移動智能終端惡意代碼本章學習目標了解移動終端掌握移動終端惡意代碼的基本概念了解移動終端操作系統了解移動終端惡意代碼的危害和防范了解移動終端殺毒工具不容忽視的一大泄密隱患通話時，……待機時，……關機時，……通話時1996.4.22凌晨4：00，俄羅斯空軍運用A-50預警機，截獲了杜耶達夫與他人的手機通信，并在全球定位系統的幫助下，準確地測出了杜耶達夫所在位置的坐標。幾分鐘之后，俄羅斯空軍用導彈擊中了杜耶達夫正在通話的小樓。待機狀態如何？即使在待機狀態，手機也與通信網絡保持不間斷的信號交換，此時產生的電磁波譜很容易利用偵查監視技術發現、識別、偵察和跟蹤目標，并對目標進行定位，從中獲得有價值的情報。關機狀態如何？同樣不可以高枕無憂。在手機制造過程中就在芯片中植入接收和發送功能，這種手機即使關機，但只要有電池，機內的接收裝置就能將話音信息接收到，并可隨時發送出去。如何保密？1在必要時將手機中的電池取出，徹底斷絕手機的電源；2將手機放在遠離談話場所的地方，避免被竊聽。3在一些發達國家的情報部門，軍方和重要政府部門，都禁止在辦公場所使用移動電話，即使是關閉的手機也不允許帶入。全天候監控過濾美國國家安全局1971年開始建立的一個代號為“梯隊系統”的電子監聽監測網絡系統，整個系統動用了120顆衛星，在美國和英國設置了二個數據中心。該系統全天候監控，一旦出現與數據庫中關鍵詞相關的信息，系統便會自動記錄并分析，再交工作人員進行深入分析。據稱，全世界95%的通信都要經過這一系統高速計算機的“過濾”，全部電話、文傳、電子郵件都會被它截獲。

信息時代的國家安全不容忽視，而小小手機正是關系到國家信息安全的大問題。IDC2018全球手機出貨量智能化功能在給用戶帶來便利的同時，也帶來了潛在的安全問題。2018年騰訊安全報告2017年Android平臺新增惡意代碼樣本數量（GData）（數據來源GData）2018年360中國手機病毒報告2017年第一季度Android惡意軟件情況數據來源3602006年前據ScientificAmerican報告，到2006年8月，全球移動終端惡意代碼總數量已超過300多個。2008年手機安全事件分類統計FromMcAfee

