智能手机的病毒攻防

2012.4
40智能手机的病毒攻防
贾建忠
乌鲁木齐职业大学 新疆 830001
摘要：智能手机市场发展蕴含着巨大商机，也给病毒制造者带来了足够的动力。

本文对目前主要的智能手机病毒侵入方式及侵害结果进行分类描述，对其发展趋势进行预测，并从普通用户、业务监管、网站监督等角度探讨如何应对智能手机病毒危害。

关键词：智能手机；业务；病毒；发展趋势
0 引言
手机智能化带来了智能终端业务类型的极大发展，针对智能手机的恶意代码和黑色产业链也日益猖獗。

拥有开放式操作系统的智能终端，也将经历个人电脑发展过程中病毒软件的侵扰。

2011年网络监测平台查杀到手机恶意软件
24794款，同比增长266%，中国大陆地区2011全年累计感染智能手机1152万部，同比增长44%。

与计算机病毒不同的是，目前智能手机病毒的目的主要是信息窃取、恶意扣费、垃圾信息传播、强行订制业务等方面，而破坏手机硬件功能的病毒并不多。

如：2010年9月第一周爆发的“手机僵尸病毒”，造成约100万部手机感染，每天200万元话费被暗中扣除。

2011年位列十大手机恶意病毒的“短信窃贼”，可将Android 平台下的手机用户的短信发送至指定邮箱，造成严重信息安全威胁。

1 智能手机病毒的主要类型和攻击手段 1.1 恶意扣费类
此类病毒的共同特点是通过伪装成其他用户感兴趣的软件诱骗用户安装，后通过后台操作消耗手机资费或诱骗用户主动将银行账号、股票密码等重要数据提交到非法网站造成重大损失。

由于移动、联通等运营商为规范内容提供商的行为，减少强制性订制服务的发生和投诉，在其MISC 管理平台设定了服务订制的用户的主动提交、二次确认、72小时内取消等预防措施，新出现的恶意扣费类病毒又采取截获、 替换服务订制确认和资费告知短信的方式使用户无法收到运营商的反馈信息。

有代表性的扣费类恶意病毒有：食人鱼、钓鱼王(InSpirit.A)、古墓丽影(MsSver.A)、扣费大师、安卓吸费王(MSO.PJApps.J)、AVK. Upadapter.Q 等。

1.2 系统破坏类
此类病毒伪装诱骗用户安装后，对用户手机的软、硬件功能造成一定程度的破坏，有时并不一定是以损坏用户手机为最终目的，而是通过对系统功能的破坏掩护其盗费、窃取 信息、传播恶意代码的目的。

常见侵害手段如下：(1)伪装成更新软件包，在后台运行并通过远程服务器派发恶意指令，获取
root 权限，将代码植入系统文件夹，导致手机无法卸载可疑程序，系统程序被修改，正常软件被破坏，信息失窃等严重问题；
(2)迅速消耗电池电量并自动在一定范围内搜索了开启蓝牙功能的手机，向其传染；(3)专门破坏手机杀毒软件，使其不能正常运行，并使自己难以卸载以便定时发动其他恶意攻击；(4)通过骗取系统管理权限，复制、修改、删除用户的通讯录、邮件、记事本信息或造成手机死机、重启困难等；(5)通过下载、隐藏在彩信中等方式传播恶意代码，形成“僵尸网络”，带来大面积、高层次手机网络攻击；(6)修改手机程序的可执行文件并在本机程序间传染，造成软件无法正常启动、异常退出等后果；⑺破坏用户特定内容的短信信息，造成数据丢失。

常见的系统破坏类病毒有：ikee 、Phage 、Doomboot.E 、Cabir.S 、假面防盗等。

1.3 信息盗取类
此类病毒通常以加密、修改系统设置、降低安全级别、远程控制等手段暗中隐藏，以窥探、修改、盗用、传播用户的私密信息为目的，造成用户隐私侵害，财产损失等严重后果。

常见侵害方式如下：(1)中毒手机主动搜索附近开启蓝牙功能的手 机并配对，一旦成功则控制其他手机发送短信、拨打电话、挂断电话等，被控手机无需安装病毒软件也没有日志记载；(2)欺骗安装后，作为间谍软件的客户端以某种方式隐藏，记录手机
2012.4
41
的通话信息、短信及其他信息并发送到指定的服务器。

窃密者通过登录该服务器盗取手机用户隐私。

甚至可以私自开启手机听话筒，进行实施监听；(3)将病毒体影藏在常用手机炒股软件中，在后台运行，盗取用户股票账户信息并发送到指定网站；
(4)病毒内嵌偷盗者手机号码，安装执行后，一旦用户登录银行手机客户端软件，即向指定号码发送用户的账号、密码信息，造成严重经济损失；(5)盗取用户收发的短信信息、通讯录、彩信等发送到指定手机上；(6)通过远程网站控制，修改手机系统设置、降低安全级别，以盗取更多信息；(7)加密隐藏自身，泄露移动设备身份码(IMEI)、用户识别码(IMSI)、杀毒软件、已安装的软件等信息，带来潜在威胁；常见如：蓝色妖姬（BTHack.A ）、WinCE.MobileSpy.A 、X 卧底、电话杀手等。

