《恶意代码基础与防范（微课版）》 课件 第6章 移动智能终端恶意代码

移动智能终端恶意代码本章学习目标了解移动终端掌握移动终端恶意代码的基本概念了解移动终端操作系统了解移动终端恶意代码的危害和防范了解移动终端杀毒工具不容忽视的一大泄密隐患通话时，……待机时，……关机时，……通话时1996.4.22凌晨4：00，俄罗斯空军运用A-50预警机，截获了杜耶达夫与他人的手机通信，并在全球定位系统的帮助下，准确地测出了杜耶达夫所在位置的坐标。几分钟之后，俄罗斯空军用导弹击中了杜耶达夫正在通话的小楼。待机状态如何？即使在待机状态，手机也与通信网络保持不间断的信号交换，此时产生的电磁波谱很容易利用侦查监视技术发现、识别、侦察和跟踪目标，并对目标进行定位，从中获得有价值的情报。关机状态如何？同样不可以高枕无忧。在手机制造过程中就在芯片中植入接收和发送功能，这种手机即使关机，但只要有电池，机内的接收装置就能将话音信息接收到，并可随时发送出去。如何保密？1在必要时将手机中的电池取出，彻底断绝手机的电源；2将手机放在远离谈话场所的地方，避免被窃听。3在一些发达国家的情报部门，军方和重要政府部门，都禁止在办公场所使用移动电话，即使是关闭的手机也不允许带入。全天候监控过滤美国国家安全局1971年开始建立的一个代号为“梯队系统”的电子监听监测网络系统，整个系统动用了120颗卫星，在美国和英国设置了二个数据中心。该系统全天候监控，一旦出现与数据库中关键词相关的信息，系统便会自动记录并分析，再交工作人员进行深入分析。据称，全世界95%的通信都要经过这一系统高速计算机的“过滤”，全部电话、文传、电子邮件都会被它截获。

信息时代的国家安全不容忽视，而小小手机正是关系到国家信息安全的大问题。IDC2018全球手机出货量智能化功能在给用户带来便利的同时，也带来了潜在的安全问题。2018年腾讯安全报告2017年Android平台新增恶意代码样本数量（GData）（数据来源GData）2018年360中国手机病毒报告2017年第一季度Android恶意软件情况数据来源3602006年前据ScientificAmerican报告，到2006年8月，全球移动终端恶意代码总数量已超过300多个。2008年手机安全事件分类统计FromMcAfee

