移動互聯(lián)網安全形勢與典型移動互聯(lián)網惡意程序

劉超南，劉巖松

(營口職業(yè)技術學院，遼寧營口，115000)

0 引言

移動互聯(lián)網技術的快速發(fā)展使得傳統(tǒng)互聯(lián)網的邊界逐漸消失，各種數據不僅存儲在傳統(tǒng)PC機上，也遍布于網絡、手機、云以及其他智能設備上。由于黑色產業(yè)鏈的利益驅動，數據泄露事件日益加劇。在整個2016年，國內外信息泄露事件屢有發(fā)生，對社會的政治和經濟都造成重大影響。在國外，美國大選中民主黨候選人希拉里的郵件泄露事件，直接影響了美國大選的進程；雅虎的兩次賬戶信息泄露事件使約15億的個人賬戶暴露在大眾面前，導致美國電信運營商48億美元收購雅虎計劃擱置。在國內，國家免疫規(guī)劃系統(tǒng)網絡被黑客惡意入侵，20萬兒童的個人信息被竊取并在網上售賣；由于信息泄露產生的電信詐騙案件，間接奪去大學新生徐玉玉的生命。這一切都警示著我們，提防網絡詐騙，注意個人信息安全迫在眉睫。

移動互聯(lián)網惡意程序是指在用戶不知情或未授權的情況下，在移動終端系統(tǒng)中安裝、運行以達到不正當目的，或具有違反國家相關法律法規(guī)行為的可執(zhí)行文件、程序模塊或程序片段。移動互聯(lián)網惡意程序一般存在以下一種或多種惡意行為，包括惡意扣費、信息竊取、遠程控制、惡意傳播、資費消耗、系統(tǒng)破壞、誘騙欺詐和流氓行為。

在當今兩大主流移動智能設備操作系統(tǒng)中，由于安卓系統(tǒng)的開源性，移動互聯(lián)網惡意程序主要在安卓系統(tǒng)中傳播，占比達到99%，這也和安卓APP來源的多樣化和不規(guī)范性有關。

過去的一年里，發(fā)生過多次移動互聯(lián)網安全事件，現舉例分析幾個典型事件，希望能引起大家的警示。

1 安卓短信蠕蟲病毒事件

2016年2月，一款通過短信傳播的安卓蠕蟲病毒大量傳播。該病毒私自讀取用戶通信錄，向聯(lián)系人發(fā)送帶有蠕蟲病毒下載地址的惡意短信，誘騙聯(lián)系人感染。通過對病毒下載地址的域名進行溯源，分析后發(fā)現該域名注冊人名下還有7個用于傳播安卓惡意程序的域名。

該蠕蟲病毒偽裝成“檢查更新”APP，通過偽基站或者手機肉雞以短信方式進行傳播，短信內容為“×××，新年好。相片已經放到這上了t.cn/RGfj6iM”。

該惡意程序具有以下惡意行為：

（1）啟動后會隱藏自身圖標。

（2）私自讀取用戶通信錄，向用戶聯(lián)系人群發(fā)包含蠕蟲病毒下載地址的短信息。

用于下載蠕蟲病毒的短鏈接“t.cn/RGfj6iM”會跳轉到域名“dlapkb.com”，該域名的注冊人為“zengheng”，注冊郵箱為“angelhuajia@qq.com”。

國家互聯(lián)網應急中心對此進行分析，發(fā)現該注冊人名下還有6個惡意域名用于傳播安卓惡意程序，分別是“cvtech.cn”、“dlapka.com”、“dlapkc.com”、“ebankman.com”、“ebankmanager.com”、“yunzhanlve.cn”。

該系列惡意域名累計傳播過“學習成績單”、“違章查詢”、“天天數錢”、“人人紅包”、“檢查更新”、“System Constituent”、“AndroidSytemUpdata”、“Android Device Updata”8 款惡意程序的77個樣本，傳播量達2348次。

國家互聯(lián)網應急中心分析確認該惡意程序的影響范圍后，立即啟動針對該惡意代碼的處置工作，協(xié)調杭州愛名網絡有限公司、杭州電商互聯(lián)科技有限公司、溫州市中網計算機技術服務有限公司等域名注冊商對以上惡意域名進行停止解析處理，切斷惡意程序的傳播途徑。

2 安卓視頻惡意程序事件

2016年3月，一款“視頻”惡意程序通過短信的形式在安卓系統(tǒng)手機中大量傳播。該惡意程序把自己偽裝成“視頻”APP，通過偽基站或者手機肉雞給用戶發(fā)送一則短信，短信內容為“×××，我是×××，這是我?guī)湍闩牡男∫曨ldf.tc/3XQGdf”。

該惡意程序具有以下惡意行為：

（1）APP運行后會隱藏安裝圖標，同時誘騙用戶激活設備管理器，導致用戶無法卸載。

（2）該APP會向指定的手機號發(fā)送兩條短信，“軟件安裝完畢 識別碼：IMEI號碼、型號、手機系統(tǒng)版本”和“激活成功”。

（3）該APP會在用戶不知道的情況下將手機中短信和通信錄發(fā)送到指定郵箱。

（4）該APP會將用戶接收到的新短信截留到指定的手機號，同時刪除本機上的短信。

國家互聯(lián)網應急中心分析確認該惡意程序的影響范圍后，立即針對該惡意代碼，協(xié)調相關注冊商，對該域名停止解析，切斷惡意程序的傳播途徑。

3 “相冊”類惡意程序

“相冊”類安卓惡意程序是指一類針對安卓系統(tǒng)的，主要通過短信進行傳播的移動互聯(lián)網惡意程序，黑客通過發(fā)送帶有惡意程序下載鏈接的短信，誘騙用戶點擊安裝，導致感染手機的個人信息泄露。

