智能手機的病毒攻防

賈建忠

烏魯木齊職業大學 新疆 830001

0 引言

手機智能化帶來了智能終端業務類型的極大發展，針對智能手機的惡意代碼和黑色產業鏈也日益猖獗。擁有開放式操作系統的智能終端，也將經歷個人電腦發展過程中病毒軟件的侵擾。2011年網絡監測平臺查殺到手機惡意軟件24794款，同比增長266%，中國大陸地區2011全年累計感染智能手機1152萬部，同比增長44%。與計算機病毒不同的是，目前智能手機病毒的目的主要是信息竊取、惡意扣費、垃圾信息傳播、強行訂制業務等方面，而破壞手機硬件功能的病毒并不多。如：2010年9月第一周爆發的“手機僵尸病毒”，造成約100萬部手機感染，每天200萬元話費被暗中扣除。2011年位列十大手機惡意病毒的“短信竊賊”，可將Android平臺下的手機用戶的短信發送至指定郵箱，造成嚴重信息安全威脅。

1 智能手機病毒的主要類型和攻擊手段

1.1 惡意扣費類

此類病毒的共同特點是通過偽裝成其他用戶感興趣的軟件誘騙用戶安裝，后通過后臺操作消耗手機資費或誘騙用戶主動將銀行賬號、股票密碼等重要數據提交到非法網站造成重大損失。由于移動、聯通等運營商為規范內容提供商的行為，減少強制性訂制服務的發生和投訴，在其MISC管理平臺設定了服務訂制的用戶的主動提交、二次確認、72小時內取消等預防措施，新出現的惡意扣費類病毒又采取截獲、替換服務訂制確認和資費告知短信的方式使用戶無法收到運營商的反饋信息。有代表性的扣費類惡意病毒有：食人魚、釣魚王(InSpirit.A)、古墓麗影(MsSver.A)、扣費大師、安卓吸費王(MSO.PJApps.J)、AVK. Upadapter.Q等。

1.2 系統破壞類

此類病毒偽裝誘騙用戶安裝后，對用戶手機的軟、硬件功能造成一定程度的破壞，有時并不一定是以損壞用戶手機為最終目的，而是通過對系統功能的破壞掩護其盜費、竊取信息、傳播惡意代碼的目的。常見侵害手段如下：(1)偽裝成更新軟件包，在后臺運行并通過遠程服務器派發惡意指令，獲取root權限，將代碼植入系統文件夾，導致手機無法卸載可疑程序，系統程序被修改，正常軟件被破壞，信息失竊等嚴重問題；(2)迅速消耗電池電量并自動在一定范圍內搜索了開啟藍牙功能的手機，向其傳染；(3)專門破壞手機殺毒軟件，使其不能正常運行，并使自己難以卸載以便定時發動其他惡意攻擊；(4)通過騙取系統管理權限，復制、修改、刪除用戶的通訊錄、郵件、記事本信息或造成手機死機、重啟困難等；(5)通過下載、隱藏在彩信中等方式傳播惡意代碼，形成“僵尸網絡”，帶來大面積、高層次手機網絡攻擊；(6)修改手機程序的可執行文件并在本機程序間傳染，造成軟件無法正常啟動、異常退出等后果；⑺破壞用戶特定內容的短信信息，造成數據丟失。常見的系統破壞類病毒有：ikee、Phage、Doomboot.E、Cabir.S、假面防盜等。

1.3 信息盜取類

此類病毒通常以加密、修改系統設置、降低安全級別、遠程控制等手段暗中隱藏，以窺探、修改、盜用、傳播用戶的私密信息為目的，造成用戶隱私侵害，財產損失等嚴重后果。常見侵害方式如下：(1)中毒手機主動搜索附近開啟藍牙功能的手機并配對，一旦成功則控制其他手機發送短信、撥打電話、掛斷電話等，被控手機無需安裝病毒軟件也沒有日志記載；(2)欺騙安裝后，作為間諜軟件的客戶端以某種方式隱藏，記錄手機的通話信息、短信及其他信息并發送到指定的服務器。竊密者通過登錄該服務器盜取手機用戶隱私。甚至可以私自開啟手機聽話筒，進行實施監聽；(3)將病毒體影藏在常用手機炒股軟件中，在后臺運行，盜取用戶股票賬戶信息并發送到指定網站；(4)病毒內嵌偷盜者手機號碼，安裝執行后，一旦用戶登錄銀行手機客戶端軟件，即向指定號碼發送用戶的賬號、密碼信息，造成嚴重經濟損失；(5)盜取用戶收發的短信信息、通訊錄、彩信等發送到指定手機上；(6)通過遠程網站控制，修改手機系統設置、降低安全級別，以盜取更多信息；(7)加密隱藏自身，泄露移動設備身份碼(IMEI)、用戶識別碼(IMSI)、殺毒軟件、已安裝的軟件等信息，帶來潛在威脅；常見如：藍色妖姬（BTHack.A）、WinCE.MobileSpy.A、X臥底、電話殺手等。