据反病毒软件厂商卡巴斯基（KasperskyLab）日前表示，在2009年8月至2010年12月的这16个月间，针对移动设备的恶意程序的数量已经翻了一倍。2010年，检测到的新型移动设备病毒较上年增加65%以上。2010年底，卡巴斯基数据库中的移动设备病毒共有153类，1,000多个变种。2011年Android平台月新增恶意软件数量From奇虎3602011年中国互联网网络安全态势报告2011年CNCERT捕获移动互联网恶意程序（手机病毒）数量较2010年增加超过两倍。恶意扣费类恶意程序数量最多，其次是恶意传播类、信息窃取类、流氓行为类和远程控制类。2011年境内约712万个上网的智能手机感染手机病毒。国家互联网应急中心2014年上半年360互联网安全中心累计截获安卓平台新增恶意程序样本超过84.0万个，安卓用户感染恶意程序8923.52万人次。移动终端（MobileTerminal-MT）涵盖所有的现有的和即将出现的各式各样、各种功能的手机和PDA（PersonalDigitalAssistant,个人数字助理）。随着无线移动通信技术和应用的发展，使现有的手持设备功能变得丰富多彩，它可以照、摄像，可以是一个小型移动电视机、也可以是可视电话机，并可具有PC大部分功能，当然它也可以用作移动电子商务，可作认证，将来还可作持有者身份证明（身份证、护照），它也是个人移动娱乐终端。总之，移动终端可以在移动中完成语音、数据、图像等各种信息的交换和再现。手机病毒手机病毒的定义手机病毒和计算机病毒一样，以手机为感染对象，以手机网络和计算机网络为平台，通过病毒短信等形式，对手机进行攻击，从而造成手机异常的一种新型病毒。移动终端恶意代码移动终端恶意代码是对移动终端各种病毒的广义称呼，它包括以移动终端为感染对象而设计的普通病毒、木马等。移动终端恶意代码以移动终端为感染对象，以移动终端网络和计算机网络为平台，通过无线或有线通讯等方式，对移动终端进行攻击，从而造成移动终端异常的各种不良程序代码。市场调研机构Kantar发布了2018年第一季度移动操作系统市场份额数据，数据中呈现了中、美、日、英、法等多个国家地区的系统占比情况。智能手机操作系统常见的手机操作系统1.AndroidGoogle在2007年11月公布的基于Linux平台的开源智能手机操作系统。由操作系统、中间件和应用程序组成，是首个为移动终端打造的开放和完整的移动软件。采用了软件栈(softwarestack)的架构，底层以Linux核心为基础，并且只提供基本功能。在底层平台上，第三方应用软件则由各公司自行开发，开发语言是跨平台的Java编程语言。为了推广此技术，Google和其它几十个公司建立了开放手机联盟（OpenHandsetAlliance-OHA）。常见的手机操作系统2.iOS由苹果公司开发的手持设备操作系统。苹果公司最早于2007年1月9日的Macworld大会上公布这个系统。iOS与苹果的MacOSX操作系统一样，它也是以Darwin为基础的，因此同样属于类Unix的商业操作系统。iOS的系统结构分为以下四个层次：核心操作系统（theCoreOSlayer），核心服务层（theCoreServiceslayer），媒体层（theMedialayer），Cocoa触摸框架层（theCocoaTouchlayer）。常见的手机操作系统3.WindowsPhone-Windows10微软发布的一款手机操作系统。前身包括WindowsCE、WindowsMobile等。具有桌面定制、图标拖拽、滑动控制等一系列前卫的操作体验。常见的手机操作系统4.Symbian1998年6月，由爱立信、诺基亚、摩托罗拉和Psion共同出资，筹建了Symbian公司。Symbian公司以开发和供应先进、开放、标准的手机操作系统SymbianOS为目标。Symbian公司同时向那些希望开发基于SymbianOS产品的厂商发放软件许可证。SymbianOS在全球掌上电脑和智能手机市场上占据了大部分的份额。Symbian的优势在于它得到了占据市场份额大多数的手持通讯设备厂商的支持，在NOKIA的大力倡导下，已经成为一个开放的、易用的、专业的开发平台，支持C++和java语言。常见的手机操作系统5.Linux应用于智能手机上的Linux操作系统和我们常说的应用于电脑上的Linux操作系统是一个系统，而且都是全免费操作系统。在操作系统上的免费，就等于节省了产品的生产成本。Linux操作系统系统资源占用率较低，而且性能比较稳定，这都是大家公认的。如果以Linux平台的系统资源占用程度同体积庞大的WindowsMobile相比，其结果可想而知。Linux操作系统与JAVA的相互融合，是任何一个操作系统所不能比拟的，Linux加JAVA的应用方式，能够给用户极大的拓展空间。常见的手机操作系统6.WebosWebos的前身为Palm。尽管Webos在娱乐性以及人机交互方面都有不少的进步，并且有着鲜明的特色，但是随着几款没有竞争力的产品推出市场后表现平平，最终被交易到了惠普手中。惠普在2011年表示，将不再继续运营WebOS系统设备业务。常见的手机操作系统7.BlackBerry黑莓系统BlackBerry黑莓系统由加拿大厂商RIM推出依靠着全键盘的配置，对邮件的管理，出色的用户体验，安全性等方面的领先，曾经是不少用户的首选。