手机病毒的检测与防范

摘要：智能手机开放的操作系统给用户提供了丰富的应用市场和强大的互联场景，但也给各种手机病毒的运行提供了条件，给社会和用户造成了损失。文章围绕手机病毒的类型及危害，分析了手机病毒的传播载体和传播途径，提出了在网络侧进行手机病毒检测和防范的体系结构和可行性防护方案，以增强多层次、多维度的安全防护措施，提升移动通信的全面防护能力。

关键词：手机病毒；检测与防范

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2024）23-0111-03

开放科学（资源服务）标识码（OSID）

移动通信网络的发展和应用软件的不断衍生，使智能手机成为人们生活、工作的必要工具。根据中国互联网络信息中心发布的第52次《中国互联网络发展状况统计报告》，截至2023年6月，我国手机用户规模达10.76亿，占网民总数的99.7%[1]。

然而，智能手机的开放性和易用性也为手机病毒的产生和传播提供了条件。作为专门针对智能手机设计，以窃取用户隐私信息、破坏手机系统、传播广告等为目的的手机恶意程序数量和类型也呈现出增长趋势。根据360互联网安全中心发布的《2022年度中国手机安全状况报告》，2022年度，360安全大脑共截获移动端新增恶意程序样本约 2 407.9万个，同比 2021年度（943.1个）上升了155.3%[2]。随着智能手机的普及，手机病毒的传播范围也越来越广，对用户的安全造成了严重威胁。

1 手机病毒的类型及危害

手机病毒是以移动设备及其网络作为攻击对象的病毒程序，通过短信、程序等方式进行传播，旨在干扰手机或网络正常运行。

1.1 手机病毒类型

手机病毒是一种恶意程序，可以感染手机系统并造成破坏，具备感染、隐蔽、破坏3大特性。手机病毒类型主要包括：

（1） 窃取型病毒：窃取型病毒主要通过窃取用户的隐私信息，如通讯录、短信、照片、视频等，对用户的个人隐私造成严重威胁[3]。

（2） 破坏型病毒：破坏型病毒主要通过修改手机系统文件、删除系统关键文件等方式，导致手机系统崩溃、无法正常使用。

（3） 广告型病毒：广告型病毒主要通过弹窗、推送等方式，向用户传播广告，影响用户的正常使用体验。

（4） 木马病毒：木马病毒是一种恶意程序，它伪装成合法程序，诱骗用户安装或执行，从而达到恶意目的。例如，木马病毒可以伪装成游戏、软件、音乐、图片等，诱骗用户点击下载或安装。一旦用户安装或执行了木马病毒，木马病毒就会在用户的设备上执行恶意操作。

1.2 手机病毒危害

1.2.1 针对用户的危害

手机病毒会强制通过扣费、盗刷、损坏设备等方式给用户造成经济损失[3]。例如，手机病毒会通过拨打高额电话、订购高额服务等方式，造成用户经济损失。手机病毒会窃取用户的银行卡信息、通讯录、短信、照片、视频等隐私信息，并用于诈骗等非法目的。手机病毒会在后台运行，不断消耗手机的CPU、内存、电池等资源，导致手机发热、运行缓慢、耗电严重，使用户体验受损。

1.2.2 针对运营商的危害

手机病毒会通过发送垃圾短信、拨打虚假电话等方式，占用运营商的网络资源，导致运营商的网络拥堵[3]。手机病毒会给用户造成经济损失和使用体验受损，导致用户投诉，影响运营商的品牌形象。手机病毒会导致用户对运营商的信任度降低，影响用户对运营商业务的使用。

1.2.3 针对社会的危害

手机病毒黑色产业链的形成给社会带来潜在的不安定因素。手机病毒可能窃取国家重要信息、商业机密，造成国家安全和经济利益的损失。

2 手机病毒的传播

主流的手机操作系统有Android、iPhoneOS、Windows Mobile等，这些平台提供了丰富的应用程序服务，成为病毒传播的温床。

2.1 传播载体

2.1.1 短信传播

短信病毒的传播原理是，黑客在短信中嵌入病毒代码，当用户接收到该短信并打开后，病毒代码就会被执行，从而感染手机。

短信病毒的传播方式主要有两种：其一，文本病毒是黑客在短信中嵌入特殊字符，例如空格、制表符、回车符等，当用户接收到该短信并打开后，手机系统会将这些特殊字符解析为病毒代码，从而感染手机。其二，彩信病毒是黑客在彩信中嵌入病毒链接或附件，用户点击链接或打开附件后，病毒就会被下载到手机上，其传播速度快，可以通过群发的方式快速传播到大量用户，造成窃取用户隐私信息、破坏手机系统、传播广告等问题[4]。

