智能手機(jī)的病毒攻防

賈建忠

烏魯木齊職業(yè)大學(xué) 新疆 830001

0 引言

手機(jī)智能化帶來了智能終端業(yè)務(wù)類型的極大發(fā)展，針對(duì)智能手機(jī)的惡意代碼和黑色產(chǎn)業(yè)鏈也日益猖獗。擁有開放式操作系統(tǒng)的智能終端，也將經(jīng)歷個(gè)人電腦發(fā)展過程中病毒軟件的侵?jǐn)_。2011年網(wǎng)絡(luò)監(jiān)測(cè)平臺(tái)查殺到手機(jī)惡意軟件24794款，同比增長266%，中國大陸地區(qū)2011全年累計(jì)感染智能手機(jī)1152萬部，同比增長44%。與計(jì)算機(jī)病毒不同的是，目前智能手機(jī)病毒的目的主要是信息竊取、惡意扣費(fèi)、垃圾信息傳播、強(qiáng)行訂制業(yè)務(wù)等方面，而破壞手機(jī)硬件功能的病毒并不多。如：2010年9月第一周爆發(fā)的“手機(jī)僵尸病毒”，造成約100萬部手機(jī)感染，每天200萬元話費(fèi)被暗中扣除。2011年位列十大手機(jī)惡意病毒的“短信竊賊”，可將Android平臺(tái)下的手機(jī)用戶的短信發(fā)送至指定郵箱，造成嚴(yán)重信息安全威脅。

1 智能手機(jī)病毒的主要類型和攻擊手段

1.1 惡意扣費(fèi)類

此類病毒的共同特點(diǎn)是通過偽裝成其他用戶感興趣的軟件誘騙用戶安裝，后通過后臺(tái)操作消耗手機(jī)資費(fèi)或誘騙用戶主動(dòng)將銀行賬號(hào)、股票密碼等重要數(shù)據(jù)提交到非法網(wǎng)站造成重大損失。由于移動(dòng)、聯(lián)通等運(yùn)營商為規(guī)范內(nèi)容提供商的行為，減少強(qiáng)制性訂制服務(wù)的發(fā)生和投訴，在其MISC管理平臺(tái)設(shè)定了服務(wù)訂制的用戶的主動(dòng)提交、二次確認(rèn)、72小時(shí)內(nèi)取消等預(yù)防措施，新出現(xiàn)的惡意扣費(fèi)類病毒又采取截獲、替換服務(wù)訂制確認(rèn)和資費(fèi)告知短信的方式使用戶無法收到運(yùn)營商的反饋信息。有代表性的扣費(fèi)類惡意病毒有：食人魚、釣魚王(InSpirit.A)、古墓麗影(MsSver.A)、扣費(fèi)大師、安卓吸費(fèi)王(MSO.PJApps.J)、AVK. Upadapter.Q等。

1.2 系統(tǒng)破壞類

此類病毒偽裝誘騙用戶安裝后，對(duì)用戶手機(jī)的軟、硬件功能造成一定程度的破壞，有時(shí)并不一定是以損壞用戶手機(jī)為最終目的，而是通過對(duì)系統(tǒng)功能的破壞掩護(hù)其盜費(fèi)、竊取信息、傳播惡意代碼的目的。常見侵害手段如下：(1)偽裝成更新軟件包，在后臺(tái)運(yùn)行并通過遠(yuǎn)程服務(wù)器派發(fā)惡意指令，獲取root權(quán)限，將代碼植入系統(tǒng)文件夾，導(dǎo)致手機(jī)無法卸載可疑程序，系統(tǒng)程序被修改，正常軟件被破壞，信息失竊等嚴(yán)重問題；(2)迅速消耗電池電量并自動(dòng)在一定范圍內(nèi)搜索了開啟藍(lán)牙功能的手機(jī)，向其傳染；(3)專門破壞手機(jī)殺毒軟件，使其不能正常運(yùn)行，并使自己難以卸載以便定時(shí)發(fā)動(dòng)其他惡意攻擊；(4)通過騙取系統(tǒng)管理權(quán)限，復(fù)制、修改、刪除用戶的通訊錄、郵件、記事本信息或造成手機(jī)死機(jī)、重啟困難等；(5)通過下載、隱藏在彩信中等方式傳播惡意代碼，形成“僵尸網(wǎng)絡(luò)”，帶來大面積、高層次手機(jī)網(wǎng)絡(luò)攻擊；(6)修改手機(jī)程序的可執(zhí)行文件并在本機(jī)程序間傳染，造成軟件無法正常啟動(dòng)、異常退出等后果；⑺破壞用戶特定內(nèi)容的短信信息，造成數(shù)據(jù)丟失。常見的系統(tǒng)破壞類病毒有：ikee、Phage、Doomboot.E、Cabir.S、假面防盜等。