手机操作系统弱点移动终端操作系统具有很多和普通计算机操作系统相似的弱点。不过，其最大的弱点还在于移动终端比现有的台式机更缺乏安全措施。移动终端操作系统的设计人员从一开始就没有太多的空间来考虑操作系统的安全问题，而且，移动终端操作系统也没有像PC操作系统那样经过严格的测试。甚至在国际通用的信息安全评估准则（ISO15408）中，都没有涉及到移动终端操作系统的安全。移动终端操作系统的弱点主要体现在不支持任意的访问控制（DAC,DiscretionaryAccessControl），也就是说，它不能够区分一个用户同另一个用户的个人私密数据。不具备审计能力。缺少通过使用身份标示符或者身份认证进行重用控制的能力。不对数据完整性进行保护。即使部分系统有密码保护，恶意用户仍然可以使用调试模式轻易的得到用户密码，或者使用类似PalmCrypt这样的简单工具得到密码。在密码锁定的情况下，移动终端操作系统仍然允许安装新的应用程序。移动端恶意代码关键技术：传播途径终端-终端：手机直接感染手机，其中间桥梁是诸如蓝牙、红外等无线连接。通过该途经传播的最著名的病毒实例就是国际病毒编写小组“29A”发布Cabir病毒。Cabir病毒通过手机的蓝牙设备传播，使染毒的蓝牙手机通过无线方式搜索并传染其它蓝牙手机。终端-网关-终端：手机通过发送含毒程序或数据给网关（例如，WAP服务器、短信平台等），网关染毒后再把病毒传染给其他终端或则干扰其他终端。典型的例子是VBS.Timofonica病毒，它的破坏方式是感染短信平台后，通过短信平台向用户发送垃圾信息或广告。PC（计算机）-终端：病毒先寄宿在普通计算机上，当移动终端连接染毒计算机时，病毒传染给移动终端。植入方式智能手机伪基站无线（WiFi、蓝牙等）漏洞（os，应用）短信（彩信）网络服务二维码刷机共享软件伪基站移动终端恶意代码生存环境系统相对封闭创作空间狭窄数据格式单调1.类JAVA程序的应用2.操作系统相对稳定3.容量不断扩大4.数据格式多媒体化移动终端设备的漏洞1.PDU格式漏洞2002年1月,荷兰安全公司ITSX的研究人员发现，诺基亚的一些流行型号的手机的操作系统由于没有对短信的PDU格式做例外处理，存在一个bug。黑客可以利用这个安全漏洞向手机发送一条160个字符以下长度的畸形电子文本短信息来使操作系统崩溃。该漏洞主要影响诺基亚3310、3330和6210型手机。2.特殊字符漏洞由于手机使用范围逐渐扩大，中国安全人士对手机、无线网络的安全也产生了兴趣。2001年底，中国安全组织Xfocus的研究人员发现西门子35系列手机在处理一些特殊字符时存在漏洞，将直接导致手机关机。移动终端设备的漏洞PDU格式漏洞特殊字符漏洞Vcard漏洞Siemens的“%String”漏洞Android浏览器漏洞移动终端恶意代码实例Cabir系列病毒是一个使用蓝牙传播的蠕虫，运行于支持60系列平台的Symbian手机DroidDreamLight系列手机木马简称DDL“隐私大盗”木马，是一批专偷短信、IMEI（手机串号）、Google账号等隐私信息系列手机木马，其变种数量超过60个移动终端恶意代码实例“索马里海盗”木马第一批利用AndroidGingerMaster漏洞攻击的木马“X卧底”系列木马2011年6月初，是一款窃听软件，本质上属于黑客间谍软件“白卡吸费魔”木马移动终端恶意代码实例VBS.Timofonica2000年6月，第一个攻击手机的病毒吞钱贪婪鬼(commwarrior)彩信病毒Skulls恶意代码是一个恶意SIS文件木马，用无法使用的版本替换系统应用程序，以致除电话功能外的所有功能都无法使用Lasco系列恶意代码一个使用蓝牙传播的蠕虫。病毒感染运行于支持60系列平台的Symbian手机。防范1.注意来电信息当对方的电话打过来时，正常情况下，屏幕上显示的应该是来电电话号码。如果用户发现显示别的字样或奇异的符号，接电话者应不回答或立即把电话关闭。2.谨慎网络下载病毒要想侵入终端设备，捆绑到下载程序上是一个重要途径。因此，当用户经手机上网时，尽量不要下载信息和资料，如果需要下载手机铃声或图片，应该到正规网站下载，即使出现问题也可以找到源头。3.不接收怪异短信短信息（彩信）中可能存在的病毒，短信息的收发越来越成为移动通信的一个重要方式，然而短信息也是感染手机病毒的一个重要途径。当用户接到怪异的短信时应当立即删除。4.关闭无线连接采用蓝牙技术和红外技术的手机与外界（包括手机之间，手机与电脑之间）传输数据的方式更加便捷和频繁，但对自己不了解得信息来源，应该关掉蓝牙或红外线等无线设备。如果发现自己的蓝牙或红外手机出现了病毒，应及时向厂商或软件公司询问并安装补丁。5.关注安全信息关注主流信息安全厂商提供的资讯信息，及时了解手持设备的发展现状和发作现象，做到防患于未然。移动终端安全防护工具1.国外移动终端安全防护工具BitDefender手机杀毒软件是用来保护移动终端免受恶意代码入侵的。该软件主要包括两个独立的模块：病毒查杀模块和自动更新模块。病毒查杀模块运行于移动终端设备上，并为设备提供实时保护。自动更新模块运行于PC机上，用来安装配置移动设备上的病毒查杀模块，同时提供病毒库更新功能。其主要特征是：实时保护，病毒扫描和清除，容易更新以及专业技术支持。芬兰的F-Secure

