智能手機病毒木馬防治策略研究

摘 要： 智能手機病毒木馬造成了人們經濟損失和隱私泄露，且日趨嚴重。對此，通過對智能手機病毒木馬的研究，指出了其危害方式，揭示了其工作機制和入侵途徑，提出了預防智能手機病毒木馬的相關建議，這對當前人們安全使用智能手機具有現實意義。

關鍵詞： 智能手機； 病毒； 木馬； 信息安全

中圖分類號：TP309.5 文獻標志碼：A 文章編號：1006-8228（2014）09-27-03

Research on smartphone virus Trojan prevention and control strategy

Jiang Guosong1， Zhang Zhuoliang2， Wu Gongcai1， Liu Jie1

（1. Hangzhou Vocational Technical College， Hangzhou， Zhejiang 310018， China； 2. Fuyang Dongqiao Town People's Government）

Abstract： Smartphone virus Trojan has caused increasingly serious economic losses and privacy revelation. Through the research on the virus， the jeopardizing ways has been pointed out. The working mechanism and invasion pathways are revealed. The suggestions of preventing are put forward， which have practical significances for the current people use safely smartphones.

Key words： smartphones； virus； Trojan horses； information security

0 引言

網秦發布的《2013年手機安全報告》顯示，智能手機安全趨勢嚴重，手機病毒木馬呈現爆發式成倍增長。2013年網秦“云安全”監測平臺查殺到手機惡意軟件134790款，比去年增長106.6%；2013年感染手機5656萬部，比去年增長76.8%[1]。2014年1月，基于騰訊手機管家服務的騰訊移動安全實驗室共檢測截獲Android、Symbian手機病毒木馬總數為57695個。手機用戶染毒總數達到1428萬，同比增長136%，染毒用戶數總量處于不斷增長的態勢[2]。在當今移動互聯網時代，人們用支付寶網購轉賬、用余額寶理財、用微信聯絡親朋好友，這些都離不開智能手機。正因如此，犯罪團伙也將魔爪從計算機伸到智能手機上，采取各種不法手段，大肆制作針對智能手機的病毒木馬，給廣大智能手機用戶帶來巨大隱患。

1 智能手機病毒木馬的危害

由于當前病毒和木馬越來越多地結合在一起，因此我們在這里統稱為手機病毒木馬，或者手機惡意程序（軟件）。根據中國反網絡病毒聯盟的分類標準[3]，手機惡意程序分為資費消耗、惡意扣費、隱私竊取、誘騙欺詐、流氓行為、系統破壞、遠程控制和惡意傳播八個主要類別。

⑴ 資費消耗

在用戶不知情或未授權的情況下，通過自動撥打電話、發送短信、彩信、郵件、頻繁連接網絡等方式，導致用戶資費損失的，具有資費消耗屬性。不法SP通過手機病毒木馬發送收費短信或者來電進行收費，在后臺偷偷下載各類推廣應用，嚴重消耗手機流量和電量。特別是山寨手機更容易存在吸費現象，而且大部分是刷在固件里的。根據360互聯網安全中心的監測[4]，2013年全年Android平臺，資費消耗占到感染人次數總量的46%，資費消耗是目前手機惡意軟件的主要危害。

⑵ 惡意扣費

在用戶不知情或未授權的情況下，通過隱蔽執行、欺騙用戶點擊等手段，訂購各類收費業務或使用移動終端支付，導致用戶經濟損失的，具有惡意扣費屬性。手機惡意扣費陷阱主要有三種途徑：語音類、短信類和夢網類。語音類是撥打聲訊臺，費用極其高昂；短信類是普通信息傳送接入號，如電視上隨處可見的鼓動你發送XXX到XXX；夢網類是手機上網登錄頁面、彩信等。目前手機上的惡意扣費木馬主要有兩種行為：分別是惡意扣費和惡意強制聯網。根據360互聯網安全中心的監測，2013年全年Android平臺，惡意扣費類惡意程序的感染量占到感染人次數總量的21%[4]。