1.4 流氓欺詐類

該類病毒的特點是以較強的欺騙性誘使用戶下載安裝，自動或手動運行，進行垃圾廣告傳播、偽造身份后的虛假中獎消息、虛假賬戶消息、欺詐彩信消息發布，并且通常以關閉、破壞手機殺毒軟件、關閉用戶進程等方式保護自身，難以發現、清除、卸載。還有個別惡作劇類型的病毒可向手機用戶發送大量垃圾信息、刪除通訊記錄、修改用戶短信內容、破壞用戶程序的正常執行、強占用戶資源以降低用戶的使用感受。如：s.rogue.Worms.a、PH.LocalMMS.E、手機獸醫（s.system.Syssrv.g）、a.fraud.FakeApp s.d等病毒。

2 智能手機病毒發展趨勢

2.1 針對新出現的網絡業務類型，設計新的攻擊模式

目前手機的用途已經遠遠超越了打電話這個范疇，而是發展為瀏覽網頁、上傳下載各類資料，在線實時通訊、觀看網絡電視、衛星定位、網絡游戲，網上聊天，視頻電話會議，電子商務，在線炒股，網上支付等多種應用集為一體的智能終端。3G技術帶來的高數據傳輸速率使得手機運營商、服務商的業務范圍和種類越來越豐富。隨著新技術的成熟、資費下降，越來越多的服務類型將隨之出現并被人們所接受。智能終端業務飛速上升所產生的巨大經濟效益是手機病毒產業鏈存在和發展的原因。新病毒及其變種將針對不同的新服務、新業務通過基站植入、彩信植入、無線通訊植入、網管植入、操作系統漏洞植入、欺騙植入等多種方式危害智能手機通訊安全。病毒制造者及其利益相關者也將不斷變換攻擊策略、設計新的攻擊模式以攫取非法收入。

2.2 加強隱蔽性、欺詐性、復合性

從以上智能手機病毒的攻擊手段中不難發現，現有病毒通常以某種方式隱藏自己，欺騙用戶下載安裝、或偽裝為無害信息誤導用戶配合點擊，然后實施不法侵害。并且很多危害行為通過后臺執行難以發現，即使發現，侵害后果已經造成。部分惡意程序還使用阻礙殺毒進程、反復感染、遠程控制、修改系統設置、盜取管理員權限、對外傳播等流氓手段給清除病毒造成障礙。隨著人們對手機殺毒程序的重視，病毒的活動空間將進一步受到限制。新產生的病毒或將采用如下方式拓展生存空間：(1)采取PC機下載、藍牙傳輸、無線傳播、網頁鏈接等方式多種途徑共用；(2)作為系統進程隱匿或直接修改系統文件；(3)加強對智能手機下載資源網站的入侵或者自行建立具有身份偽造特征和強烈欺騙性的WAP網站；(4)發動多種方式并用的復合攻擊，并配合以系統功能的破壞手段；(5)多種軟件依附能力甚至能夠動態選擇依附對象。

2.3 零日攻擊，危害性強于計算機病毒

任何操作系統及應用程序都不能保證在發布之時就是完美的，無漏洞的。事實上，每千行代碼就可能產生若干個個漏洞。目前常用的手機操作系統Symbian、Android、Windows Mobile、iPhone IOS也是如此。操作系統發布后通過運行反饋和后期測試不斷發布補丁修補漏洞。這就為黑客發動零日攻擊創造了條件。黑客通過反匯編等手段查找系統漏洞，編寫攻擊腳本，其危害性體現在一個突發性上。殺毒軟件和其他防御措施現階段是通過攻擊特征檢測的方式來檢測新出現的病毒及變種，并修補漏洞，通常需要幾天時間去發現、測試和發布補丁。而零日攻擊的特點就是突然進行集中、密集、大范圍的傳播，很短的時間內造成侵害事實。針對智能手機發動的零日攻擊其危害性更甚與計算機，這是由手機的聯網業務類型豐富、資費方式靈活、個人信息集中等特點所決定的。此外目前的主動防御技術還不能完全避免漏報、錯報等情況的發生。相信智能手機惡意軟件制造者會充分利用這一手段，對智能手機及其網絡系統不斷發動此類攻擊。

2.4 跨平臺攻擊，擴大覆蓋范圍

目前智能手機操作系統平臺處于一種群雄并立的格局，多數惡意軟件受制于系統平臺和應用軟件的限制，無法擴大侵害范圍。可預見的是，隨著智能手機產業自身的發展、一些市場份額小的，運作不良的平臺會逐步消失，以期為用戶提供更加集中的優質服務，但隨之帶來的是病毒侵害的方便性和集中性。病毒制造者及其幕后產業鏈會不斷評估編制適應于多應用環境、多傳播渠道、不同操作系統平臺的超級病毒的可能性并等待時機發動襲擊。當然，如果操作系統平臺進行某種程度的融合也可促使安裝防御技術力量的增強并形成合力。

