摘要：智能手機開放的操作系統(tǒng)給用戶提供了豐富的應用市場和強大的互聯(lián)場景，但也給各種手機病毒的運行提供了條件，給社會和用戶造成了損失。文章圍繞手機病毒的類型及危害，分析了手機病毒的傳播載體和傳播途徑，提出了在網絡側進行手機病毒檢測和防范的體系結構和可行性防護方案，以增強多層次、多維度的安全防護措施，提升移動通信的全面防護能力。

關鍵詞：手機病毒；檢測與防范

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2024）23-0111-03

開放科學（資源服務）標識碼（OSID）

移動通信網絡的發(fā)展和應用軟件的不斷衍生，使智能手機成為人們生活、工作的必要工具。根據(jù)中國互聯(lián)網絡信息中心發(fā)布的第52次《中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告》，截至2023年6月，我國手機用戶規(guī)模達10.76億，占網民總數(shù)的99.7%[1]。

然而，智能手機的開放性和易用性也為手機病毒的產生和傳播提供了條件。作為專門針對智能手機設計，以竊取用戶隱私信息、破壞手機系統(tǒng)、傳播廣告等為目的的手機惡意程序數(shù)量和類型也呈現(xiàn)出增長趨勢。根據(jù)360互聯(lián)網安全中心發(fā)布的《2022年度中國手機安全狀況報告》，2022年度，360安全大腦共截獲移動端新增惡意程序樣本約 2 407.9萬個，同比 2021年度（943.1個）上升了155.3%[2]。隨著智能手機的普及，手機病毒的傳播范圍也越來越廣，對用戶的安全造成了嚴重威脅。

1 手機病毒的類型及危害

手機病毒是以移動設備及其網絡作為攻擊對象的病毒程序，通過短信、程序等方式進行傳播，旨在干擾手機或網絡正常運行。

1.1 手機病毒類型

手機病毒是一種惡意程序，可以感染手機系統(tǒng)并造成破壞，具備感染、隱蔽、破壞3大特性。手機病毒類型主要包括：

（1） 竊取型病毒：竊取型病毒主要通過竊取用戶的隱私信息，如通訊錄、短信、照片、視頻等，對用戶的個人隱私造成嚴重威脅[3]。

（2） 破壞型病毒：破壞型病毒主要通過修改手機系統(tǒng)文件、刪除系統(tǒng)關鍵文件等方式，導致手機系統(tǒng)崩潰、無法正常使用。

（3） 廣告型病毒：廣告型病毒主要通過彈窗、推送等方式，向用戶傳播廣告，影響用戶的正常使用體驗。

（4） 木馬病毒：木馬病毒是一種惡意程序，它偽裝成合法程序，誘騙用戶安裝或執(zhí)行，從而達到惡意目的。例如，木馬病毒可以偽裝成游戲、軟件、音樂、圖片等，誘騙用戶點擊下載或安裝。一旦用戶安裝或執(zhí)行了木馬病毒，木馬病毒就會在用戶的設備上執(zhí)行惡意操作。

1.2 手機病毒危害

1.2.1 針對用戶的危害

手機病毒會強制通過扣費、盜刷、損壞設備等方式給用戶造成經濟損失[3]。例如，手機病毒會通過撥打高額電話、訂購高額服務等方式，造成用戶經濟損失。手機病毒會竊取用戶的銀行卡信息、通訊錄、短信、照片、視頻等隱私信息，并用于詐騙等非法目的。手機病毒會在后臺運行，不斷消耗手機的CPU、內存、電池等資源，導致手機發(fā)熱、運行緩慢、耗電嚴重，使用戶體驗受損。

1.2.2 針對運營商的危害

手機病毒會通過發(fā)送垃圾短信、撥打虛假電話等方式，占用運營商的網絡資源，導致運營商的網絡擁堵[3]。手機病毒會給用戶造成經濟損失和使用體驗受損，導致用戶投訴，影響運營商的品牌形象。手機病毒會導致用戶對運營商的信任度降低，影響用戶對運營商業(yè)務的使用。

1.2.3 針對社會的危害

手機病毒黑色產業(yè)鏈的形成給社會帶來潛在的不安定因素。手機病毒可能竊取國家重要信息、商業(yè)機密，造成國家安全和經濟利益的損失。

2 手機病毒的傳播

主流的手機操作系統(tǒng)有Android、iPhoneOS、Windows Mobile等，這些平臺提供了豐富的應用程序服務，成為病毒傳播的溫床。

2.1 傳播載體

2.1.1 短信傳播

短信病毒的傳播原理是，黑客在短信中嵌入病毒代碼，當用戶接收到該短信并打開后，病毒代碼就會被執(zhí)行，從而感染手機。

短信病毒的傳播方式主要有兩種：其一，文本病毒是黑客在短信中嵌入特殊字符，例如空格、制表符、回車符等，當用戶接收到該短信并打開后，手機系統(tǒng)會將這些特殊字符解析為病毒代碼，從而感染手機。其二，彩信病毒是黑客在彩信中嵌入病毒鏈接或附件，用戶點擊鏈接或打開附件后，病毒就會被下載到手機上，其傳播速度快，可以通過群發(fā)的方式快速傳播到大量用戶，造成竊取用戶隱私信息、破壞手機系統(tǒng)、傳播廣告等問題[4]。