1.3 信息盜取類

此類病毒通常以加密、修改系統(tǒng)設(shè)置、降低安全級(jí)別、遠(yuǎn)程控制等手段暗中隱藏，以窺探、修改、盜用、傳播用戶的私密信息為目的，造成用戶隱私侵害，財(cái)產(chǎn)損失等嚴(yán)重后果。常見侵害方式如下：(1)中毒手機(jī)主動(dòng)搜索附近開啟藍(lán)牙功能的手機(jī)并配對(duì)，一旦成功則控制其他手機(jī)發(fā)送短信、撥打電話、掛斷電話等，被控手機(jī)無需安裝病毒軟件也沒有日志記載；(2)欺騙安裝后，作為間諜軟件的客戶端以某種方式隱藏，記錄手機(jī)的通話信息、短信及其他信息并發(fā)送到指定的服務(wù)器。竊密者通過登錄該服務(wù)器盜取手機(jī)用戶隱私。甚至可以私自開啟手機(jī)聽話筒，進(jìn)行實(shí)施監(jiān)聽；(3)將病毒體影藏在常用手機(jī)炒股軟件中，在后臺(tái)運(yùn)行，盜取用戶股票賬戶信息并發(fā)送到指定網(wǎng)站；(4)病毒內(nèi)嵌偷盜者手機(jī)號(hào)碼，安裝執(zhí)行后，一旦用戶登錄銀行手機(jī)客戶端軟件，即向指定號(hào)碼發(fā)送用戶的賬號(hào)、密碼信息，造成嚴(yán)重經(jīng)濟(jì)損失；(5)盜取用戶收發(fā)的短信信息、通訊錄、彩信等發(fā)送到指定手機(jī)上；(6)通過遠(yuǎn)程網(wǎng)站控制，修改手機(jī)系統(tǒng)設(shè)置、降低安全級(jí)別，以盜取更多信息；(7)加密隱藏自身，泄露移動(dòng)設(shè)備身份碼(IMEI)、用戶識(shí)別碼(IMSI)、殺毒軟件、已安裝的軟件等信息，帶來潛在威脅；常見如：藍(lán)色妖姬（BTHack.A）、WinCE.MobileSpy.A、X臥底、電話殺手等。

1.4 流氓欺詐類

該類病毒的特點(diǎn)是以較強(qiáng)的欺騙性誘使用戶下載安裝，自動(dòng)或手動(dòng)運(yùn)行，進(jìn)行垃圾廣告?zhèn)鞑ァ卧焐矸莺蟮奶摷僦歇?jiǎng)消息、虛假賬戶消息、欺詐彩信消息發(fā)布，并且通常以關(guān)閉、破壞手機(jī)殺毒軟件、關(guān)閉用戶進(jìn)程等方式保護(hù)自身，難以發(fā)現(xiàn)、清除、卸載。還有個(gè)別惡作劇類型的病毒可向手機(jī)用戶發(fā)送大量垃圾信息、刪除通訊記錄、修改用戶短信內(nèi)容、破壞用戶程序的正常執(zhí)行、強(qiáng)占用戶資源以降低用戶的使用感受。如：s.rogue.Worms.a、PH.LocalMMS.E、手機(jī)獸醫(yī)（s.system.Syssrv.g）、a.fraud.FakeApp s.d等病毒。

2 智能手機(jī)病毒發(fā)展趨勢(shì)