據反病毒軟件廠商卡巴斯基（KasperskyLab）日前表示，在2009年8月至2010年12月的這16個月間，針對移動設備的惡意程序的數量已經翻了一倍。2010年，檢測到的新型移動設備病毒較上年增加65%以上。2010年底，卡巴斯基數據庫中的移動設備病毒共有153類，1,000多個變種。2011年Android平臺月新增惡意軟件數量From奇虎3602011年中國互聯網網絡安全態勢報告2011年CNCERT捕獲移動互聯網惡意程序（手機病毒）數量較2010年增加超過兩倍。惡意扣費類惡意程序數量最多，其次是惡意傳播類、信息竊取類、流氓行為類和遠程控制類。2011年境內約712萬個上網的智能手機感染手機病毒。國家互聯網應急中心2014年上半年360互聯網安全中心累計截獲安卓平臺新增惡意程序樣本超過84.0萬個，安卓用戶感染惡意程序8923.52萬人次。移動終端（MobileTerminal-MT）涵蓋所有的現有的和即將出現的各式各樣、各種功能的手機和PDA（PersonalDigitalAssistant,個人數字助理）。隨著無線移動通信技術和應用的發展，使現有的手持設備功能變得豐富多彩，它可以照、攝像，可以是一個小型移動電視機、也可以是可視電話機，并可具有PC大部分功能，當然它也可以用作移動電子商務，可作認證，將來還可作持有者身份證明（身份證、護照），它也是個人移動娛樂終端?？傊苿咏K端可以在移動中完成語音、數據、圖像等各種信息的交換和再現。手機病毒手機病毒的定義手機病毒和計算機病毒一樣，以手機為感染對象，以手機網絡和計算機網絡為平臺，通過病毒短信等形式，對手機進行攻擊，從而造成手機異常的一種新型病毒。移動終端惡意代碼移動終端惡意代碼是對移動終端各種病毒的廣義稱呼，它包括以移動終端為感染對象而設計的普通病毒、木馬等。移動終端惡意代碼以移動終端為感染對象，以移動終端網絡和計算機網絡為平臺，通過無線或有線通訊等方式，對移動終端進行攻擊，從而造成移動終端異常的各種不良程序代碼。市場調研機構Kantar發布了2018年第一季度移動操作系統市場份額數據，數據中呈現了中、美、日、英、法等多個國家地區的系統占比情況。智能手機操作系統常見的手機操作系統1.AndroidGoogle在2007年11月公布的基于Linux平臺的開源智能手機操作系統。由操作系統、中間件和應用程序組成，是首個為移動終端打造的開放和完整的移動軟件。采用了軟件棧(softwarestack)的架構，底層以Linux核心為基礎，并且只提供基本功能。在底層平臺上，第三方應用軟件則由各公司自行開發，開發語言是跨平臺的Java編程語言。為了推廣此技術，Google和其它幾十個公司建立了開放手機聯盟（OpenHandsetAlliance-OHA）。常見的手機操作系統2.iOS由蘋果公司開發的手持設備操作系統。蘋果公司最早于2007年1月9日的Macworld大會上公布這個系統。iOS與蘋果的MacOSX操作系統一樣，它也是以Darwin為基礎的，因此同樣屬于類Unix的商業操作系統。iOS的系統結構分為以下四個層次：核心操作系統（theCoreOSlayer），核心服務層（theCoreServiceslayer），媒體層（theMedialayer），Cocoa觸摸框架層（theCocoaTouchlayer）。常見的手機操作系統3.WindowsPhone-Windows10微軟發布的一款手機操作系統。前身包括WindowsCE、WindowsMobile等。具有桌面定制、圖標拖拽、滑動控制等一系列前衛的操作體驗。常見的手機操作系統4.Symbian1998年6月，由愛立信、諾基亞、摩托羅拉和Psion共同出資，籌建了Symbian公司。Symbian公司以開發和供應先進、開放、標準的手機操作系統SymbianOS為目標。Symbian公司同時向那些希望開發基于SymbianOS產品的廠商發放軟件許可證。SymbianOS在全球掌上電腦和智能手機市場上占據了大部分的份額。Symbian的優勢在于它得到了占據市場份額大多數的手持通訊設備廠商的支持，在NOKIA的大力倡導下，已經成為一個開放的、易用的、專業的開發平臺，支持C++和java語言。常見的手機操作系統5.Linux應用于智能手機上的Linux操作系統和我們常說的應用于電腦上的Linux操作系統是一個系統，而且都是全免費操作系統。在操作系統上的免費，就等于節省了產品的生產成本。Linux操作系統系統資源占用率較低，而且性能比較穩定，這都是大家公認的。如果以Linux平臺的系統資源占用程度同體積龐大的WindowsMobile相比，其結果可想而知。Linux操作系統與JAVA的相互融合，是任何一個操作系統所不能比擬的，Linux加JAVA的應用方式，能夠給用戶極大的拓展空間。常見的手機操作系統6.WebosWebos的前身為Palm。盡管Webos在娛樂性以及人機交互方面都有不少的進步，并且有著鮮明的特色，但是隨著幾款沒有競爭力的產品推出市場后表現平平，最終被交易到了惠普手中。惠普在2011年表示，將不再繼續運營WebOS系統設備業務。常見的手機操作系統7.BlackBerry黑莓系統BlackBerry黑莓系統由加拿大廠商RIM推出依靠著全鍵盤的配置，對郵件的管理，出色的用戶體驗，安全性等方面的領先，曾經是不少用戶的首選。