2.1.2 应用程序传播

应用程序是手机病毒传播的重要载体，黑客将病毒代码植入应用程序中，用户下载安装后，病毒代码就会被执行，从而感染手机。

可执行程序病毒传播途径：其一，网络下载是黑客将病毒程序伪装成正常软件，发布到网络上，用户下载安装后，病毒就会被执行。其二，U盘拷贝是黑客将病毒程序拷贝到U盘上，用户插入U盘后，病毒就会被感染。其三，蓝牙是黑客将病毒程序借助无线传输技术发送到手机上，用户接收后，病毒就会被感染。

2.1.3 社交媒体传播

社交媒体传播的特点是传播范围广，可以通过社交媒体的群聊、朋友圈等功能快速传播。病毒制造者可能会在社交媒体上发布一条帖子，声称提供免费的礼品卡或其他奖励，利用社会工程学进行诱导欺骗。帖子中可能包含一个恶意链接，当用户点击该链接时，病毒就会被下载到手机上。

2.2 传播途径

2.2.1 终端—终端传播

无线网络无处不在，病毒借助移动设备的无线通信功能，例如红外、蓝牙等无线通信方式，进行端到端的传播。无线连接技术为手机提供了与其他设备进行近距离连接和数据传输的便利，但同时也为病毒的传播提供了一条途径。病毒不需要借助第三方，可以直接通过手机无线传送功能，智能检索和连接无线通信范围内的手机设备，一旦构建通信通道，病毒则开始传播。

2.2.2 终端—网关—终端传播

核心网关起到重要的信息中转作用。手机通过发送包含病毒的数据和程序给WAP服务器等核心网关。感染核心网关后，再通过核心网关的中转功能，把病毒数据交换给其他连接网关的终端或者干扰其他终端的工作。这种传播方式是通过电信网络或互联网实现，利用大规模的网络资源实现大范围覆盖，因此影响范围比较广泛。

2.2.3 计算机—终端传播

智能手机已经与个人电脑紧密连接，两者之间的数据同步成为一种常见的操作。然而，这种操作也可能为病毒提供了一个传播途径。一些病毒可以附着在PC上，一旦手机与PC进行数据同步，这些病毒就有可能感染手机。这些病毒可能藏身于PC的后台，或者在PC上进行交叉编译，生成适用于手机的恶意代码。一旦手机与受感染的PC进行同步，这些恶意代码就会侵入手机，并开始在手机上进行传播。

3 手机病毒的检测与防范体系

为了加强手机病毒的防范，需要构建监测、防护、服务、研判一整套体系，从各方面、各角度、各层次来阻止手机病毒入侵和破坏[5]。

通过体系里的监测系统全方位监控手机应用环境，包括病毒感染情况、传播情况、恶意订购信息、恶意假冒网址，甚至监测非法运营商及其他影响安全的网络行为。

通过防护系统在网络和客户端双管齐下，网络侧封堵恶意网络地址，限制短信传播；客户端推送疏导信息，提供本地杀毒和云查杀服务[6]。

通过服务建立管理途径，对病毒和恶意软件进行整治，提供防病毒预警，解决恶意软件引起的各类投诉以及处罚恶意订购等情况。

通过研判系统建立移动应用和网站地址的黑白名单，针对不在黑白名单中的应用和网站地址进行还原和分析，建立病毒和恶意软件检测机制，确认应用的安全性，并与CNCERT对接，实现病毒和恶意软件的判定及病毒特征库升级。

在此体系架构设计之下，有两种手机病毒防护方案凸显出来，即基于Gn口分光的手机病毒防护和基于PI流量分光的手机病毒防护。

3.1 基于Gn口分光的手机病毒防护

基于Gn口分光的手机病毒防护方案是指在基站网关（SGSN） 和网关GPRS支持节点（GGSN） 之间进行Gn口分光，通过对分光后的流量进行深度包检测，获取用户的完整访问记录，从而识别出分组域核心网中的蠕虫病毒、僵尸网络等安全问题。