2.1 針對(duì)新出現(xiàn)的網(wǎng)絡(luò)業(yè)務(wù)類型，設(shè)計(jì)新的攻擊模式

目前手機(jī)的用途已經(jīng)遠(yuǎn)遠(yuǎn)超越了打電話這個(gè)范疇，而是發(fā)展為瀏覽網(wǎng)頁、上傳下載各類資料，在線實(shí)時(shí)通訊、觀看網(wǎng)絡(luò)電視、衛(wèi)星定位、網(wǎng)絡(luò)游戲，網(wǎng)上聊天，視頻電話會(huì)議，電子商務(wù)，在線炒股，網(wǎng)上支付等多種應(yīng)用集為一體的智能終端。3G技術(shù)帶來的高數(shù)據(jù)傳輸速率使得手機(jī)運(yùn)營商、服務(wù)商的業(yè)務(wù)范圍和種類越來越豐富。隨著新技術(shù)的成熟、資費(fèi)下降，越來越多的服務(wù)類型將隨之出現(xiàn)并被人們所接受。智能終端業(yè)務(wù)飛速上升所產(chǎn)生的巨大經(jīng)濟(jì)效益是手機(jī)病毒產(chǎn)業(yè)鏈存在和發(fā)展的原因。新病毒及其變種將針對(duì)不同的新服務(wù)、新業(yè)務(wù)通過基站植入、彩信植入、無線通訊植入、網(wǎng)管植入、操作系統(tǒng)漏洞植入、欺騙植入等多種方式危害智能手機(jī)通訊安全。病毒制造者及其利益相關(guān)者也將不斷變換攻擊策略、設(shè)計(jì)新的攻擊模式以攫取非法收入。

2.2 加強(qiáng)隱蔽性、欺詐性、復(fù)合性

從以上智能手機(jī)病毒的攻擊手段中不難發(fā)現(xiàn)，現(xiàn)有病毒通常以某種方式隱藏自己，欺騙用戶下載安裝、或偽裝為無害信息誤導(dǎo)用戶配合點(diǎn)擊，然后實(shí)施不法侵害。并且很多危害行為通過后臺(tái)執(zhí)行難以發(fā)現(xiàn)，即使發(fā)現(xiàn)，侵害后果已經(jīng)造成。部分惡意程序還使用阻礙殺毒進(jìn)程、反復(fù)感染、遠(yuǎn)程控制、修改系統(tǒng)設(shè)置、盜取管理員權(quán)限、對(duì)外傳播等流氓手段給清除病毒造成障礙。隨著人們對(duì)手機(jī)殺毒程序的重視，病毒的活動(dòng)空間將進(jìn)一步受到限制。新產(chǎn)生的病毒或?qū)⒉捎萌缦路绞酵卣股婵臻g：(1)采取PC機(jī)下載、藍(lán)牙傳輸、無線傳播、網(wǎng)頁鏈接等方式多種途徑共用；(2)作為系統(tǒng)進(jìn)程隱匿或直接修改系統(tǒng)文件；(3)加強(qiáng)對(duì)智能手機(jī)下載資源網(wǎng)站的入侵或者自行建立具有身份偽造特征和強(qiáng)烈欺騙性的WAP網(wǎng)站；(4)發(fā)動(dòng)多種方式并用的復(fù)合攻擊，并配合以系統(tǒng)功能的破壞手段；(5)多種軟件依附能力甚至能夠動(dòng)態(tài)選擇依附對(duì)象。

2.3 零日攻擊，危害性強(qiáng)于計(jì)算機(jī)病毒

任何操作系統(tǒng)及應(yīng)用程序都不能保證在發(fā)布之時(shí)就是完美的，無漏洞的。事實(shí)上，每千行代碼就可能產(chǎn)生若干個(gè)個(gè)漏洞。目前常用的手機(jī)操作系統(tǒng)Symbian、Android、Windows Mobile、iPhone IOS也是如此。操作系統(tǒng)發(fā)布后通過運(yùn)行反饋和后期測(cè)試不斷發(fā)布補(bǔ)丁修補(bǔ)漏洞。這就為黑客發(fā)動(dòng)零日攻擊創(chuàng)造了條件。黑客通過反匯編等手段查找系統(tǒng)漏洞，編寫攻擊腳本，其危害性體現(xiàn)在一個(gè)突發(fā)性上。殺毒軟件和其他防御措施現(xiàn)階段是通過攻擊特征檢測(cè)的方式來檢測(cè)新出現(xiàn)的病毒及變種，并修補(bǔ)漏洞，通常需要幾天時(shí)間去發(fā)現(xiàn)、測(cè)試和發(fā)布補(bǔ)丁。而零日攻擊的特點(diǎn)就是突然進(jìn)行集中、密集、大范圍的傳播，很短的時(shí)間內(nèi)造成侵害事實(shí)。針對(duì)智能手機(jī)發(fā)動(dòng)的零日攻擊其危害性更甚與計(jì)算機(jī)，這是由手機(jī)的聯(lián)網(wǎng)業(yè)務(wù)類型豐富、資費(fèi)方式靈活、個(gè)人信息集中等特點(diǎn)所決定的。此外目前的主動(dòng)防御技術(shù)還不能完全避免漏報(bào)、錯(cuò)報(bào)等情況的發(fā)生。相信智能手機(jī)惡意軟件制造者會(huì)充分利用這一手段，對(duì)智能手機(jī)及其網(wǎng)絡(luò)系統(tǒng)不斷發(fā)動(dòng)此類攻擊。