⑶ 隱私竊取

隱私竊取是在用戶不知情或未授權的情況下，獲取用戶個人信息，如用戶的通信錄資料、音頻、視頻、照片等。偷發短信、攔截短信、竊取手機號碼等竊取隱私行為也為普遍。非法獲取用戶GPS地理位置信息、通話記錄，私自發送短信到指定號碼，獲取用戶位置隱私的病毒也開始呈現增勢。隱私竊取雖不直接構成經濟損失，但它會為用戶的手機安全埋下隱患，一旦危機爆發，危害程度更高。隨著移動支付類軟件的火爆，電商、支付客戶端等軟件成為黑客制作手機病毒的新寵，目前有近30多類專門危害移動支付軟件的木馬和病毒。如a.privacy.FakeAlipay.a（假面支付））病毒，偽裝成發放紅包的支付寶類型應用，通過發放紅包誘導用戶輸入姓名、身份證號、支付寶帳號、淘寶帳號等信息，然后將這些用戶信息發送到指定的手機號，竊取用戶重要隱私，嚴重危害了用戶的隱私和財產安全。根據360互聯網安全中心的監測，2013年全年Android平臺，隱私竊取類惡意程序的感染量達到感染人次數總量的21%[4]。

⑷ 誘騙欺詐

通過偽造、篡改、劫持短信、彩信、郵件、通訊錄、通話記錄、收藏夾、桌面等方式，誘騙用戶，達到不正當目的的，具有誘騙欺詐屬性。例如，利用用戶手機向用戶通信錄中的聯系人發送銀行帳號，同時說明用戶自己目前缺錢，從而騙取錢財。雖然這類惡意程序的感染量與詐騙短信和詐騙電話的數量相比還有很大差距，但由于其更具隱蔽性和迷惑性，而且會長期駐留在用戶手機中，因此其實際危害甚至高于傳統的電信詐騙。

⑸ 流氓行為

在未明確提示用戶或未經用戶許可的情況下，擅自在智能手機上安裝、運行侵犯用戶合法權益的軟件的行為。其表現有以下特點：強制安裝、難以卸載、瀏覽器劫持、亂彈廣告、惡意收集用戶信息、惡意卸載、惡意捆綁等。

⑹ 系統破壞

通過感染、劫持、篡改、刪除、終止進程等手段導致手機或其他非惡意軟件部分或全部功能、用戶文件等無法正常使用的，干擾、破壞、阻斷移動通信網絡、網絡服務或其他合法業務正常運行的，都屬于系統破壞類。典型的是破壞智能手機系統，使手機不能正常使用、破壞用戶手機資料，刪除文件、聯系人等信息。

⑺ 遠程控制

在用戶不知情或未授權的情況下，能夠接受遠程控制端指令并進行相關操作，具有遠程控制屬性。遠程控制本是一種用于正常的網絡管理工具，遠程控制的存在及使用通常是為人所知的，而木馬除了具有遠程控制的功能外，通常還具有隱蔽性、秘密性、破壞性等特點。一旦智能手機被種了遠程控制木馬，就會監視受害者手機的短信、電話、微信、銀行轉賬等，將然后將這些信息聯網上傳或轉發到黑客手機中，造成用戶損失。

⑻ 惡意傳播

惡意傳播程序通過復制、感染、投遞、下載等方式將自身、自身的衍生物或其他惡意代碼進行擴散的行為，具有惡意傳播屬性。用戶如果發現手機流量不明不白地快速消耗，或是手機的通知欄不斷地彈出需要安裝陌生軟件的提示，或親朋好友經常收到你發去的推廣短信，大多是惡意傳播軟件在搗鬼。

