确保安全.

(4)不打开查看乱码短信内容.

(5)安装正规厂家的安全软件，养成定期查杀病毒习惯.

(6)注意敏感信息的安全保护.如设置手机屏幕密码锁;安装手机防盗软件;网银账户密码和身份证号码等重要信息不要储存在手机里.

(7)尽量选择闭源操作系统的手机.Andriod的操作系统是开源的，IOS是闭源操作系统.采用没有越狱的闭源操作系统的手机病毒较少［12］.

6 结语

中国移动互联网的快速发展，得益于中国的改革开放政策、中国经济的持续发展和国际先进技术和经验.中国移动互联网的发展也极大地促进了中国科技、经济、政治、社会、文化的发展，促进了中国社会文明进步和人民生活水平的提高.针对手机病毒和木马程序在移动媒体中的泛滥和对个人和集体信息安全的威胁，加强手机病毒的防范措施，提高个人素养，养成良好的上网习惯显得尤为重要.

［1］中国互联网络信息中心(CNNIC).第33次中国互联网络发展状况统计报告［Z］，2014-01-16.

［2］魏 亮.移动互联网安全框架［J］.中兴通讯技术，2009，(4):28～29.

［3］胡 春.中国移动互联网盈利模式分析［J］.易观国际.2008，(1):133～134.

［4］冯薇薇.移动互联网恶意程序监控防治系统部署方案及关键技术［J］.广东通信技术，2013，(11):19～20.

［5］冯晓冬，宋 丽.恶意程序监控系统在移动互联网安全防护中的应用［J］.电信技术，2013，(5):45～46.

［6］范媛媛.手机病毒传播模型与分析技术研究［D］.北京:北京邮电大学，2011.

［7］王 林，李艳萍.手机病毒在通信网络上的传播［J］.复杂系统与复杂性科学，2007，(4)，22～23.

［8］李金徽.高校公共机房ARP病毒防范策略［J］.吉林师范大学学报(自然科学版)，2009，30(1):12～14.

［9］崔 成.浅析计算机犯罪及计算机侦查取证技术［J］.净月学刊，2013，(4):54～55.

［10］杜宝民，杜奕秋，王建生.谈谈计算机病毒［J］.吉林师范大学学报(自然科学版)，2003，24(3):86～87.

［11］史 楠.互联网时代对于网络和计算机犯罪的防范与管制手段分析［J］.净月学刊，2013，(4):98～99.

［12］郑昌兴.手机病毒防治方法及其发展趋势分析［J］.信息技术，2010，(2):122～124.