手机病毒分析与防范

　　文章通过分析当前智能手机发展趋势，以及手机病毒的危害，介绍了手机病毒的分析方法， 并从产业链角度提出了手机病毒的防范措施建议，具有一定的现实意义。

　　随着智能手机应用的丰富，以智能手机为目标的病毒攻击也日益增多，由于手机和资费紧密相连，在经济利益的驱动下，大 量出现利用手机病毒或恶意程序，发送垃圾短信、窃取用户隐私、恶意扣费、诈骗用户等问题，给手机用户带来很大的困扰和损失， 也对维护国家安全，稳定社会秩序，保护公民权力带来新的挑战。

　　手机病毒是以智能手机为感染对象，以手机网络和计算机网络为传播平台，利用发送短信、彩信、电子邮件、浏览网站、 下载铃声、蓝牙等方式传播，导致用户手机死机、关机、个人资料被删、向外发送垃圾邮件、泄露个人信息、自动拨打电话或发短(彩) 信等恶意行为，甚至会损毁SIM 卡、芯片等硬件，导致使用者无法正常使用手机，从而造成手机或手机网络异常的一种新型病毒。

　　在 3G 时代和智能手机快速发展的今天，市场上的手机操作系统已经向四大智能手机主流操作系统集中：塞班(Symbian)、 安卓(Android)、Windows Mobile和苹果IOS。 单一操作系统终端绝对数量的日趋增加，为病毒的传播创造了环境，同时，开放的 操作系统可以方便地安装各种应用程序也为恶意代码提供了可乘之机。随着Android 不断代替Symbian 系统，占领并扩大智能终 端市场，针对Android 平台的恶意程序也呈现爆发式增长。

　　手机病毒几乎具备了计算机病毒的所有特性，而且一旦手机系统的漏洞被发现，这些特性将有可能被利用的淋漓尽致。对于用 户而言，不仅将面临着经济、信用上的损失，还将面临着隐私泄露和通信方面的障碍；对于网络而言，手机病毒可能会造成网络瘫痪， 网络事故，控制大量手机的病毒更可能进行政治、军事攻击；对于运营商而言，这些威胁不仅会让他们的业务运营成本增加，还将 大大降低他们在用户心目中的好感度；对于终端厂商而言，售后服务成本增加，手机耗电量的上升是他们不得不面对的问题；内容 服务商与政府主管部门同样会受到手机病毒带来的安全威胁的影响，这些都对移动互联网安全形成了严峻的挑战1-61。

　　手机病毒具有传染性、破坏性、隐蔽性、寄生性、潜伏性、可执行性、可触发性、衍生性、欺骗性、不可预见性等特征，根 据检测分析的时机不同，我们分析手机病毒可以采用动态方法和静态方法两种。动态分析在病毒程序运行过程中进行，动态监控手机病毒运行后的各种状况，并详细记录；静态分析在病 毒程序运行之前进行，对程序进行反汇编，从源码分析其特征。 然而，在实际分析过程中，通常采用动静结合的方法，更容易 对病毒样本进行全面分析。

　　本文以一个具有向控制服务器发送手机隐私信息、发 送扣费信息，拦截中国移动和中国联通客服短信等能力的 Android 木马病毒为例，采用动静结合的方法介绍基于手机 Android系统的病毒分析方法。

　　借助Android平台虚拟机，我们可以实现Android手机病毒 的动态分析。手机病毒的动态分析可以通过以下几种方式实现。

　　1)手机自启动方式检查。可以通过自启动项管理等软件 对自启动项进行察看。

　　2)手机文件系统检查。通过对手机可疑位置文件的检查， 有助于发现和分析病毒文件。 一般用户的权限只能打开有限的 文件夹，特别是SD 卡可以在电脑上进行比较。

　　3)手机运行任务检查。对于手机系统来讲，为了能够及 时有效的发现手机病毒木马程序，必须采用动静结合的方式。 通过对Android 运行任务进行检查可以发现是否有可疑程序 在运行。

　　4)手机联网检查。手机病毒木马要运行时， 一般会采取 多种方式和外部进行数据传输，这就需要进行联网，针对手 机的Wi-Fi 功能，还可以通过对网络抓包来分析手机访问网 络数据的内容。

　　5)手机功能检查。检查手机是否有死机、自动关机、非 正常的短信或彩信交互、擅自推送广告或欺诈信息、恶意扣费 等情况出现。

　　将木马病毒激活后，借助上述几种方法对手机病毒进行 动态检查，通过分析发现该恶意程序能够实现开机自启动， 并具备了一些正常手机软件没有的恶意权限。这些权限的增加 将给手机带来安全隐患，必须予以关注，进而展开对该病毒 的静态分析，从而掌握其具体的恶意意图。

