劉超南，劉巖松

(營口職業(yè)技術(shù)學(xué)院，遼寧營口，115000)

0 引言

移動互聯(lián)網(wǎng)技術(shù)的快速發(fā)展使得傳統(tǒng)互聯(lián)網(wǎng)的邊界逐漸消失，各種數(shù)據(jù)不僅存儲在傳統(tǒng)PC機上，也遍布于網(wǎng)絡(luò)、手機、云以及其他智能設(shè)備上。由于黑色產(chǎn)業(yè)鏈的利益驅(qū)動，數(shù)據(jù)泄露事件日益加劇。在整個2016年，國內(nèi)外信息泄露事件屢有發(fā)生，對社會的政治和經(jīng)濟都造成重大影響。在國外，美國大選中民主黨候選人希拉里的郵件泄露事件，直接影響了美國大選的進程；雅虎的兩次賬戶信息泄露事件使約15億的個人賬戶暴露在大眾面前，導(dǎo)致美國電信運營商48億美元收購雅虎計劃擱置。在國內(nèi)，國家免疫規(guī)劃系統(tǒng)網(wǎng)絡(luò)被黑客惡意入侵，20萬兒童的個人信息被竊取并在網(wǎng)上售賣；由于信息泄露產(chǎn)生的電信詐騙案件，間接奪去大學(xué)新生徐玉玉的生命。這一切都警示著我們，提防網(wǎng)絡(luò)詐騙，注意個人信息安全迫在眉睫。

移動互聯(lián)網(wǎng)惡意程序是指在用戶不知情或未授權(quán)的情況下，在移動終端系統(tǒng)中安裝、運行以達(dá)到不正當(dāng)目的，或具有違反國家相關(guān)法律法規(guī)行為的可執(zhí)行文件、程序模塊或程序片段。移動互聯(lián)網(wǎng)惡意程序一般存在以下一種或多種惡意行為，包括惡意扣費、信息竊取、遠(yuǎn)程控制、惡意傳播、資費消耗、系統(tǒng)破壞、誘騙欺詐和流氓行為。

在當(dāng)今兩大主流移動智能設(shè)備操作系統(tǒng)中，由于安卓系統(tǒng)的開源性，移動互聯(lián)網(wǎng)惡意程序主要在安卓系統(tǒng)中傳播，占比達(dá)到99%，這也和安卓APP來源的多樣化和不規(guī)范性有關(guān)。

過去的一年里，發(fā)生過多次移動互聯(lián)網(wǎng)安全事件，現(xiàn)舉例分析幾個典型事件，希望能引起大家的警示。

1 安卓短信蠕蟲病毒事件

2016年2月，一款通過短信傳播的安卓蠕蟲病毒大量傳播。該病毒私自讀取用戶通信錄，向聯(lián)系人發(fā)送帶有蠕蟲病毒下載地址的惡意短信，誘騙聯(lián)系人感染。通過對病毒下載地址的域名進行溯源，分析后發(fā)現(xiàn)該域名注冊人名下還有7個用于傳播安卓惡意程序的域名。

該蠕蟲病毒偽裝成“檢查更新”APP，通過偽基站或者手機肉雞以短信方式進行傳播，短信內(nèi)容為“×××，新年好。相片已經(jīng)放到這上了t.cn/RGfj6iM”。

該惡意程序具有以下惡意行為：

（1）啟動后會隱藏自身圖標(biāo)。

（2）私自讀取用戶通信錄，向用戶聯(lián)系人群發(fā)包含蠕蟲病毒下載地址的短信息。

用于下載蠕蟲病毒的短鏈接“t.cn/RGfj6iM”會跳轉(zhuǎn)到域名“dlapkb.com”，該域名的注冊人為“zengheng”，注冊郵箱為“angelhuajia@qq.com”。

國家互聯(lián)網(wǎng)應(yīng)急中心對此進行分析，發(fā)現(xiàn)該注冊人名下還有6個惡意域名用于傳播安卓惡意程序，分別是“cvtech.cn”、“dlapka.com”、“dlapkc.com”、“ebankman.com”、“ebankmanager.com”、“yunzhanlve.cn”。