“相冊”類惡意程序主要也是通過短信進行傳播，黑客發(fā)送的圖片帶有惡意程序下載鏈接，誘騙用戶點擊安裝。

該惡意程序具有以下惡意行為：

（1）APP運行后會隱藏安裝圖標，同時誘騙用戶激活設備管理器，導致用戶無法卸載。

（2）該APP會向指定的手機號發(fā)送兩條短信，“軟件安裝完畢 識別碼：IMEI號碼、型號、手機系統(tǒng)版本”和“激活成功”。

（3）該APP會在用戶不知道的情況下將手機中短信和通信錄發(fā)送到指定郵箱。

（4）該APP會將用戶接收到的新短信截留到指定的手機號，同時刪除本機上的短信。

在整個黑色產業(yè)鏈中，黑客盜取個人信息出售給網絡詐騙，網絡詐騙通過閱讀分析這些信息，可以了解用戶的身份信息、家庭狀況、工作環(huán)境、個人收入以及社會關系等，然后冒充該用戶的同學、好友、同事、親屬等身份甚至國家公職人員進行精準詐騙，提高詐騙的成功率。

以上惡意程序如果鏈接敲詐勒索軟件，往往會對移動用戶帶來經濟損失。區(qū)別于傳統(tǒng)PC端，主要通過對用戶電腦中的文件加密，脅迫用戶購買解密密鑰的勒索方式，在移動設備端，則是通過遠程鎖住用戶智能設備，使用戶無法正常使用，因為現在的移動智能設備不僅僅具有通信功能，還具有社交、網絡支付、記錄和拍照等功能，一旦不能使用或信息丟失會給用戶帶來大量無形的損失。從敲詐勒索軟件的傳播方式來看，傳統(tǒng)PC端和移動端表現出共性，傳播源主要是電子郵件、仿冒普通軟件、QQ 群、網盤、貼吧、或其他受害者。

截止到2016年年底，數據顯示該類惡意程序使用的程序名稱多達五百多種。其中黑客產業(yè)鏈從業(yè)者使用惡意程序名稱頻次最多的是“新的影集”，其次是“錄像”和相片。此外，黑客產業(yè)鏈從業(yè)者使用最多的10個惡意程序名稱還有影集、錄像、校訊通、照片、中國移動、相冊、資料。

目前黑客產業(yè)鏈從業(yè)者都是利用偽基站或者手機肉雞等設備，向目標人群發(fā)送帶有惡意程序下載URL鏈接，通過這種方式傳播惡意程序。為了提高鏈接的點擊率，黑客產業(yè)鏈從業(yè)者一般將鏈接進行“短鏈接”轉化，達到與其他正常短信中“短鏈接”類似的效果，誘騙用戶點擊。截止到2016年年底，數據顯示發(fā)現“相冊”類惡意程序萬余次，使用的“短鏈接”域名達四千個。這其中使用t.cn轉換的惡意鏈接最多，占總數的14.8%；其次是使用dwz.cn轉換的惡意鏈接，占總數的4.5%；第三是使用guo.kr轉換的惡意鏈接，占總數的2.4%。

移動互聯(lián)網惡意程序連續(xù)七年來保持持續(xù)高速增長趨勢，2016年，根據國家互聯(lián)網應急中心數據顯示，按惡意行為進行分類，前三位分別是流氓行為類、惡意扣費類和資費消耗類，占比分別為 61.1%、18.2%和13.6%，如下圖所示。從攻擊模式上看，通過短信傳播竊取驗證碼的移動互聯(lián)網惡意程序數量占比較大，全年超過一萬個，表現出制作簡單，攻擊模式固定，暴利等特點，移動互聯(lián)網黑色產業(yè)鏈已經成熟。

圖1 2016年惡意程序行為屬性統(tǒng)計圖

4 結語

2016年全年發(fā)現竊取用戶短信和通訊錄的惡意APP近兩萬個，受感染用戶超過百萬，嚴重危害廣大人民群眾的個人信息安全和財產安全。凈化互聯(lián)網安全環(huán)境依然任重道遠，普及移動互聯(lián)網安全知識，提高廣大人民群眾互聯(lián)網安全意識勢在必行。

參考文獻

[1]李海龍.移動互聯(lián)網安全測評關鍵技術的分析與研究[J].網絡安全技術與應用, 2017(05).

[2]楊清,文紅,陳松林,王玉秀.基于SVM算法的移動智能終端安全等級分級模型[J].通信技術,2017(04).

[3]劉念林,李汶隆.智能終端云服務平臺安全框架研究[J].網絡空間安全,2016(07).

[4]范紅,杜大海,王冠.移動互聯(lián)網安全測評關鍵技術研究[J].中興通訊技術,2015(03).

[5]李汶隆,邱吉剛,劉念林,彭偉倫.移動終端安全管理及其關鍵技術[J].信息安全與技術, 2015(02).

[6]張潔雪.中國移動終端軟件質量現狀淺析[J].軟件,2014(08).

[7]涂靜,田增山,周非.移動互聯(lián)網安全終端的設計與實現[J].電子技術應用,2013(10).