2 智能手機病毒木馬運作機制

2.1 手機木馬的實現原理

智能手機木馬運行主要有自啟動、隱藏、控制命令接收、結果回饋等環節。

與計算機木馬一樣，手機木馬也是隨著手機啟動而自動運行。特別是在智能手機系統上，自啟動技術是必備的一種功能，為病毒木馬提供了生存空間[5]。

對于Symbian系統而言，系統提供了一種設計自啟動的方式，該方法主要是利用了系統的一種叫做Recognizer所提供的功能。第三版之前，可利用它創建一個MDL文件，該文件與DLL庫文件相似，會在Symbian系統啟動之后，由系統內核將其加載運行；第三版之后，系統使用PKG文件實現自啟動。

Android開機自啟動可以通過定義一個BroadcastReceiver和配置Receiver的許可等方式來實現。第一步，定義一個BroadcastReceiver類；第二步，配置Receiver的許可，允許接收系統啟動消息，在AndroidManifest.xml中加入：；第三步，在AndroidManifest.xml中把接受消息意圖的類和消息意圖關聯。

在Windows Mobile系統中，有一個用來實現自啟動的文件夾“StartUp”，只要把要隨系統啟動的程序快捷方式放進這個目錄，就可以實現隨機自啟動了，不過，同時執行的進程數量有限。另外，還可以通過修改shell.reg的文件：[HKEY_LOCAL_MACHINE＼init]，實現自啟動。

自身隱藏也是手機木馬程序運行的一個重要組成部分。它可以通過后臺運行，注冊服務等實現自身程序的運行界面或者進程（如Windows Mobile可以通過Hook技術實現自身進程隱藏）。

木馬程序最重要的一項功能就是和外部進行連接，用來接受命令。木馬程序的命令執行要求高效和精簡，這樣在運行中才不易被用戶發現。

最后是結果回饋。手機木馬程序一般采用與接受命令同樣的方式返回執行結果，但有時也會打破常規思路，木馬程序會采用多個可利用方式來返回執行結果，來提高返回結果的成功率及返回速度。

2.2 智能手機病毒木馬入侵途徑

防范智能手機病毒木馬的入侵，首先要弄清楚手機感染病毒木馬的途徑。360互聯網安全中心2013年手機安全狀況報告顯示，第三方應用商店及論壇仍然是惡意程序入侵的主要途徑，占比超過60%，其次分別是手機預裝和惡意網址[4]。

⑴ APP下載

第三方應用商店迅速增長，良莠不齊，造成第三方應用商店的惡意程序下載率依然高企。部分應用商店與手機安全軟件建立了安全檢測合作，接入了病毒掃描檢測功能，一定程度上確保了安全下載。但目前仍有許多中小型第三方應用商店，在激烈的市場競爭下，盲目追求軟件和游戲的收錄數量，甚至將此作為自己的主要競爭優勢，忽視了對應用程序安全性審核，使一些病毒制作者有機可乘，越來越多的軟件被病毒制作者二次打包上傳。用戶在APP上下載應用程序，極有可能下載的程序就帶有病毒木馬。

⑵ 手機論壇

手機論壇的檢測審核機制目前還不健全，自由分享傳播的模式導致大量被打包惡意代碼的軟件被上傳。與此同時，許多手機病毒潛伏在大量手機論壇并以網盤傳播、或者捆綁知名軟件二次打包的方式不斷擴散，導致軟件捆綁與網盤傳播渠道的感染比例迅速上升。

⑶ 手機預裝

手機預裝是僅次于第三方應用商店的惡意程序第二大入侵途徑。手機預裝軟件不僅會占用大量的手機內存空間，同時，某些自啟動、自聯網的應用還會大量消耗用戶手機流量。個別山寨廠商和水貨手機商甚至會直接將木馬預裝在手機系統中。2014年3.15晚會爆料，行貨手機已經成為惡意軟件的重災區[6]，一些公司和經銷商選擇行貨手機預裝惡意軟件進行扣費和竊取隱私，用戶想刪還根本刪不掉，因行貨手機想刪掉必須刷機，而刷機就要放棄質保！