2.1.2 應用程序傳播

應用程序是手機病毒傳播的重要載體，黑客將病毒代碼植入應用程序中，用戶下載安裝后，病毒代碼就會被執(zhí)行，從而感染手機。

可執(zhí)行程序病毒傳播途徑：其一，網絡下載是黑客將病毒程序偽裝成正常軟件，發(fā)布到網絡上，用戶下載安裝后，病毒就會被執(zhí)行。其二，U盤拷貝是黑客將病毒程序拷貝到U盤上，用戶插入U盤后，病毒就會被感染。其三，藍牙是黑客將病毒程序借助無線傳輸技術發(fā)送到手機上，用戶接收后，病毒就會被感染。

2.1.3 社交媒體傳播

社交媒體傳播的特點是傳播范圍廣，可以通過社交媒體的群聊、朋友圈等功能快速傳播。病毒制造者可能會在社交媒體上發(fā)布一條帖子，聲稱提供免費的禮品卡或其他獎勵，利用社會工程學進行誘導欺騙。帖子中可能包含一個惡意鏈接，當用戶點擊該鏈接時，病毒就會被下載到手機上。

2.2 傳播途徑

2.2.1 終端—終端傳播

無線網絡無處不在，病毒借助移動設備的無線通信功能，例如紅外、藍牙等無線通信方式，進行端到端的傳播。無線連接技術為手機提供了與其他設備進行近距離連接和數(shù)據(jù)傳輸?shù)谋憷瑫r也為病毒的傳播提供了一條途徑。病毒不需要借助第三方，可以直接通過手機無線傳送功能，智能檢索和連接無線通信范圍內的手機設備，一旦構建通信通道，病毒則開始傳播。

2.2.2 終端—網關—終端傳播

核心網關起到重要的信息中轉作用。手機通過發(fā)送包含病毒的數(shù)據(jù)和程序給WAP服務器等核心網關。感染核心網關后，再通過核心網關的中轉功能，把病毒數(shù)據(jù)交換給其他連接網關的終端或者干擾其他終端的工作。這種傳播方式是通過電信網絡或互聯(lián)網實現(xiàn)，利用大規(guī)模的網絡資源實現(xiàn)大范圍覆蓋，因此影響范圍比較廣泛。

2.2.3 計算機—終端傳播

智能手機已經與個人電腦緊密連接，兩者之間的數(shù)據(jù)同步成為一種常見的操作。然而，這種操作也可能為病毒提供了一個傳播途徑。一些病毒可以附著在PC上，一旦手機與PC進行數(shù)據(jù)同步，這些病毒就有可能感染手機。這些病毒可能藏身于PC的后臺，或者在PC上進行交叉編譯，生成適用于手機的惡意代碼。一旦手機與受感染的PC進行同步，這些惡意代碼就會侵入手機，并開始在手機上進行傳播。

3 手機病毒的檢測與防范體系

為了加強手機病毒的防范，需要構建監(jiān)測、防護、服務、研判一整套體系，從各方面、各角度、各層次來阻止手機病毒入侵和破壞[5]。

通過體系里的監(jiān)測系統(tǒng)全方位監(jiān)控手機應用環(huán)境，包括病毒感染情況、傳播情況、惡意訂購信息、惡意假冒網址，甚至監(jiān)測非法運營商及其他影響安全的網絡行為。

通過防護系統(tǒng)在網絡和客戶端雙管齊下，網絡側封堵惡意網絡地址，限制短信傳播；客戶端推送疏導信息，提供本地殺毒和云查殺服務[6]。

通過服務建立管理途徑，對病毒和惡意軟件進行整治，提供防病毒預警，解決惡意軟件引起的各類投訴以及處罰惡意訂購等情況。

通過研判系統(tǒng)建立移動應用和網站地址的黑白名單，針對不在黑白名單中的應用和網站地址進行還原和分析，建立病毒和惡意軟件檢測機制，確認應用的安全性，并與CNCERT對接，實現(xiàn)病毒和惡意軟件的判定及病毒特征庫升級。

在此體系架構設計之下，有兩種手機病毒防護方案凸顯出來，即基于Gn口分光的手機病毒防護和基于PI流量分光的手機病毒防護。

3.1 基于Gn口分光的手機病毒防護

基于Gn口分光的手機病毒防護方案是指在基站網關（SGSN） 和網關GPRS支持節(jié)點（GGSN） 之間進行Gn口分光，通過對分光后的流量進行深度包檢測，獲取用戶的完整訪問記錄，從而識別出分組域核心網中的蠕蟲病毒、僵尸網絡等安全問題。