手機操作系統弱點移動終端操作系統具有很多和普通計算機操作系統相似的弱點。不過，其最大的弱點還在于移動終端比現有的臺式機更缺乏安全措施。移動終端操作系統的設計人員從一開始就沒有太多的空間來考慮操作系統的安全問題，而且，移動終端操作系統也沒有像PC操作系統那樣經過嚴格的測試。甚至在國際通用的信息安全評估準則（ISO15408）中，都沒有涉及到移動終端操作系統的安全。移動終端操作系統的弱點主要體現在不支持任意的訪問控制（DAC,DiscretionaryAccessControl），也就是說，它不能夠區分一個用戶同另一個用戶的個人私密數據。不具備審計能力。缺少通過使用身份標示符或者身份認證進行重用控制的能力。不對數據完整性進行保護。即使部分系統有密碼保護，惡意用戶仍然可以使用調試模式輕易的得到用戶密碼，或者使用類似PalmCrypt這樣的簡單工具得到密碼。在密碼鎖定的情況下，移動終端操作系統仍然允許安裝新的應用程序。移動端惡意代碼關鍵技術：傳播途徑終端-終端：手機直接感染手機，其中間橋梁是諸如藍牙、紅外等無線連接。通過該途經傳播的最著名的病毒實例就是國際病毒編寫小組“29A”發布Cabir病毒。Cabir病毒通過手機的藍牙設備傳播，使染毒的藍牙手機通過無線方式搜索并傳染其它藍牙手機。終端-網關-終端：手機通過發送含毒程序或數據給網關（例如，WAP服務器、短信平臺等），網關染毒后再把病毒傳染給其他終端或則干擾其他終端。典型的例子是VBS.Timofonica病毒，它的破壞方式是感染短信平臺后，通過短信平臺向用戶發送垃圾信息或廣告。PC（計算機）-終端：病毒先寄宿在普通計算機上，當移動終端連接染毒計算機時，病毒傳染給移動終端。植入方式智能手機偽基站無線（WiFi、藍牙等）漏洞（os，應用）短信（彩信）網絡服務二維碼刷機共享軟件偽基站移動終端惡意代碼生存環境系統相對封閉創作空間狹窄數據格式單調1.類JAVA程序的應用2.操作系統相對穩定3.容量不斷擴大4.數據格式多媒體化移動終端設備的漏洞1.PDU格式漏洞2002年1月,荷蘭安全公司ITSX的研究人員發現，諾基亞的一些流行型號的手機的操作系統由于沒有對短信的PDU格式做例外處理，存在一個bug。黑客可以利用這個安全漏洞向手機發送一條160個字符以下長度的畸形電子文本短信息來使操作系統崩潰。該漏洞主要影響諾基亞3310、3330和6210型手機。2.特殊字符漏洞由于手機使用范圍逐漸擴大，中國安全人士對手機、無線網絡的安全也產生了興趣。2001年底，中國安全組織Xfocus的研究人員發現西門子35系列手機在處理一些特殊字符時存在漏洞，將直接導致手機關機。移動終端設備的漏洞PDU格式漏洞特殊字符漏洞Vcard漏洞Siemens的“%String”漏洞Android瀏覽器漏洞移動終端惡意代碼實例Cabir系列病毒是一個使用藍牙傳播的蠕蟲，運行于支持60系列平臺的Symbian手機DroidDreamLight系列手機木馬簡稱DDL“隱私大盜”木馬，是一批專偷短信、IMEI（手機串號）、Google賬號等隱私信息系列手機木馬，其變種數量超過60個移動終端惡意代碼實例“索馬里海盜”木馬第一批利用AndroidGingerMaster漏洞攻擊的木馬“X臥底”系列木馬2011年6月初，是一款竊聽軟件，本質上屬于黑客間諜軟件“白卡吸費魔”木馬移動終端惡意代碼實例VBS.Timofonica2000年6月，第一個攻擊手機的病毒吞錢貪婪鬼(commwarrior)彩信病毒Skulls惡意代碼是一個惡意SIS文件木馬，用無法使用的版本替換系統應用程序，以致除電話功能外的所有功能都無法使用Lasco系列惡意代碼一個使用藍牙傳播的蠕蟲。病毒感染運行于支持60系列平臺的Symbian手機。防范1.注意來電信息當對方的電話打過來時，正常情況下，屏幕上顯示的應該是來電電話號碼。如果用戶發現顯示別的字樣或奇異的符號，接電話者應不回答或立即把電話關閉。2.謹慎網絡下載病毒要想侵入終端設備，捆綁到下載程序上是一個重要途徑。因此，當用戶經手機上網時，盡量不要下載信息和資料，如果需要下載手機鈴聲或圖片，應該到正規網站下載，即使出現問題也可以找到源頭。3.不接收怪異短信短信息（彩信）中可能存在的病毒，短信息的收發越來越成為移動通信的一個重要方式，然而短信息也是感染手機病毒的一個重要途徑。當用戶接到怪異的短信時應當立即刪除。4.關閉無線連接采用藍牙技術和紅外技術的手機與外界（包括手機之間，手機與電腦之間）傳輸數據的方式更加便捷和頻繁，但對自己不了解得信息來源，應該關掉藍牙或紅外線等無線設備。如果發現自己的藍牙或紅外手機出現了病毒，應及時向廠商或軟件公司詢問并安裝補丁。5.關注安全信息關注主流信息安全廠商提供的資訊信息，及時了解手持設備的發展現狀和發作現象，做到防患于未然。移動終端安全防護工具1.國外移動終端安全防護工具BitDefender手機殺毒軟件是用來保護移動終端免受惡意代碼入侵的。該軟件主要包括兩個獨立的模塊：病毒查殺模塊和自動更新模塊。病毒查殺模塊運行于移動終端設備上，并為設備提供實時保護。自動更新模塊運行于PC機上，用來安裝配置移動設備上的病毒查殺模塊，同時提供病毒庫更新功能。其主要特征是：實時保護，病毒掃描和清除，容易更新以及專業技術支持。芬蘭的F-Secure

