智能手机的病毒攻防

2012.4

40智能手机的病毒攻防

贾建忠

乌鲁木齐职业大学 新疆 830001

摘要：智能手机市场发展蕴含着巨大商机，也给病毒制造者带来了足够的动力。本文对目前主要的智能手机病毒侵入方式及侵害结果进行分类描述，对其发展趋势进行预测，并从普通用户、业务监管、网站监督等角度探讨如何应对智能手机病毒危害。

关键词：智能手机；业务；病毒；发展趋势

0 引言

手机智能化带来了智能终端业务类型的极大发展，针对智能手机的恶意代码和黑色产业链也日益猖獗。拥有开放式操作系统的智能终端，也将经历个人电脑发展过程中病毒软件的侵扰。2011年网络监测平台查杀到手机恶意软件

24794款，同比增长266%，中国大陆地区2011全年累计感染智能手机1152万部，同比增长44%。与计算机病毒不同的是，目前智能手机病毒的目的主要是信息窃取、恶意扣费、垃圾信息传播、强行订制业务等方面，而破坏手机硬件功能的病毒并不多。如：2010年9月第一周爆发的“手机僵尸病毒”，造成约100万部手机感染，每天200万元话费被暗中扣除。2011年位列十大手机恶意病毒的“短信窃贼”，可将Android 平台下的手机用户的短信发送至指定邮箱，造成严重信息安全威胁。

1 智能手机病毒的主要类型和攻击手段 1.1 恶意扣费类

此类病毒的共同特点是通过伪装成其他用户感兴趣的软件诱骗用户安装，后通过后台操作消耗手机资费或诱骗用户主动将银行账号、股票密码等重要数据提交到非法网站造成重大损失。由于移动、联通等运营商为规范内容提供商的行为，减少强制性订制服务的发生和投诉，在其MISC 管理平台设定了服务订制的用户的主动提交、二次确认、72小时内取消等预防措施，新出现的恶意扣费类病毒又采取截获、 替换服务订制确认和资费告知短信的方式使用户无法收到运营商的反馈信息。有代表性的扣费类恶意病毒有：食人鱼、钓鱼王(InSpirit.A)、古墓丽影(MsSver.A)、扣费大师、安卓吸费王(MSO.PJApps.J)、AVK. Upadapter.Q 等。

1.2 系统破坏类

此类病毒伪装诱骗用户安装后，对用户手机的软、硬件功能造成一定程度的破坏，有时并不一定是以损坏用户手机为最终目的，而是通过对系统功能的破坏掩护其盗费、窃取 信息、传播恶意代码的目的。常见侵害手段如下：(1)伪装成更新软件包，在后台运行并通过远程服务器派发恶意指令，获取

root 权限，将代码植入系统文件夹，导致手机无法卸载可疑程序，系统程序被修改，正常软件被破坏，信息失窃等严重问题；

(2)迅速消耗电池电量并自动在一定范围内搜索了开启蓝牙功能的手机，向其传染；(3)专门破坏手机杀毒软件，使其不能正常运行，并使自己难以卸载以便定时发动其他恶意攻击；(4)通过骗取系统管理权限，复制、修改、删除用户的通讯录、邮件、记事本信息或造成手机死机、重启困难等；(5)通过下载、隐藏在彩信中等方式传播恶意代码，形成“僵尸网络”，带来大面积、高层次手机网络攻击；(6)修改手机程序的可执行文件并在本机程序间传染，造成软件无法正常启动、异常退出等后果；⑺破坏用户特定内容的短信信息，造成数据丢失。常见的系统破坏类病毒有：ikee 、Phage 、Doomboot.E 、Cabir.S 、假面防盗等。

1.3 信息盗取类

此类病毒通常以加密、修改系统设置、降低安全级别、远程控制等手段暗中隐藏，以窥探、修改、盗用、传播用户的私密信息为目的，造成用户隐私侵害，财产损失等严重后果。常见侵害方式如下：(1)中毒手机主动搜索附近开启蓝牙功能的手 机并配对，一旦成功则控制其他手机发送短信、拨打电话、挂断电话等，被控手机无需安装病毒软件也没有日志记载；(2)欺骗安装后，作为间谍软件的客户端以某种方式隐藏，记录手机

2012.4

41

的通话信息、短信及其他信息并发送到指定的服务器。窃密者通过登录该服务器盗取手机用户隐私。甚至可以私自开启手机听话筒，进行实施监听；(3)将病毒体影藏在常用手机炒股软件中，在后台运行，盗取用户股票账户信息并发送到指定网站；

(4)病毒内嵌偷盗者手机号码，安装执行后，一旦用户登录银行手机客户端软件，即向指定号码发送用户的账号、密码信息，造成严重经济损失；(5)盗取用户收发的短信信息、通讯录、彩信等发送到指定手机上；(6)通过远程网站控制，修改手机系统设置、降低安全级别，以盗取更多信息；(7)加密隐藏自身，泄露移动设备身份码(IMEI)、用户识别码(IMSI)、杀毒软件、已安装的软件等信息，带来潜在威胁；常见如：蓝色妖姬（BTHack.A ）、WinCE.MobileSpy.A 、X 卧底、电话杀手等。