1.4 流氓欺诈类
该类病毒的特点是以较强的欺骗性诱使用户下载安装，自动或手动运行，进行垃圾广告传播、伪造身份后的虚假中奖消息、虚假账户消息、欺诈彩信消息发布，并且通常以关闭、破坏手机杀毒软件、关闭用户进程等方式保护自身，难 以发现、清除、卸载。

还有个别恶作剧类型的病毒可向手机
用户发送大量垃圾信息、删除通讯记录、修改用户短信内容、 破坏用户程序的正常执行、强占用户资源以降低用户的使用 感受。

如：s.rogue.Worms.a 、PH.LocalMMS.E 、手机兽医（s.system.Syssrv.g ）、a.fraud.FakeApp s.d 等病毒。

2 智能手机病毒发展趋势
2.1 针对新出现的网络业务类型，设计新的攻击模式
目前手机的用途已经远远超越了打电话这个范畴，而是发展为浏览网页、上传下载各类资料，在线实时通讯、观看网络电视、卫星定位、网络游戏，网上聊天，视频电话会议，电子商务，在线炒股，网上支付等多种应用集为一体的智能终端。

3G 技术带来的高数据传输速率使得手机运营商、服务商的业务范围和种类越来越丰富。

随着新技术的成熟、资费下降，越来越多的服务类型将随之出现并被人们所接受。

智能终端业务飞速上升所产生的巨大经济效益是手机病毒产业链存在和发展的原因。

新病毒及其变种将针对不同的新服务、新业务通过基站植入、彩信植入、无线通讯植入、网管植入、操作系统漏洞植入、欺骗植入等多种方式危害智能手机通讯安全。

病毒制造者及其利益相关者也将不断变换攻击策略、设计新的攻击模式以攫取非法收入。

2.2 加强隐蔽性、欺诈性、复合性
从以上智能手机病毒的攻击手段中不难发现，现有病毒
通常以某种方式隐藏自己，欺骗用户下载安装、或伪装为无害信息误导用户配合点击，然后实施不法侵害。

并且很多危害行为通过后台执行难以发现，即使发现，侵害后果已经造成。

部分恶意程序还使用阻碍杀毒进程、反复感染、远程控制、修改系统设置、盗取管理员权限、对外传播等流氓手段给清除病毒造成障碍。

随着人们对手机杀毒程序的重视，病毒的活动空间将进一步受到限制。

新产生的病毒或将采用如下方式拓展生存空间：(1)采取PC 机下载、蓝牙传输、无线传播、网页链接等方式多种途径共用；(2)作为系统进程隐匿或直接修改系统文件；(3)加强对智能手机下载资源网站的入侵或者自行建立具有身份伪造特征和强烈欺骗性的WAP 网站；(4)发动多种方式并用的复合攻击，并配合以系统功能的破坏手段；(5)多种软件依附能力甚至能够动态选择依附对象。