該系列惡意域名累計傳播過“學(xué)習(xí)成績單”、“違章查詢”、“天天數(shù)錢”、“人人紅包”、“檢查更新”、“System Constituent”、“AndroidSytemUpdata”、“Android Device Updata”8 款惡意程序的77個樣本，傳播量達(dá)2348次。

國家互聯(lián)網(wǎng)應(yīng)急中心分析確認(rèn)該惡意程序的影響范圍后，立即啟動針對該惡意代碼的處置工作，協(xié)調(diào)杭州愛名網(wǎng)絡(luò)有限公司、杭州電商互聯(lián)科技有限公司、溫州市中網(wǎng)計算機技術(shù)服務(wù)有限公司等域名注冊商對以上惡意域名進行停止解析處理，切斷惡意程序的傳播途徑。

2 安卓視頻惡意程序事件

2016年3月，一款“視頻”惡意程序通過短信的形式在安卓系統(tǒng)手機中大量傳播。該惡意程序把自己偽裝成“視頻”APP，通過偽基站或者手機肉雞給用戶發(fā)送一則短信，短信內(nèi)容為“×××，我是×××，這是我?guī)湍闩牡男∫曨ldf.tc/3XQGdf”。

該惡意程序具有以下惡意行為：

（1）APP運行后會隱藏安裝圖標(biāo)，同時誘騙用戶激活設(shè)備管理器，導(dǎo)致用戶無法卸載。

（2）該APP會向指定的手機號發(fā)送兩條短信，“軟件安裝完畢 識別碼：IMEI號碼、型號、手機系統(tǒng)版本”和“激活成功”。

（3）該APP會在用戶不知道的情況下將手機中短信和通信錄發(fā)送到指定郵箱。

（4）該APP會將用戶接收到的新短信截留到指定的手機號，同時刪除本機上的短信。

國家互聯(lián)網(wǎng)應(yīng)急中心分析確認(rèn)該惡意程序的影響范圍后，立即針對該惡意代碼，協(xié)調(diào)相關(guān)注冊商，對該域名停止解析，切斷惡意程序的傳播途徑。

3 “相冊”類惡意程序

“相冊”類安卓惡意程序是指一類針對安卓系統(tǒng)的，主要通過短信進行傳播的移動互聯(lián)網(wǎng)惡意程序，黑客通過發(fā)送帶有惡意程序下載鏈接的短信，誘騙用戶點擊安裝，導(dǎo)致感染手機的個人信息泄露。

“相冊”類惡意程序主要也是通過短信進行傳播，黑客發(fā)送的圖片帶有惡意程序下載鏈接，誘騙用戶點擊安裝。

該惡意程序具有以下惡意行為：

（1）APP運行后會隱藏安裝圖標(biāo)，同時誘騙用戶激活設(shè)備管理器，導(dǎo)致用戶無法卸載。

（2）該APP會向指定的手機號發(fā)送兩條短信，“軟件安裝完畢 識別碼：IMEI號碼、型號、手機系統(tǒng)版本”和“激活成功”。

（3）該APP會在用戶不知道的情況下將手機中短信和通信錄發(fā)送到指定郵箱。

（4）該APP會將用戶接收到的新短信截留到指定的手機號，同時刪除本機上的短信。

在整個黑色產(chǎn)業(yè)鏈中，黑客盜取個人信息出售給網(wǎng)絡(luò)詐騙，網(wǎng)絡(luò)詐騙通過閱讀分析這些信息，可以了解用戶的身份信息、家庭狀況、工作環(huán)境、個人收入以及社會關(guān)系等，然后冒充該用戶的同學(xué)、好友、同事、親屬等身份甚至國家公職人員進行精準(zhǔn)詐騙，提高詐騙的成功率。

以上惡意程序如果鏈接敲詐勒索軟件，往往會對移動用戶帶來經(jīng)濟損失。區(qū)別于傳統(tǒng)PC端，主要通過對用戶電腦中的文件加密，脅迫用戶購買解密密鑰的勒索方式，在移動設(shè)備端，則是通過遠(yuǎn)程鎖住用戶智能設(shè)備，使用戶無法正常使用，因為現(xiàn)在的移動智能設(shè)備不僅僅具有通信功能，還具有社交、網(wǎng)絡(luò)支付、記錄和拍照等功能，一旦不能使用或信息丟失會給用戶帶來大量無形的損失。從敲詐勒索軟件的傳播方式來看，傳統(tǒng)PC端和移動端表現(xiàn)出共性，傳播源主要是電子郵件、仿冒普通軟件、QQ 群、網(wǎng)盤、貼吧、或其他受害者。

