移动互联网安全形势与典型移动互联网恶意程序

刘超南，刘岩松

(营口职业技术学院，辽宁营口，115000)

0 引言

移动互联网技术的快速发展使得传统互联网的边界逐渐消失，各种数据不仅存储在传统PC机上，也遍布于网络、手机、云以及其他智能设备上。由于黑色产业链的利益驱动，数据泄露事件日益加剧。在整个2016年，国内外信息泄露事件屡有发生，对社会的政治和经济都造成重大影响。在国外，美国大选中民主党候选人希拉里的邮件泄露事件，直接影响了美国大选的进程；雅虎的两次账户信息泄露事件使约15亿的个人账户暴露在大众面前，导致美国电信运营商48亿美元收购雅虎计划搁置。在国内，国家免疫规划系统网络被黑客恶意入侵，20万儿童的个人信息被窃取并在网上售卖；由于信息泄露产生的电信诈骗案件，间接夺去大学新生徐玉玉的生命。这一切都警示着我们，提防网络诈骗，注意个人信息安全迫在眉睫。

移动互联网恶意程序是指在用户不知情或未授权的情况下，在移动终端系统中安装、运行以达到不正当目的，或具有违反国家相关法律法规行为的可执行文件、程序模块或程序片段。移动互联网恶意程序一般存在以下一种或多种恶意行为，包括恶意扣费、信息窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈和流氓行为。

在当今两大主流移动智能设备操作系统中，由于安卓系统的开源性，移动互联网恶意程序主要在安卓系统中传播，占比达到99%，这也和安卓APP来源的多样化和不规范性有关。

过去的一年里，发生过多次移动互联网安全事件，现举例分析几个典型事件，希望能引起大家的警示。

1 安卓短信蠕虫病毒事件

2016年2月，一款通过短信传播的安卓蠕虫病毒大量传播。该病毒私自读取用户通信录，向联系人发送带有蠕虫病毒下载地址的恶意短信，诱骗联系人感染。通过对病毒下载地址的域名进行溯源，分析后发现该域名注册人名下还有7个用于传播安卓恶意程序的域名。

该蠕虫病毒伪装成“检查更新”APP，通过伪基站或者手机肉鸡以短信方式进行传播，短信内容为“×××，新年好。相片已经放到这上了t.cn/RGfj6iM”。

该恶意程序具有以下恶意行为：

（1）启动后会隐藏自身图标。

（2）私自读取用户通信录，向用户联系人群发包含蠕虫病毒下载地址的短信息。

用于下载蠕虫病毒的短链接“t.cn/RGfj6iM”会跳转到域名“dlapkb.com”，该域名的注册人为“zengheng”，注册邮箱为“angelhuajia@qq.com”。

国家互联网应急中心对此进行分析，发现该注册人名下还有6个恶意域名用于传播安卓恶意程序，分别是“cvtech.cn”、“dlapka.com”、“dlapkc.com”、“ebankman.com”、“ebankmanager.com”、“yunzhanlve.cn”。

该系列恶意域名累计传播过“学习成绩单”、“违章查询”、“天天数钱”、“人人红包”、“检查更新”、“System Constituent”、“AndroidSytemUpdata”、“Android Device Updata”8 款恶意程序的77个样本，传播量达2348次。

国家互联网应急中心分析确认该恶意程序的影响范围后，立即启动针对该恶意代码的处置工作，协调杭州爱名网络有限公司、杭州电商互联科技有限公司、温州市中网计算机技术服务有限公司等域名注册商对以上恶意域名进行停止解析处理，切断恶意程序的传播途径。

2 安卓视频恶意程序事件

2016年3月，一款“视频”恶意程序通过短信的形式在安卓系统手机中大量传播。该恶意程序把自己伪装成“视频”APP，通过伪基站或者手机肉鸡给用户发送一则短信，短信内容为“×××，我是×××，这是我帮你拍的小视频df.tc/3XQGdf”。

该恶意程序具有以下恶意行为：

（1）APP运行后会隐藏安装图标，同时诱骗用户激活设备管理器，导致用户无法卸载。

（2）该APP会向指定的手机号发送两条短信，“软件安装完毕 识别码：IMEI号码、型号、手机系统版本”和“激活成功”。

（3）该APP会在用户不知道的情况下将手机中短信和通信录发送到指定邮箱。

（4）该APP会将用户接收到的新短信截留到指定的手机号，同时删除本机上的短信。

国家互联网应急中心分析确认该恶意程序的影响范围后，立即针对该恶意代码，协调相关注册商，对该域名停止解析，切断恶意程序的传播途径。

3 “相册”类恶意程序

“相册”类安卓恶意程序是指一类针对安卓系统的，主要通过短信进行传播的移动互联网恶意程序，黑客通过发送带有恶意程序下载链接的短信，诱骗用户点击安装，导致感染手机的个人信息泄露。