該方案基于GTP（GPRS Tunneling Protocol） 協(xié)議實現(xiàn)。GTP是一組基于IP協(xié)議，支持通用分組無線服務（GPRS） 的通信協(xié)議，借助分析GTP信令，可以獲取用戶的完整訪問記錄。手機病毒檢測可采用支持GTP協(xié)議的深度包檢測機制，完成網絡協(xié)議中傳輸層、會話層、表示層、應用層數(shù)據(jù)的深度辨識，從而發(fā)現(xiàn)隱藏的病毒數(shù)據(jù)。

如圖1所示，基于Gn口分光的手機病毒防護方案主要針對分組域核心網中的病毒進行防護，通過在Gn口分光，對分組域流量進行實時采集，檢測流量的關鍵字和特征碼。一旦出現(xiàn)移動網絡破壞潛在可能性，則借助網絡聯(lián)動，攔截破壞行為，向用戶終端發(fā)送引導信息，立即處理移動設備的惡意程序。為了實現(xiàn)更靈活的防護策略，可以與現(xiàn)網其他網元進行聯(lián)動。具體可以采用以下聯(lián)動方式：與短信網關聯(lián)動，對發(fā)送惡意短信的手機號碼進行攔截；與應用商店聯(lián)動，對惡意應用進行下架；與終端廠商聯(lián)動，對手機系統(tǒng)漏洞進行修復。

病毒庫是病毒防護方案的重要組成部分。為進一步提升防護能力，通過機器學習技術[4]，根據(jù)流量產生的大數(shù)據(jù)提取病毒樣本數(shù)據(jù)，學習病毒的一般特征和變異特征，增加病毒特征庫，從而提高病毒識別率[6]。為了及時發(fā)現(xiàn)新的病毒，需要定期更新和擴大病毒庫的覆蓋范圍。具體可以采用以下方式更新病毒庫：從國家級病毒庫獲取最新的病毒庫、與其他運營商共享病毒庫、利用用戶報告的病毒樣本進行病毒庫更新。

3.2 基于PI流量分光的手機病毒防護

如圖2所示，此方案采用PI流量分光技術，實時采集移動互聯(lián)網分組域的流量。通過分析數(shù)據(jù)流關鍵特征，及時檢測出惡意事件。借助AAA設備，獲取用戶認證信息，從而強化互聯(lián)網用戶的管理與監(jiān)控。此外，方案還與流控設備和現(xiàn)網其他網元保持協(xié)同，積極阻斷惡意行為的擴散。用戶終端會收到警示頁面、預警短信等形式的幫助，以清除惡意軟件。同時，該方案還利用國家病毒庫CNCERT和本地不良軟件庫的強大支持，不斷增強病毒特征庫的廣度和深度，提升惡意軟件的識別能力。

4 結束語

智能手機的普及和應用的豐富為人們的生活帶來了極大的便利，但同時也帶來了新的安全隱患。手機病毒的危害日益嚴重，成為移動通信網絡安全的重要威脅。本文對手機病毒進行了介紹和分析，從網絡側提出了智能手機病毒檢測和防護體系，協(xié)同終端側，實現(xiàn)多層次、多維度的防護措施，為移動通信網絡提供全面的防護。

該體系具有以下特點：1） 全面性：在網絡側增強手機病毒檢測和防范能力，實現(xiàn)病毒全方位防護。2） 動態(tài)性：采用機器學習等技術，對病毒進行動態(tài)識別和防護。3） 聯(lián)動性：與現(xiàn)網其他安全系統(tǒng)進行聯(lián)動，提高防護效果。該體系的實施將有效提高移動通信網絡的安全性，為用戶提供更加安全可靠的通信環(huán)境。

參考文獻：

[1] 中國互聯(lián)網絡信息中心.第 52次中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告 [EB/OL].（2023-08-28）[2023-08-28].https：//cnnic.cn/NMediaFile/2023/0908/MAIN1694151810549M3LV0UWOAV.pdf

[2] 360互聯(lián)網安全中心.2022 中國手機安全數(shù)據(jù)報告 [EB/OL].（2023-02-23）[2023-02-23].https：//pop.shouji.#/safe_report/Mobile-Security-Report-202212.pdf

[3] 趙波，劉賢剛，劉行，等.Android應用程序個人信息安全量化評估模型研究[J].通信技術，2020，53（8）：2019-2026.

[4] 王繼鵬.基于深度學習的Android 惡意軟件多層檢測系統(tǒng)[D].成都：電子科技大學，2020.

[5] 譚平嶂，滕鵬國，李丹.基于隱馬爾科夫模型的信息安全評估[J].通信技術，2020，53（6）：1517-1522.

[6] 梁杰文.手機病毒的行為特征和網絡側防御研究[D].廣州：中山大學，2010.

【通聯(lián)編輯：代影】