Corporation于Cabir病毒被发现后即投入手机病毒查杀市场，现已经开发出涵盖主要智能手机平台的手机安全产品。诺基亚公司最近宣布，为了更好地维护手机安全，将在其S603rd版本的手机上统一安装反病毒厂商F-Secure公司的反病毒软件。而且今后凡是代号为“E”系列的手机都可以直接从诺基亚公司网站的目录服务中下载反病毒客户端；N71系列手机的反病毒软件则将被事先安置在手机的储存卡上和手机一起出售。McAfeeMobileSecurity是专为移动生态系统设计、构造和实施的平台，可前瞻性地保护移动设备免受安全威胁、漏洞和技术滥用的侵扰。它让制造商有机会增加输入来源、使自己的设备独树一帜以及提供高品质的产品。它能够在200毫秒内检测到恶意软件。在发现病毒时，它会清除病毒，防止其传播。通过保障客户的移动网络设备的安全，也保障了运营商合作伙伴的网络安全。McAfeeVirusScanMobile的安装和运行时要求非常低，嵌入式版本所占用的设备空间不超过500KB。TrendMicro

Mobile

Security由总部位于日本东京和美国硅谷的TREND

MicroCorporation针对智能手机用户推出的免费解决方案，通过这种解决方案，趋势能够为客户通信、娱乐设备提供实时、可在线更新的安全保护。趋势科技的移动安全精灵为智能数字移动设备提供了各种病毒威胁保护以及SMS垃圾短信过滤功能。俄罗斯的Kaspersky

Lab已经推出针对Symbian

OS智能手机的杀毒软件。这个软件名为“Anti-Virus

Mobile

2.0”，它能够阻止手机可疑程序的运行。安装了Anti-Virus

Mobile

2.0的用户可以通过WAP或者HTTP方式下载卡巴斯基的病毒升级库。据悉，Anti-Virus

Mobile

2.0兼容Symbian

6.1、7.0s、8.0、8.1OS以及Series

60手机平台。SymantecMobileSecurityCorporateEditionforSymbian为智能型手机提供整合式防毒及防火墙功能。它针对所有Symbian档案型的恶意威胁(例如病毒、木马程序)，提供了主动式防护。集中化管理让系统管理员能执行安全政策，而自动更新则可让装置上的防护能力维持在最新状态。系统的主要功能是实时的自动及手动病毒扫描功能可保护智能型手机档案系统中储存的档案；防火墙使用通讯协议及通讯端口过滤，保护传输中的数据及应用程序；透过LiveUpdate提供无线安全与应用程序更新功能，让装置上的防护能力保持在最新状态。2.国内移动终端安全防护工具360手机卫士是一款免费的手机安全软件，集防垃圾短信，防骚扰电话，防隐私泄漏，对手机进行安全扫描，联网云查杀恶意软件，软件安装实时检测，流量使用全掌握，系统清理手机加速，归属地显示及查询等功能于一身。为您带来全方位的手机安全及隐私保护，是您手机的必备软件。目前，提供Android、IPhone、Symbian等多个版本。由于360最先在计算机杀毒领域提供免费服务，且技术过硬，拥有大量的用户群。

腾讯手机管家腾讯手机管家是一款完全免费的手机安全与管理软件，以成为“手机安全管理软件先锋”为使命，在提供病毒查杀、骚扰拦截、软件权限管理、手机防盗等安全防护的基础上，主动满足用户流量监控、空间清理、体检加速、软件管理等高端化智能化的手机管理需求。LBE安全大师Android平台上首款主动式防御软件，第一款具备实时监控与拦截能力的安全软件。LBE安全大师基于业界首创的API拦截技术，能够实时监控与拦截系统中的敏感操作，动态拦截来自已知和未知的各种威胁。避免各类吸费软件，广告软件乃至木马病毒窃取您手机内的隐私信息以及可能产生的经济损失。金山手机卫士金山手机卫士是金山安全软件有限公司研发的一款手机安全产品。通过关闭运行中软件，卸载已安装软件，清理垃圾文件，