截止到2016年年底，數(shù)據(jù)顯示該類惡意程序使用的程序名稱多達(dá)五百多種。其中黑客產(chǎn)業(yè)鏈從業(yè)者使用惡意程序名稱頻次最多的是“新的影集”，其次是“錄像”和相片。此外，黑客產(chǎn)業(yè)鏈從業(yè)者使用最多的10個惡意程序名稱還有影集、錄像、校訊通、照片、中國移動、相冊、資料。

目前黑客產(chǎn)業(yè)鏈從業(yè)者都是利用偽基站或者手機肉雞等設(shè)備，向目標(biāo)人群發(fā)送帶有惡意程序下載URL鏈接，通過這種方式傳播惡意程序。為了提高鏈接的點擊率，黑客產(chǎn)業(yè)鏈從業(yè)者一般將鏈接進行“短鏈接”轉(zhuǎn)化，達(dá)到與其他正常短信中“短鏈接”類似的效果，誘騙用戶點擊。截止到2016年年底，數(shù)據(jù)顯示發(fā)現(xiàn)“相冊”類惡意程序萬余次，使用的“短鏈接”域名達(dá)四千個。這其中使用t.cn轉(zhuǎn)換的惡意鏈接最多，占總數(shù)的14.8%；其次是使用dwz.cn轉(zhuǎn)換的惡意鏈接，占總數(shù)的4.5%；第三是使用guo.kr轉(zhuǎn)換的惡意鏈接，占總數(shù)的2.4%。

移動互聯(lián)網(wǎng)惡意程序連續(xù)七年來保持持續(xù)高速增長趨勢，2016年，根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心數(shù)據(jù)顯示，按惡意行為進行分類，前三位分別是流氓行為類、惡意扣費類和資費消耗類，占比分別為 61.1%、18.2%和13.6%，如下圖所示。從攻擊模式上看，通過短信傳播竊取驗證碼的移動互聯(lián)網(wǎng)惡意程序數(shù)量占比較大，全年超過一萬個，表現(xiàn)出制作簡單，攻擊模式固定，暴利等特點，移動互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈已經(jīng)成熟。

圖1 2016年惡意程序行為屬性統(tǒng)計圖

4 結(jié)語

2016年全年發(fā)現(xiàn)竊取用戶短信和通訊錄的惡意APP近兩萬個，受感染用戶超過百萬，嚴(yán)重危害廣大人民群眾的個人信息安全和財產(chǎn)安全。凈化互聯(lián)網(wǎng)安全環(huán)境依然任重道遠(yuǎn)，普及移動互聯(lián)網(wǎng)安全知識，提高廣大人民群眾互聯(lián)網(wǎng)安全意識勢在必行。

參考文獻

[1]李海龍.移動互聯(lián)網(wǎng)安全測評關(guān)鍵技術(shù)的分析與研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2017(05).

[2]楊清,文紅,陳松林,王玉秀.基于SVM算法的移動智能終端安全等級分級模型[J].通信技術(shù),2017(04).

[3]劉念林,李汶隆.智能終端云服務(wù)平臺安全框架研究[J].網(wǎng)絡(luò)空間安全,2016(07).

[4]范紅,杜大海,王冠.移動互聯(lián)網(wǎng)安全測評關(guān)鍵技術(shù)研究[J].中興通訊技術(shù),2015(03).

[5]李汶隆,邱吉剛,劉念林,彭偉倫.移動終端安全管理及其關(guān)鍵技術(shù)[J].信息安全與技術(shù), 2015(02).

[6]張潔雪.中國移動終端軟件質(zhì)量現(xiàn)狀淺析[J].軟件,2014(08).

[7]涂靜,田增山,周非.移動互聯(lián)網(wǎng)安全終端的設(shè)計與實現(xiàn)[J].電子技術(shù)應(yīng)用,2013(10).