1.4 流氓欺诈类

该类病毒的特点是以较强的欺骗性诱使用户下载安装，自动或手动运行，进行垃圾广告传播、伪造身份后的虚假中奖消息、虚假账户消息、欺诈彩信消息发布，并且通常以关闭、破坏手机杀毒软件、关闭用户进程等方式保护自身，难 以发现、清除、卸载。还有个别恶作剧类型的病毒可向手机

用户发送大量垃圾信息、删除通讯记录、修改用户短信内容、 破坏用户程序的正常执行、强占用户资源以降低用户的使用 感受。如：s.rogue.Worms.a 、PH.LocalMMS.E 、手机兽医（s.system.Syssrv.g ）、a.fraud.FakeApp s.d 等病毒。

2 智能手机病毒发展趋势

2.1 针对新出现的网络业务类型，设计新的攻击模式

目前手机的用途已经远远超越了打电话这个范畴，而是发展为浏览网页、上传下载各类资料，在线实时通讯、观看网络电视、卫星定位、网络游戏，网上聊天，视频电话会议，电子商务，在线炒股，网上支付等多种应用集为一体的智能终端。3G 技术带来的高数据传输速率使得手机运营商、服务商的业务范围和种类越来越丰富。随着新技术的成熟、资费下降，越来越多的服务类型将随之出现并被人们所接受。智能终端业务飞速上升所产生的巨大经济效益是手机病毒产业链存在和发展的原因。新病毒及其变种将针对不同的新服务、新业务通过基站植入、彩信植入、无线通讯植入、网管植入、操作系统漏洞植入、欺骗植入等多种方式危害智能手机通讯安全。病毒制造者及其利益相关者也将不断变换攻击策略、设计新的攻击模式以攫取非法收入。

2.2 加强隐蔽性、欺诈性、复合性

从以上智能手机病毒的攻击手段中不难发现，现有病毒

通常以某种方式隐藏自己，欺骗用户下载安装、或伪装为无害信息误导用户配合点击，然后实施不法侵害。并且很多危害行为通过后台执行难以发现，即使发现，侵害后果已经造成。部分恶意程序还使用阻碍杀毒进程、反复感染、远程控制、修改系统设置、盗取管理员权限、对外传播等流氓手段给清除病毒造成障碍。随着人们对手机杀毒程序的重视，病毒的活动空间将进一步受到限制。新产生的病毒或将采用如下方式拓展生存空间：(1)采取PC 机下载、蓝牙传输、无线传播、网页链接等方式多种途径共用；(2)作为系统进程隐匿或直接修改系统文件；(3)加强对智能手机下载资源网站的入侵或者自行建立具有身份伪造特征和强烈欺骗性的WAP 网站；(4)发动多种方式并用的复合攻击，并配合以系统功能的破坏手段；(5)多种软件依附能力甚至能够动态选择依附对象。

2.3 零日攻击，危害性强于计算机病毒

任何操作系统及应用程序都不能保证在发布之时就是完美的，无漏洞的。事实上，每千行代码就可能产生若干个个漏洞。目前常用的手机操作系统Symbian 、Android 、

Windows Mobile 、iPhone IOS 也是如此。操作系统发布后通 过运行反馈和后期测试不断发布补丁修补漏洞。这就为黑客发动零日攻击创造了条件。黑客通过反汇编等手段查找系统漏 洞，编写攻击脚本，其危害性体现在一个突发性上。杀毒软件和其他防御措施现阶段是通过攻击特征检测的方式来检测新出 现的病毒及变种，并修补漏洞，通常需要几天时间去发现、测试和发布补丁。而零日攻击的特点就是突然进行集中、密集、大范围的传播，很短的时间内造成侵害事实。针对智能手机发动的零日攻击其危害性更甚与计算机，这是由手机的联网业务类型丰富、资费方式灵活、个人信息集中等特点所决定的。此外目前的主动防御技术还不能完全避免漏报、错报等情况的发生。相信智能手机恶意软件制造者会充分利用这一手段，对智能手机及其网络系统不断发动此类攻击。

2.4 跨平台攻击，扩大覆盖范围

目前智能手机操作系统平台处于一种群雄并立的格局，多数恶意软件受制于系统平台和应用软件的限制，无法扩大侵害范围。可预见的是，随着智能手机产业自身的发展、一些市场份额小的，运作不良的平台会逐步消失，以期为用户提供更加集中的优质服务，但随之带来的是病毒侵害的方便性和集中性。病毒制造者及其幕后产业链会不断评估编制适应于多应用环境、多传播渠道、不同操作系统平台的超级病毒的可能性并等待时机发动袭击。当然，如果操作系统平台进行某种程度的融合也可促使安装防御技术力量的增强并形成合力。