通信世界网(CWW)4月6日消息 由人民邮电出版社主办的“2012(第四届)通信网络与信息安全高层论坛”在北京鸿翔大酒店举行,本次论坛以“深化防护 携手共筑安全新时代”为主题,会议针对通信网络与信息安全领域的重点和难点问题进行深入探讨,包括移动互联网安全、智能终端安全、云计算安全、增值电信企业网络安全、Web安全等,欢迎产业链合作伙伴积极参与此次盛会,携手共筑安全新时代。
安天实验室副总工程师 杨祖明
杨祖明:各位专家上午好,非常荣幸能够在这里跟大家交流,我的题目是“从产业角度解析手机恶意代码的新趋势”。前面几位也有阐述,现在随着3G互联网的发展,整个从用户到操作系统,这个行业都有一个很快发展,手机恶意代码已经成为很被关注的问题。今天报告,希望从技术角度,产业角度为大家揭开冰山一角,在当前情况下手机恶意代码的一些现象和新趋势。
站在整个背景来看,手机恶意代码最早从2000年开始出现,当时以短信为主,以数据炸弹为主要手段,利用手机对短信数据错误来构造恶意代码,其后果是手机无法接受短信,甚至重启后无法打开短信收件箱。到09年以塞班为主开始普及,以模仿PC机上恶意代码为主。例如当时存在过利用蓝牙漏洞和短信进行传播,甚至出现过仿造“熊猫烧香”这样感染性恶意代码,随着移动终端处理能力升级,目前中高端智能手机在处理功能和能力上不亚于部分笔记本电脑和PC,尤其是软件应用开始发展,配合移动终端这样一个多样化通信载体,手机恶意代码第一次迎来了真正的爆发。
可能在座各位遇到手机恶意代码的人不多,我们首先来做一个简单定义。移动恶意代码是指在用户不知情未授权的情况下安装,运行以达到不正当目的,或者违反国家法律法规的执行文件,代码模块或者代码片段。我们这里有一个事例,这个恶意代码把自身伪造成Android安全工具,这个恶意代码在用户不知情的情况下注册恶意扣费,并进一步拦截删除10086短信,并上传用户地理位置信息,手机通话等隐私。我们从截图里面可以看到程序安装时系统提醒信息和部分信息出来的代码频段。
从传播的方式和方法上来看,手机恶意代码的发布者通过这样正常软件进行改造和捆绑,捆绑出恶意代码模块,在手机,论坛,免费破解下载站点进行传播,用户下载软件安装后就被植入了恶意代码。恶意代码通过与远程控制服务器连接来获得恶意行为触发指令。尤其手机是一个复合型设备,在很多环节都能被利用,作为恶意代码注入和入侵脆弱点,除了刚才主流传播模式还可以通过移动存储,USB用户刷机,或者多种方式进行注入。
从手机恶意代码传播形势和载体特征来看,主要有三种,主要以模仿,利用手机模块进行插入,使正常软件安装的时候导致手机中毒,第一种是正常软件模块捆绑恶意代码模块,形成恶意软件。第二种是正常软件模块,经过恶意篡改加入第三块模块形成流氓软件,第三种方式正常软件模块植入和捆绑潜伏的恶意代码,并配合远端控制端口形成潜在的恶意软件,这三种目前比较主流的形态。
我们看一个比较实际的例子,这个游戏本身是一个正常软件,但是这个软件存在恶意代码,可以上传隐私信息,可以按照指定远程指令进行阻止信息,这个可以提醒用户升级,用户看来可能是正常升级操作,实际上会下载一个软件进行安装和执行。这里有一个捆绑手机QQ的例子,这个例子可以看的见恶意代码针对手机上使用最广QQ聊天软件进行捆绑,捆绑前后有很多新增代码,这些新增代码都是属于恶意添加的代码模块,其导致的结果当安装被捆绑植入软件之后,其本身仍然正常使用,由于被植入了恶意代码片段,除了正常供应之外,还包括一些自己的恶意行为,像这个例子就是发送扣费短信,吸入用户隐私。