“相册”类恶意程序主要也是通过短信进行传播，黑客发送的图片带有恶意程序下载链接，诱骗用户点击安装。

该恶意程序具有以下恶意行为：

（1）APP运行后会隐藏安装图标，同时诱骗用户激活设备管理器，导致用户无法卸载。

（2）该APP会向指定的手机号发送两条短信，“软件安装完毕 识别码：IMEI号码、型号、手机系统版本”和“激活成功”。

（3）该APP会在用户不知道的情况下将手机中短信和通信录发送到指定邮箱。

（4）该APP会将用户接收到的新短信截留到指定的手机号，同时删除本机上的短信。

在整个黑色产业链中，黑客盗取个人信息出售给网络诈骗，网络诈骗通过阅读分析这些信息，可以了解用户的身份信息、家庭状况、工作环境、个人收入以及社会关系等，然后冒充该用户的同学、好友、同事、亲属等身份甚至国家公职人员进行精准诈骗，提高诈骗的成功率。

以上恶意程序如果链接敲诈勒索软件，往往会对移动用户带来经济损失。区别于传统PC端，主要通过对用户电脑中的文件加密，胁迫用户购买解密密钥的勒索方式，在移动设备端，则是通过远程锁住用户智能设备，使用户无法正常使用，因为现在的移动智能设备不仅仅具有通信功能，还具有社交、网络支付、记录和拍照等功能，一旦不能使用或信息丢失会给用户带来大量无形的损失。从敲诈勒索软件的传播方式来看，传统PC端和移动端表现出共性，传播源主要是电子邮件、仿冒普通软件、QQ 群、网盘、贴吧、或其他受害者。

截止到2016年年底，数据显示该类恶意程序使用的程序名称多达五百多种。其中黑客产业链从业者使用恶意程序名称频次最多的是“新的影集”，其次是“录像”和相片。此外，黑客产业链从业者使用最多的10个恶意程序名称还有影集、录像、校讯通、照片、中国移动、相册、资料。

目前黑客产业链从业者都是利用伪基站或者手机肉鸡等设备，向目标人群发送带有恶意程序下载URL链接，通过这种方式传播恶意程序。为了提高链接的点击率，黑客产业链从业者一般将链接进行“短链接”转化，达到与其他正常短信中“短链接”类似的效果，诱骗用户点击。截止到2016年年底，数据显示发现“相册”类恶意程序万余次，使用的“短链接”域名达四千个。这其中使用t.cn转换的恶意链接最多，占总数的14.8%；其次是使用dwz.cn转换的恶意链接，占总数的4.5%；第三是使用guo.kr转换的恶意链接，占总数的2.4%。

移动互联网恶意程序连续七年来保持持续高速增长趋势，2016年，根据国家互联网应急中心数据显示，按恶意行为进行分类，前三位分别是流氓行为类、恶意扣费类和资费消耗类，占比分别为 61.1%、18.2%和13.6%，如下图所示。从攻击模式上看，通过短信传播窃取验证码的移动互联网恶意程序数量占比较大，全年超过一万个，表现出制作简单，攻击模式固定，暴利等特点，移动互联网黑色产业链已经成熟。

图1 2016年恶意程序行为属性统计图

4 结语

2016年全年发现窃取用户短信和通讯录的恶意APP近两万个，受感染用户超过百万，严重危害广大人民群众的个人信息安全和财产安全。净化互联网安全环境依然任重道远，普及移动互联网安全知识，提高广大人民群众互联网安全意识势在必行。

参考文献

[1]李海龙.移动互联网安全测评关键技术的分析与研究[J].网络安全技术与应用, 2017(05).

[2]杨清,文红,陈松林,王玉秀.基于SVM算法的移动智能终端安全等级分级模型[J].通信技术,2017(04).

[3]刘念林,李汶隆.智能终端云服务平台安全框架研究[J].网络空间安全,2016(07).

[4]范红,杜大海,王冠.移动互联网安全测评关键技术研究[J].中兴通讯技术,2015(03).

[5]李汶隆,邱吉刚,刘念林,彭伟伦.移动终端安全管理及其关键技术[J].信息安全与技术, 2015(02).

[6]张洁雪.中国移动终端软件质量现状浅析[J].软件,2014(08).

[7]涂静,田增山,周非.移动互联网安全终端的设计与实现[J].电子技术应用,2013(10).