2.4 跨平臺(tái)攻擊，擴(kuò)大覆蓋范圍

目前智能手機(jī)操作系統(tǒng)平臺(tái)處于一種群雄并立的格局，多數(shù)惡意軟件受制于系統(tǒng)平臺(tái)和應(yīng)用軟件的限制，無法擴(kuò)大侵害范圍?？深A(yù)見的是，隨著智能手機(jī)產(chǎn)業(yè)自身的發(fā)展、一些市場(chǎng)份額小的，運(yùn)作不良的平臺(tái)會(huì)逐步消失，以期為用戶提供更加集中的優(yōu)質(zhì)服務(wù)，但隨之帶來的是病毒侵害的方便性和集中性。病毒制造者及其幕后產(chǎn)業(yè)鏈會(huì)不斷評(píng)估編制適應(yīng)于多應(yīng)用環(huán)境、多傳播渠道、不同操作系統(tǒng)平臺(tái)的超級(jí)病毒的可能性并等待時(shí)機(jī)發(fā)動(dòng)襲擊。當(dāng)然，如果操作系統(tǒng)平臺(tái)進(jìn)行某種程度的融合也可促使安裝防御技術(shù)力量的增強(qiáng)并形成合力。

3 如何避免智能手機(jī)病毒侵?jǐn)_

3.1 智能手機(jī)用戶的自我防范

好的使用習(xí)慣可以最大程度的降低智能手機(jī)中毒的可能性。用戶通常難以割舍在乘車、外出空閑期、短暫的無聊時(shí)間使用智能手機(jī)打發(fā)時(shí)間的樂趣。用戶也大多沒有軟件病毒專業(yè)性的知識(shí)。但，注意到以下幾點(diǎn)十分必要：(1)安裝殺毒軟件，支付一些購買費(fèi)用是值得的；(2)去有信譽(yù)，網(wǎng)友評(píng)價(jià)好的網(wǎng)站下載軟件。運(yùn)行前查毒；(3)對(duì)自己跳出來的頁面或鏈接保持警惕，雖然通常這樣的頁面有一定的誘惑力；(4)不要回復(fù)不認(rèn)識(shí)人的古怪的短信、彩信，尤其是含有古怪字符的；(5)不要相信那些網(wǎng)頁或者短信中的中獎(jiǎng)信息，如果怕錯(cuò)失機(jī)會(huì)，就請(qǐng)專業(yè)人士幫助你去追查其來源，網(wǎng)頁來的通常查一下域名或IP就可發(fā)現(xiàn)問題；(6)最好安裝運(yùn)營商或第三方軟件廠商提供的流量查詢軟件，用手機(jī)直接下載視頻或復(fù)雜游戲前明確你的免費(fèi)流量夠不夠用；(7)每月查明細(xì)賬單，確認(rèn)有沒有意外支出，及時(shí)取消莫名其妙的所謂收費(fèi)服務(wù)；(8)對(duì)手機(jī)最近出現(xiàn)的反常狀況保持警惕，比如：上網(wǎng)時(shí)彈出莫名其妙的窗口、反映變慢、充電增多；(9)沒有足夠的防護(hù)不要在手機(jī)上網(wǎng)時(shí)輸入私密賬戶或密碼，除非你確認(rèn)沒有中毒及鏈接來源可靠；(10)用手機(jī)上網(wǎng)時(shí)打開的銀行、證券網(wǎng)站有可能會(huì)是假冒的，不要從網(wǎng)頁顯示的內(nèi)容來判斷其是否可靠；(11)在電視上看到的有獎(jiǎng)問答或觀眾短信參與收費(fèi)節(jié)目，發(fā)送了一條，對(duì)方回復(fù)多條或沒完沒了定期回復(fù)的，查詢賬單看看有沒有意外扣費(fèi)；(12)未接來電只響一兩、聲號(hào)碼古怪的不要回電，有被轉(zhuǎn)接到收費(fèi)服務(wù)號(hào)碼的可能性。