该方案基于GTP（GPRS Tunneling Protocol） 协议实现。GTP是一组基于IP协议，支持通用分组无线服务（GPRS） 的通信协议，借助分析GTP信令，可以获取用户的完整访问记录。手机病毒检测可采用支持GTP协议的深度包检测机制，完成网络协议中传输层、会话层、表示层、应用层数据的深度辨识，从而发现隐藏的病毒数据。

如图1所示，基于Gn口分光的手机病毒防护方案主要针对分组域核心网中的病毒进行防护，通过在Gn口分光，对分组域流量进行实时采集，检测流量的关键字和特征码。一旦出现移动网络破坏潜在可能性，则借助网络联动，拦截破坏行为，向用户终端发送引导信息，立即处理移动设备的恶意程序。为了实现更灵活的防护策略，可以与现网其他网元进行联动。具体可以采用以下联动方式：与短信网关联动，对发送恶意短信的手机号码进行拦截；与应用商店联动，对恶意应用进行下架；与终端厂商联动，对手机系统漏洞进行修复。

病毒库是病毒防护方案的重要组成部分。为进一步提升防护能力，通过机器学习技术[4]，根据流量产生的大数据提取病毒样本数据，学习病毒的一般特征和变异特征，增加病毒特征库，从而提高病毒识别率[6]。为了及时发现新的病毒，需要定期更新和扩大病毒库的覆盖范围。具体可以采用以下方式更新病毒库：从国家级病毒库获取最新的病毒库、与其他运营商共享病毒库、利用用户报告的病毒样本进行病毒库更新。

3.2 基于PI流量分光的手机病毒防护

如图2所示，此方案采用PI流量分光技术，实时采集移动互联网分组域的流量。通过分析数据流关键特征，及时检测出恶意事件。借助AAA设备，获取用户认证信息，从而强化互联网用户的管理与监控。此外，方案还与流控设备和现网其他网元保持协同，积极阻断恶意行为的扩散。用户终端会收到警示页面、预警短信等形式的帮助，以清除恶意软件。同时，该方案还利用国家病毒库CNCERT和本地不良软件库的强大支持，不断增强病毒特征库的广度和深度，提升恶意软件的识别能力。

4 结束语

智能手机的普及和应用的丰富为人们的生活带来了极大的便利，但同时也带来了新的安全隐患。手机病毒的危害日益严重，成为移动通信网络安全的重要威胁。本文对手机病毒进行了介绍和分析，从网络侧提出了智能手机病毒检测和防护体系，协同终端侧，实现多层次、多维度的防护措施，为移动通信网络提供全面的防护。

该体系具有以下特点：1） 全面性：在网络侧增强手机病毒检测和防范能力，实现病毒全方位防护。2） 动态性：采用机器学习等技术，对病毒进行动态识别和防护。3） 联动性：与现网其他安全系统进行联动，提高防护效果。该体系的实施将有效提高移动通信网络的安全性，为用户提供更加安全可靠的通信环境。

参考文献：

[1] 中国互联网络信息中心.第 52次中国互联网络发展状况统计报告 [EB/OL].（2023-08-28）[2023-08-28].https：//cnnic.cn/NMediaFile/2023/0908/MAIN1694151810549M3LV0UWOAV.pdf

[2] 360互联网安全中心.2022 中国手机安全数据报告 [EB/OL].（2023-02-23）[2023-02-23].https：//pop.shouji.360.cn/safe_report/Mobile-Security-Report-202212.pdf

[3] 赵波，刘贤刚，刘行，等.Android应用程序个人信息安全量化评估模型研究[J].通信技术，2020，53（8）：2019-2026.

[4] 王继鹏.基于深度学习的Android 恶意软件多层检测系统[D].成都：电子科技大学，2020.

[5] 谭平嶂，滕鹏国，李丹.基于隐马尔科夫模型的信息安全评估[J].通信技术，2020，53（6）：1517-1522.

[6] 梁杰文.手机病毒的行为特征和网络侧防御研究[D].广州：中山大学，2010.

【通联编辑：代影】