手机安全介绍

移动互联网背景下的
传统反病毒方法
困局
安天实验室
创 造 就 是 我 们 的 脚 步

提纲
移动恶意代码现状 传统的困局 困局的分析 破局的尝试
创 造 就 是 我 们 的 脚 步

移动恶意代码现状
创
造
就 是 我 们 的 脚 步

移动终端恶意代码的发展史
iKee → iBotnet.A →iPhone/Privacy.A
安全形势
Moblie Spy 签名绕过 SexySpace
业务内容 短信 设备能力 132M HZ 终端产品 200M HZ 450M HZ 600HZ 800HZ 1G HZ 彩信 WAP推送 Internet app more
2000
2004
2006
2008
2010
2001
2005
2007
2009
201x
通信技术 GSM＋SMS GPRS＋WAP EDGE 3G
创 造
⋯⋯
就 是 我 们 的 脚 步
（以上部分数据有一定地域特性）

手机恶意代码规模
链路 威胁
22种 4个 (家族) 47个 (家族)
6种 37个 (家族)
创 造 就 是 我 们 的 脚 步

伴随应用而来
安装后：原厂安装软件 VS被第三方修改后的软件
带有恶意功能的游戏 骗取合法签名
创 造 就 是 我 们 的 脚 步

捆绑和伪装
真实的Magic
创
造
就 是 我 们 的 脚 步

捆绑——结构变化
捆绑前
捆绑后
创
造
就 是 我 们 的 脚 步

捆绑——长度变化
捆绑前：61kb 捆绑后：98kb
Android恶意代码的源码级捆绑
创 造 就 是 我 们 的 脚 步

背后的真实：无边界战争
植入捆绑
正常 软件 模块
恶意篡改
恶意 代码 模块
恶意 软件
正常 软件 模块
第三 方模 块
流氓 软件
植入捆绑
正常 软件 模块
潜伏 恶意 代码
远端 控制 接口
创 造
潜在 恶意 软件
就 是 我 们 的 脚 步

远程控制
创
造
就 是 我 们 的 脚 步

跨平台-手机+PC双态
SymbianUpdateSrv.exe 912812352001_3rd.sisx
启动和更新模块
0xe61caca0.dat （实际为jar） symbianDL.exe dlinstall.dat （实际为sisx）
功能伪装模块
多个class文件 install.dat20 （实际为sisx）
下载模块
symbianStarter.exe symbianSrv.exe
环境清理模块 服务监控模块
symbianChkServer.exe
心跳远控模块
创 造 就 是 我 们 的 脚 步

跨平台-手机+PC信息聚合
Android Windows PC平台 Zeus Zitmo Symbian WM/WP
账号密码 随机验证码
移动平台
攻击者 网银
创 造 就 是 我 们 的 脚 步

传统反病毒方法的困局
创
造
就 是 我 们 的 脚 步

传统反病毒方法
捕获 体系
蜜罐 诱饵信箱 自动上报 用户上报 流量捕获
产品 体系 分析 体系
主机产品 安全设备
创
造
就 是 我 们 的 脚 步

困局之样本捕获——捕获手段
终端样本捕获
• 流量资费 • 用户隐私 • 终端覆盖率 • 部署成本 • 捕获效力 • 采集困难
• 用户上报意识 • 用户鉴别能力 • 样本的采集方法 • 捕获基础建设 • 设备部署 • 运营商配合 • 用户隐私
蜜罐技术
用户上报
网络捕获
？
创 造 就 是 我 们 的 脚 步

困局之样本捕获——样本上传
平台 Symbian Android J2ME WindowsMobile 未知应用平均大小 774K 1420K 138K 564K
创
造
就 是 我 们 的 脚 步

困局之终端安全检测技术
防护层次 清除技术 研发投入 用户意愿
• 权限和技术手段不对等 • 性能和环境限制 • 自我保护困难 • 单一的应用卸载方式 • 部分情况无法清除
• 多平台多版本 • 难以统一维护
• 愿意冒风险 • 缺乏主动意识
创
造
就 是 我 们 的 脚 步

困局之网络监控和检测
移动互联网物理构成和通信协议差异与复 杂性 • TDSCDMA • WCDMA • CDMA2000 难以监控的通信方式 • 蓝牙 • USB 线下社会传播渠道 • 固件植入和传播 • 手机销售商预装
创 造 就 是 我 们 的 脚 步

困局之分析代价
资源压力
15 10 5 0 自动化静态分析 自动化动态分析 传统病毒 人工分析 手机病毒 特征提取
自动化动态分析 – 养殖平均时间1-2小时 – 缺乏完备的虚拟机产品，部分情况需要真机支持 人工分析 – 对部分情况需要做深入和跟踪养殖才可判定 – 恶意代码形态变化快
创 造 就 是 我 们 的 脚 步