3.2 設(shè)立第三方監(jiān)管機(jī)構(gòu)規(guī)范行業(yè)行為

智能手機(jī)增值業(yè)務(wù)是由電信服務(wù)商提供網(wǎng)絡(luò)技術(shù)平臺(tái)，服務(wù)提供商提供內(nèi)容和服務(wù)供用戶選擇，產(chǎn)生的費(fèi)用由運(yùn)營商代扣。在過去的4到5年時(shí)間內(nèi)，各SP公司為了獲取服務(wù)受益，開展了五花八門的服務(wù)種類，豐富了智能手機(jī)應(yīng)用領(lǐng)域。但也有不少SP公司采取各種欺騙或不明確告之的手段吸取用戶資費(fèi)，或者和手機(jī)廠商合作將吸費(fèi)軟件固化于手機(jī)產(chǎn)品中，山寨手機(jī)尤為嚴(yán)重。關(guān)于這方面的投訴和法律訴訟層出不窮。為保障用戶權(quán)益，2006年信息產(chǎn)業(yè)部及電信運(yùn)營商規(guī)定增值業(yè)務(wù)申請(qǐng)需要“二次確認(rèn)”的流程。但很多服務(wù)商為謀取暴利，用過各種手段和理由避免二次確認(rèn)過程，甚至于花錢購買惡意代碼截獲并替換二次確認(rèn)信息。應(yīng)當(dāng)說電信部門對(duì)違規(guī)SP服務(wù)商的管理及處罰力度還是有所欠缺的，且考慮到由運(yùn)營商代扣資費(fèi)的因素，導(dǎo)致不少受侵害手機(jī)用戶對(duì)運(yùn)營商本身的不信任。隨著智能手機(jī)增值業(yè)務(wù)的不斷發(fā)展，為規(guī)范行業(yè)行為應(yīng)設(shè)立第三方監(jiān)管機(jī)構(gòu)并制訂可操作性的法律法規(guī)監(jiān)督智能手機(jī)服務(wù)業(yè)務(wù)利益鏈條上所涉及的各類實(shí)體的業(yè)務(wù)行為，斬?cái)嗷疑a(chǎn)業(yè)鏈生存和發(fā)展的空間。

3.3 網(wǎng)站安全和管理

智能手機(jī)上WAP網(wǎng)站進(jìn)行瀏覽、點(diǎn)擊鏈接、下載、提交等操作，有安全風(fēng)險(xiǎn)。病毒可攻擊WAP服務(wù)器使網(wǎng)站帶毒。不良網(wǎng)站建立者也可故意在其頁面中設(shè)置惡意鏈接或提供所謂免費(fèi)下載為引誘的病毒下載服務(wù)。而發(fā)布一個(gè)WAP網(wǎng)站只需具有普通的二級(jí)域名即可，門檻比較低，故監(jiān)管工作有難度。對(duì)于直接訪問WWW服務(wù)的智能手機(jī)，安全形勢(shì)更不樂觀。國家、工信部、各省通信管理部門對(duì)不良網(wǎng)站的危害非常重視，不斷開展整治行動(dòng)，關(guān)閉、屏蔽了一大批傳播有害信息、有欺詐惡意行為的網(wǎng)站，有效遏制了網(wǎng)絡(luò)安全形勢(shì)的惡化。但隨著一些有害網(wǎng)站的境外化、換域名、改IP、重定向等手段的使用，使得打擊難度上升。目前我國網(wǎng)站監(jiān)管的技術(shù)手段和責(zé)任落實(shí)還要加強(qiáng)。

[1] 百度百科.智能手機(jī).http://baike.baidu.com/view/535.htm.

[2] 北京網(wǎng)秦天下科技有限公司.2011年中國大陸地區(qū)手機(jī)安全報(bào)告[M].2012.

[3] 朱圣軍,劉功申,羅俊,陶春和.智能手機(jī)病毒與信息安全[J].信息安全與通訊保密.2011.

[4] 黑基網(wǎng).零日攻擊的原理與防范方法.http://www.hackbase.com/tech/2010-09-14/61203.html.