　　与手机病毒动态分析相比，静态逆向分析能耗更低，风 险更小，对实时性要求更低。静态分析技术是将可执行程序 反汇编，通过分析反汇编代码来理解其代码功能，即在不 执行应用程序的情况下对其行为进行分析的技术。通过对 Android 程序的认识，有两种主流方式可以实现对Android 恶 意程序的静态逆向分析， 一种是将APK 程序利用Apktool 等 工具进行反编译，生成程序的源代码和图片、 XML 配置、语 言资源等文件，然后对相关文件进行查看，查找具有恶意意图 的代码，并对其进行验证；另外一种是先使用Dex2jar 工具将 程序反编译成jar格式，然后再用JD-CUI 直接查看源代码进行分析。在实际分析过程中，通常是结合这两种方法进行分析。

　　AndroidManifest.xml 文件是每个Android 程序中必不可 少的，它包含了组成应用程序的每一个组件的节点，并使用 Intent过滤器和权限来确定这些组件之间以及这些组件和其他 应用程序是如何交互的。 classes.dex文件是Java 源码编译后 生成的Java 字节码文件，包含安卓应用程序的主要代码。手 机病毒制造者通过改写这些文件来达到恶意目的，因此在分 析时着重对这些文件进行研究，可以有效地分析出恶意代码 的主要功能。 AndroidManifest.xml和 classes.dex都需要借助工

　　如同计算机病毒一样，手机病毒也是随着手机启动而自 动运行的，特别是在智能手机系统上，自启动技术是必备的 一种功能，这也为手机病毒木马提供了生存空间。 Android 开机自启动可以通过定义一个BroadcastReceiver 类、配置 Receiver许可等方式来实现。

　　2 ) 配 置 Receiver 许可。允许接收系统启动消息，在 AndroidManifest.xml 中把接受消息意图的类和消息意图关联， 代码如下：

　　以该 Android 木马为例，先使用Apktool进行反编译， 得到AndroidManifest.xml。分析该文件可见，相比于正常的 Android程序，恶意代码增加了开机启动、读取电话信息、接 收短信、发送短信、更改网络连接、修改/删除SD 卡中的内 容等权限，同时有相关函数进行操作。

　　用Dex2jar和JD-GUI 查看源代码分析相关函数，如图书 1所示。

　　分析发现，该恶意程序会搜集用户手机信息，并拦截来 自10086和10010的短信等。

　　政府相关部门应针对移动互联网技术发展和业务管理建 立并完善相应的法律法规和技术规范，规范个人和机构的不 法行为，完善安全监管机制，在行政和法律层面上维护手机 的安全性；加大执法力度，严厉打击各类手机违法犯罪行为。 同时，相关部门还应加大评估方面的研究工作，针对新技术、 新业务建立相应的移动智能终端安全标准和评估机制，使安 全隐患在业务推广普及前得到及时有效的解决。

　　运营商需要从多层次、多角度来保障移动网络安全，充 分挖掘整合并形成综合、强大的业务管理平台，从而构建健 康网络。首先，运营商需要组建一支由手机病毒分析人员、网 络维护人员、客户服务人员、法律事务人员等组成的专业病毒 防护团队；其次，建立起一套手机病毒处置工作体系，搭建 手机病毒监测系统，根据移动互联网恶意代码处置工作流程， 开展病毒监测、病毒研判、病毒预警、病毒控制、应急响应 等各项工作，确保网络安全，提升网络质量。

　　对于智能手机厂商而言，必须加强与运营商、安全软件 厂商的合作，着力完善手机操作系统的内部程序结构，提高 硬件的安全性，堵塞安全漏洞。在完善软件签名制，提高软 件可信度的同时，让程序以完成其拥有许可任务的最小特权级 运行，减少由意外、错误或恶意代码造成的风险。通过平台 安全策略阻止用户调用比较危险的API 函数或私自安装的程 序运行，提高产品应对各种安全攻击的防御能力。

　　为应对手机病毒的安全威胁，安全厂商也应在技术领域 不断进行创新，及时提供相关的解决方案，对于影响较大的 安全事件应及时上报相关政府职能部门。在技术层面，将“云 安全”技术引入移动互联网将进一步加快对安全威胁的快速 响应。通过“云安全”技术的系统融合，将从包括渠道、终 端等多个层面实现对手机恶意软件的全面排查。在产品层面， 大力提高技术研发水平，通过变换产品设计思路，由传统单一 功能的产品防护向集中统一管理的产品类型转移，对恶意软件 的下载、安装、启动后可能实现的恶意攻击进行全面防范，不 断提高自身产品抵御安全威胁的能力。

　　用户作为手机使用者来说，自身积极的防范是最重要的。 建议用户在购买新手机时应尽量选择从正规渠道购买；在选 择应用下载网站时，选择大型可信站点，安装软件时，注意 观察软件权限，不要下载安装功能不清的软件；慎重查看来 历不明的短信和彩信；及时安装有效的手机防护软件并定期 升级；及时备份手机数据并定期检测手机系统是否正常等。

　　随着移动互联网技术的发展和手机应用的不断扩大，手 机病毒技术也将快速发展，所造成的危害也会与日俱增，对 手机病毒的分析研究必须引起人们的高度重视，同时要整合 产业链和全社会各方面的力量对其进行防范，着力创新具有自 主知识产权的关键安全技术，加强监管，共同营造健康的移 动互联网环境。 (责编程斌)返回搜狐，查看更多