⑷ 惡意網址

惡意程序通過惡意網址入侵智能手機的情況比較復雜，主要包括短信鏈接、短鏈接和二維碼三種形式。短信鏈接就是在短信中含有的網址鏈接。就目前情況而言，短信鏈接仍然是主要的惡意網址傳播方式。

惡意程序可能來自微博、微信等手機應用中的網址短鏈接。特別是隨著微信的快速普及，通過微信群發帶有木馬程序的惡意網址或釣魚網站，已經成為一種非常普遍的網絡攻擊方式。特別值得關注的是，人們在PC上通常都是使用瀏覽器來打開網址，安全軟件通常都能有效地發現和攔截惡意網址。但在手機上則有所不同，通過微博、微信等手機客戶端軟件打開的網址往往無法被手機安全軟件捕獲。這就使得人們通過手機訪問惡意網址的幾率大大提升。

在二維碼中暗藏惡意網址，通過用戶掃二維碼，惡意程序入侵用戶的智能手機，達到惡意吸費、盜取信息等目的。同時，惡意二維碼也是釣魚網站在手機上傳播的重要途徑。由于多數二維碼掃碼工具并不具有識別惡意網址的能力，只是簡單將二維碼翻譯成網站地址，這就給惡意程序通過二維碼入侵創造了有利的條件。

⑸ 藍牙傳輸

當智能手機通過藍牙或者紅外線與電腦連接到一起后，電腦中已經存在的病毒木馬程序會借助藍牙傳輸到手機中，從而感染手機的操作系統和應用程序。另外，病毒通過藍牙或者紅外線傳播不光存在于電腦和手機之間，很多時候兩部手機之間也會通過藍牙和紅外線傳播病毒。

3 智能手機病毒木馬的防治

3.1 智能手機中毒的一般表現形式

智能手機自動重啟、自動關機、桌面圖標被改、資料被刪、自動撥打電話、自動發短信等是手機中毒的直接表現。用戶在使用智能手機時，發現有以下不正常現象，大多中了病毒木馬，應引起高度重視，及時采取措施處置[7]。

⑴ 系統反應緩慢

新手機在使用過一段時間后，運行速度明顯變慢了。一種原因是手機里面安裝運行的程序多了，造成系統資源過多消耗造成的。另一種原因可能是手機上運行了病毒木馬程序。

⑵ 莫名的短信或者彩信消息

病毒木馬程序往往帶有目的性，常常利用短消息、彩信消息來監控病毒木馬程序的運行，或者控制其完成某種功能。甚至為了宣傳推廣而發送大量短信。

⑶ 自動聯網

隨著3G、4G業務的不斷推廣，自動聯網也成為手機病毒木馬程序運行的一大特征。手機病毒木馬程序聯網后，訪問特定的網站，從而下載執行更多的惡意軟件，以實現更加復雜的不法行為。

⑷ 通話質量下降或者延遲

監聽手機通話語音的病毒木馬使手機通話質量明顯下降，惡意程序大量發送短信時也會造成信道繁忙，從而影響通話質量。同一地區眾多用戶的手機同時發送大量垃圾短信，會造成該地區用戶打不出去電話的現象。

⑸ 耗電量增加

對于一個使用手機很有規律的人來講，耗電量意外增加也是判斷感染病毒木馬的一種參考方式。

3.2 智能手機中毒后的處置

目前，智能手機上一般裝有殺毒軟件，如騰訊手機管家、360安全衛士、網秦手機殺毒等。如果發現手機中毒，首先用手機殺毒軟件進行查殺，如果提示發現病毒就刪除。然后把病毒庫更新到最新版本，再進行全盤掃描。全部掃描完成后，重啟手機，再全盤掃描一遍，以徹底清除手機上的病毒。如果手機死機了，則可取下電池，然后將 SIM卡取出并插入另一型號的手機中，建議使用非智能手機或者不同操作系統的手機，將存于SIM卡中的可疑短信刪除后，重新將卡插回原手機。若上述方法無效，則可以與手機服務商聯系，由專業人士處置。