2.3 零日攻击，危害性强于计算机病毒
任何操作系统及应用程序都不能保证在发布之时就是完美的，无漏洞的。

事实上，每千行代码就可能产生若干个个漏洞。

目前常用的手机操作系统Symbian 、Android 、
Windows Mobile 、iPhone IOS 也是如此。

操作系统发布后通 过运行反馈和后期测试不断发布补丁修补漏洞。

这就为黑客发动零日攻击创造了条件。

黑客通过反汇编等手段查找系统漏 洞，编写攻击脚本，其危害性体现在一个突发性上。

杀毒软件和其他防御措施现阶段是通过攻击特征检测的方式来检测新出 现的病毒及变种，并修补漏洞，通常需要几天时间去发现、测试和发布补丁。

而零日攻击的特点就是突然进行集中、密集、大范围的传播，很短的时间内造成侵害事实。

针对智能手机发动的零日攻击其危害性更甚与计算机，这是由手机的联网业务类型丰富、资费方式灵活、个人信息集中等特点所决定的。

此外目前的主动防御技术还不能完全避免漏报、错报等情况的发生。

相信智能手机恶意软件制造者会充分利用这一手段，对智能手机及其网络系统不断发动此类攻击。

2.4 跨平台攻击，扩大覆盖范围
目前智能手机操作系统平台处于一种群雄并立的格局，多数恶意软件受制于系统平台和应用软件的限制，无法扩大侵害范围。

可预见的是，随着智能手机产业自身的发展、一些市场份额小的，运作不良的平台会逐步消失，以期为用户提供更加集中的优质服务，但随之带来的是病毒侵害的方便性和集中性。

病毒制造者及其幕后产业链会不断评估编制适应于多应用环境、多传播渠道、不同操作系统平台的超级病毒的可能性并等待时机发动袭击。

当然，如果操作系统平台进行某种程度的融合也可促使安装防御技术力量的增强并形成合力。

2012.4
423 如何避免智能手机病毒侵扰 3.1 智能手机用户的自我防范
好的使用习惯可以最大程度的降低智能手机中毒的可能性。

用户通常难以割舍在乘车、外出空闲期、短暂的无聊时间使用智能手机打发时间的乐趣。

用户也大多没有软件病毒专业性的知识。

但，注意到以下几点十分必要：(1)安装杀毒软件，支付一些购买费用是值得的；(2)去有信誉，网友评价好的网站下载软件。

运行前查毒；(3)对自己跳出来的页面或链接保持警惕，虽然通常这样的页面有一定的诱惑力；(4)不要回复不认识人的古怪的短信、彩信，尤其是含有古怪字符的；(5)不要相信那些网页或者短信中的中奖信息，如果怕错失机会，就请专业人士帮助你去追查其来源，网页来的通常查一下域名或IP 就可发现问题；(6)最好安装运营商或第三方软件厂商提供的流量查询软件，用手机直接下载视频或复杂游戏前明确你的免费流量够不够用；(7)每月查明细账单，确认有没有意外支出，及时取消莫名其妙的所谓收费服务；(8)对手机最近出现的反常状况保持警惕，比如：上网时弹出莫名其妙的窗口、反映变慢、充电增多；(9)没有足够的防护不要在手机上网时输入私密账户或密码，
除非你确认没有中毒及链接来源可靠；
(10)用手机上网时打开的 银行、证券网站有可能会是假冒的，不要从网页显示的内容来判断其是否可靠；(11)在电视上看到的有奖问答或观众短信参与收费节目，发送了一条，对方回复多条或没完没了定期回复的，
查询账单看看有没有意外扣费；
(12)未接来电只响一两、声号码 古怪的不要回电，有被转接到收费服务号码的可能性。

3.2 设立第三方监管机构规范行业行为
智能手机增值业务是由电信服务商提供网络技术平台，服务提供商提供内容和服务供用户选择，产生的费用由运营商代扣。

在过去的4到5年时间内，各SP 公司为了获取服务受益，开展了五花八门的服务种类，丰富了智能手机应用领域。

但也有不少SP 公司采取各种欺骗或不明确告之的手段吸取用户资费，或者和手机厂商合作将吸费软件固化于手 机产品中，山寨手机尤为严重。

关于这方面的投诉和法律诉讼层出不穷。

为保障用户权益，2006年信息产业部及电信运营商规定增值业务申请需要“二次确认”的流程。

但很多服务商为谋取暴利，用过各种手段和理由避免二次确认过程，甚至于花钱购买恶意代码截获并替换二次确认信息。

应当说电信部门对违规SP 服务商的管理及处罚力度还是有所欠缺的，且考虑到由运营商代扣资费的因素，导致不少受侵害手机用户对运营商本身的不信任。

随着智能手机增值业务的不断发展，为规范行业行为应设立第三方监管机构并制订可操作性的法律法规监督智能手机服务业务利益链条上所涉及的各类实体的业务行为，斩断灰色产业链生存和发展的空间。

3.3 网站安全和管理
智能手机上WAP 网站进行浏览、点击链接、下载、提交等操作，有安全风险。

病毒可攻击WAP 服务器使网站带毒。

不良网站建立者也可故意在其页面中设置恶意链接或提供所谓免费下载为引诱的病毒下载服务。

而发布一个WAP 网站只需具有普通的二级域名即可，门槛比较低，故监管工作有难度。

对于直接访问WWW 服务的智能手机，安全形势更不乐观。

国家、工信部、各省通信管理部门对不良网站的危害非常重视，不断开展整治行动，关闭、屏蔽了一大批传播有害信息、有欺诈恶意行为的网站，有效遏制了网络安全形势的恶化。

但随着一些有害网站的境外化、换域名、改IP 、重定向等手段的使用，使得打击难度上升。

目前我国网站监管的技术手段和责任落实还要加强。

参考文献
[1]百度百科.智能手机./view/535.htm. [2]北京网秦天下科技有限公司.2011年中国大陆地区手机安全报告[M].2012.
[3]朱圣军,刘功申,罗俊,陶春和.智能手机病毒与信息安全[J].信息安全与通讯保密.2011.
[4]黑基网.零日攻击的原理与防范方法./ tech/2010-09-14/61203.html.
The smartphone market contains huge business opportunities,It bring enough power to the virus The smartphone;Business;Virus;Development trend。