3 如何避免智能手機病毒侵擾

3.1 智能手機用戶的自我防范

好的使用習慣可以最大程度的降低智能手機中毒的可能性。用戶通常難以割舍在乘車、外出空閑期、短暫的無聊時間使用智能手機打發時間的樂趣。用戶也大多沒有軟件病毒專業性的知識。但，注意到以下幾點十分必要：(1)安裝殺毒軟件，支付一些購買費用是值得的；(2)去有信譽，網友評價好的網站下載軟件。運行前查毒；(3)對自己跳出來的頁面或鏈接保持警惕，雖然通常這樣的頁面有一定的誘惑力；(4)不要回復不認識人的古怪的短信、彩信，尤其是含有古怪字符的；(5)不要相信那些網頁或者短信中的中獎信息，如果怕錯失機會，就請專業人士幫助你去追查其來源，網頁來的通常查一下域名或IP就可發現問題；(6)最好安裝運營商或第三方軟件廠商提供的流量查詢軟件，用手機直接下載視頻或復雜游戲前明確你的免費流量夠不夠用；(7)每月查明細賬單，確認有沒有意外支出，及時取消莫名其妙的所謂收費服務；(8)對手機最近出現的反常狀況保持警惕，比如：上網時彈出莫名其妙的窗口、反映變慢、充電增多；(9)沒有足夠的防護不要在手機上網時輸入私密賬戶或密碼，除非你確認沒有中毒及鏈接來源可靠；(10)用手機上網時打開的銀行、證券網站有可能會是假冒的，不要從網頁顯示的內容來判斷其是否可靠；(11)在電視上看到的有獎問答或觀眾短信參與收費節目，發送了一條，對方回復多條或沒完沒了定期回復的，查詢賬單看看有沒有意外扣費；(12)未接來電只響一兩、聲號碼古怪的不要回電，有被轉接到收費服務號碼的可能性。

3.2 設立第三方監管機構規范行業行為

智能手機增值業務是由電信服務商提供網絡技術平臺，服務提供商提供內容和服務供用戶選擇，產生的費用由運營商代扣。在過去的4到5年時間內，各SP公司為了獲取服務受益，開展了五花八門的服務種類，豐富了智能手機應用領域。但也有不少SP公司采取各種欺騙或不明確告之的手段吸取用戶資費，或者和手機廠商合作將吸費軟件固化于手機產品中，山寨手機尤為嚴重。關于這方面的投訴和法律訴訟層出不窮。為保障用戶權益，2006年信息產業部及電信運營商規定增值業務申請需要“二次確認”的流程。但很多服務商為謀取暴利，用過各種手段和理由避免二次確認過程，甚至于花錢購買惡意代碼截獲并替換二次確認信息。應當說電信部門對違規SP服務商的管理及處罰力度還是有所欠缺的，且考慮到由運營商代扣資費的因素，導致不少受侵害手機用戶對運營商本身的不信任。隨著智能手機增值業務的不斷發展，為規范行業行為應設立第三方監管機構并制訂可操作性的法律法規監督智能手機服務業務利益鏈條上所涉及的各類實體的業務行為，斬斷灰色產業鏈生存和發展的空間。

3.3 網站安全和管理

智能手機上WAP網站進行瀏覽、點擊鏈接、下載、提交等操作，有安全風險。病毒可攻擊WAP服務器使網站帶毒。不良網站建立者也可故意在其頁面中設置惡意鏈接或提供所謂免費下載為引誘的病毒下載服務。而發布一個WAP網站只需具有普通的二級域名即可，門檻比較低，故監管工作有難度。對于直接訪問WWW服務的智能手機，安全形勢更不樂觀。國家、工信部、各省通信管理部門對不良網站的危害非常重視，不斷開展整治行動，關閉、屏蔽了一大批傳播有害信息、有欺詐惡意行為的網站，有效遏制了網絡安全形勢的惡化。但隨著一些有害網站的境外化、換域名、改IP、重定向等手段的使用，使得打擊難度上升。目前我國網站監管的技術手段和責任落實還要加強。

[1] 百度百科.智能手機.http://baike.baidu.com/view/535.htm.

[2] 北京網秦天下科技有限公司.2011年中國大陸地區手機安全報告[M].2012.

[3] 朱圣軍,劉功申,羅俊,陶春和.智能手機病毒與信息安全[J].信息安全與通訊保密.2011.

[4] 黑基網.零日攻擊的原理與防范方法.http://www.hackbase.com/tech/2010-09-14/61203.html.