3.3 手機用戶防毒建議

手機中毒會造成經濟損失和隱私泄露，為此，智能手機用戶必須提高防范意識，安全使用手機，防患于未然。以下是手機安全使用建議[8]。

⑴ 手機用戶應養成使用安全軟件來保護手機安全的良好習慣。手機用戶可下載安裝如騰訊手機管家、網秦、360安全衛士等一類的手機安全軟件，開啟金融保護和帳號保護功能，定期給手機進行體檢和病毒查殺，并及時更新病毒庫。

⑵ 手機用戶應通過官方正規安全的渠道下載官方版支付、工具、游戲等各類手機APP，不要到不安全的手機論壇、電子市場下載應用，確保安全的綠色應用。在安裝任何應用之前都請留意權限提示，如果權限要求與軟件功能明顯不符，就不要安裝；如果沒有特別需要，不要進行Root（俗稱破解）操作。

⑶ 不要瀏覽危險網站。比如一些黑客、色情網站，其中隱匿著許多病毒木馬，用手機瀏覽此類網站是非常危險的。

⑷ 不要點擊不明鏈接。亂碼短信、彩信可能帶有病毒，收到此類短信后立即刪除，不轉發，以免感染手機病毒。

⑸ 謹防二維碼。二維碼具有隱蔽性，使得用戶通過手機掃描時，無法辨別下載鏈接的來源是否安全，極易下載到惡意軟件，落入黑客設置的陷阱之中。目前，二維碼漸成惡意軟件新的入侵途徑，手機用戶應該養成良好的安全使用習慣，不要見碼就掃。

⑹ 不要接受陌生請求。利用無線傳送功能比如藍牙、紅外接收信息時，一定要選擇安全可靠的傳送對象，如果有陌生設備請求連接最好不要接受，因為手機病毒木馬會自動搜索無線范圍內的設備進行傳播。

⑺ 通過藍牙和紅外線將手機連接電腦之前，先用殺毒軟件查殺一下電腦中的文件和系統，確保沒有病毒后再進行數據傳輸。

⑻ 關注自己手機的官方網站發布的安全信息，及時下載升級程序和安裝漏洞補丁。

4 結束語

本文通過揭示智能手機病毒木馬的潛在危害與工作機制，進一步提醒人們認識智能手機病毒木馬危害性，提高安全意識，落實安全措施，養成良好習慣，盡量避免智能手機病毒木馬的侵害。當然，要鏟除智能手機病毒木馬，只靠手機用戶是遠遠不夠的，需要政府層面加強立法，行業主管部門加強監管和協調，網絡通訊服務商、手機軟件開發商、智能手機生產商等齊心協力，各司其職，構成一張鏟除智能手機病毒木馬的天羅地網，徹底消除智能手機病毒木馬的生存溫床，給智能手機用戶提供一個安全的環境。

參考文獻：

[1] 網秦移動有限公司.2013年網秦手機安全報告.http：//cn.nq.com/，

2014-02-11.

[2] 騰訊移動安全實驗室.2014年1月份手機安全報告. http：//www.

qq.com/QQSecurityLab，2014-02-28.

[3] 中國互聯網協會反網絡病毒聯盟.移動互聯網惡意代碼描述規范.

http：//www.anva.org.cn/，2011-5-24.

[4] 360互聯網安全中心.2013年中國手機安全狀況報告.http：//

www.360.cn/，2014-02-11.

[5] 李緒強.智能手機病毒傳播模型的研究[D].南京郵電大學，2012.3.

[6] 360互聯網安全中心.手機預裝軟件調查報告. http：//www.360.

cn/，2014-03-14.

[7] 文景.手機病毒的入侵和防御[J].計算機與網絡，2013.11.

[8] 蔣國松，金徐偉，陳云志等.互聯網病毒新趨勢與防治策略研究[J].計

算機安全，2011.3.