Corporation于Cabir病毒被發現后即投入手機病毒查殺市場，現已經開發出涵蓋主要智能手機平臺的手機安全產品。諾基亞公司最近宣布，為了更好地維護手機安全，將在其S603rd版本的手機上統一安裝反病毒廠商F-Secure公司的反病毒軟件。而且今后凡是代號為“E”系列的手機都可以直接從諾基亞公司網站的目錄服務中下載反病毒客戶端；N71系列手機的反病毒軟件則將被事先安置在手機的儲存卡上和手機一起出售。McAfeeMobileSecurity是專為移動生態系統設計、構造和實施的平臺，可前瞻性地保護移動設備免受安全威脅、漏洞和技術濫用的侵擾。它讓制造商有機會增加輸入來源、使自己的設備獨樹一幟以及提供高品質的產品。它能夠在200毫秒內檢測到惡意軟件。在發現病毒時，它會清除病毒，防止其傳播。通過保障客戶的移動網絡設備的安全，也保障了運營商合作伙伴的網絡安全。McAfeeVirusScanMobile的安裝和運行時要求非常低，嵌入式版本所占用的設備空間不超過500KB。TrendMicro

Mobile

Security由總部位于日本東京和美國硅谷的TREND

MicroCorporation針對智能手機用戶推出的免費解決方案，通過這種解決方案，趨勢能夠為客戶通信、娛樂設備提供實時、可在線更新的安全保護。趨勢科技的移動安全精靈為智能數字移動設備提供了各種病毒威脅保護以及SMS垃圾短信過濾功能。俄羅斯的Kaspersky

Lab已經推出針對Symbian

OS智能手機的殺毒軟件。這個軟件名為“Anti-Virus

Mobile

2.0”，它能夠阻止手機可疑程序的運行。安裝了Anti-Virus

Mobile

2.0的用戶可以通過WAP或者HTTP方式下載卡巴斯基的病毒升級庫。據悉，Anti-Virus

Mobile

2.0兼容Symbian

6.1、7.0s、8.0、8.1OS以及Series

60手機平臺。SymantecMobileSecurityCorporateEditionforSymbian為智能型手機提供整合式防毒及防火墻功能。它針對所有Symbian檔案型的惡意威脅(例如病毒、木馬程序)，提供了主動式防護。集中化管理讓系統管理員能執行安全政策，而自動更新則可讓裝置上的防護能力維持在最新狀態。系統的主要功能是實時的自動及手動病毒掃描功能可保護智能型手機檔案系統中儲存的檔案；防火墻使用通訊協議及通訊端口過濾，保護傳輸中的數據及應用程序；透過LiveUpdate提供無線安全與應用程序更新功能，讓裝置上的防護能力保持在最新狀態。2.國內移動終端安全防護工具360手機衛士是一款免費的手機安全軟件，集防垃圾短信，防騷擾電話，防隱私泄漏，對手機進行安全掃描，聯網云查殺惡意軟件，軟件安裝實時檢測，流量使用全掌握，系統清理手機加速，歸屬地顯示及查詢等功能于一身。為您帶來全方位的手機安全及隱私保護，是您手機的必備軟件。目前，提供Android、IPhone、Symbian等多個版本。由于360最先在計算機殺毒領域提供免費服務，且技術過硬，擁有大量的用戶群。

騰訊手機管家騰訊手機管家是一款完全免費的手機安全與管理軟件，以成為“手機安全管理軟件先鋒”為使命，在提供病毒查殺、騷擾攔截、軟件權限管理、手機防盜等安全防護的基礎上，主動滿足用戶流量監控、空間清理、體檢加速、軟件管理等高端化智能化的手機管理需求。LBE安全大師Android平臺上首款主動式防御軟件，第一款具備實時監控與攔截能力的安全軟件。LBE安全大師基于業界首創的API攔截技術，能夠實時監控與攔截系統中的敏感操作，動態攔截來自已知和未知的各種威脅。避免各類吸費軟件，廣告軟件乃至木馬病毒竊取您手機內的隱私信息以及可能產生的經濟損失。金山手機衛士金山手機衛士是金山安全軟件有限公司研發的一款手機安全產品。通過關閉運行中軟件，卸載已安裝軟件，清理垃圾文件，