手机病毒
手机病毒(英文:Mobile phone virus)是一组影响手机正常使用并能自我复制的指令或程序代码。它通过发送短信、彩信、电子邮件、浏览网站、下载铃声等方式传播。,导致用户手机死机、关机、SIM卡或芯片损坏、数据删除、发送垃圾信息、拨打电话、订购高额SP(服务商)服务、隐私泄露等损失。
手机病毒可分为开机病毒、文件病毒、宏病毒、蠕虫病毒和特洛伊病毒。可以通过短信、无线传输、电子邮件、网络下载等多种方式传播,具有传染性、隐蔽性、潜伏性、破坏性、可触发性、规模小、传播快、方式多样化等特点。
从早期通过短信传播到蓝牙,手机病毒的攻击性更强,真正具有传染性。随着智能手机的普及和互联网的发展,手机病毒的数量越来越多,传播方式更加多样化,对用户的危害也很大。例如,2011年,我国感染“病毒载体”和“手机骨架”的手机数量分别超过200万和83万部,造成用户直接经济损失1000多万元。
发展历史
手机短信病毒阶段
在2000年,病毒“VBS。TimoFonica”出现,被认为是世界上最早的手机病毒。该病毒只向西班牙电信公司Telefonica的移动系统用户发送辱骂等垃圾短信。所以病毒最多只能算短信炸弹。
此后,世界各地都有恶意短信攻击手机的报道。据媒体报道,截至2002年8月,美国至少有300万部手机受到含有恶意代码的短信攻击。被攻击后常见的症状是手机中设置的各种参数会被更改,存储的电话簿可能会被删除。中国首次发现的手机病毒是“黑客”。2002年的SMS _ flood”病毒。这种病毒利用一些手机短信网站的漏洞,让网站自动向被攻击的手机发送大量短信,用户可能在短时间内收到上百条甚至更多的垃圾短信。后来,“黑客。手机。smsdos”病毒在中国出现。这种病毒通过带有病毒程序的短信传播。只要用户查看中毒手机中的短信,手机就会自动关机。这个阶段的病毒没有传染性,攻击力很小。
智能手机/手持设备的病毒阶段
2004年6月,病毒“蠕虫。Symbian.Cabir.a”出现。它是世界著名的病毒研究机构29A编写的概念病毒,也是世界上第一个完全在智能手机上运行并被感染的蠕虫病毒。该病毒是真正的手机病毒,会攻击几款Symbian手机操作系统的智能手机,可以通过手机的蓝牙功能传播。由于不断搜索蓝牙设备,待机时间明显缩短,蓝牙感染此病毒后会失控。与短信病毒相比,这些病毒开始具备自我传播的能力。他们可以通过手机的蓝牙功能自动搜索附近有蓝牙功能的手机,然后利用蓝牙漏洞感染其他手机。由于蓝牙传播方式的距离和速度限制,病毒编写者占据了蓝牙这一有效的病毒传播手段,也在寻找新的感染途径。
2004年11月,“Skuller”病毒出现,这是一种特洛伊病毒,通过向用户提供下载手机壁纸、游戏和铃声的网站传播。手机感染骷髅头病毒后,骷髅头会替换掉主页和正在运行的应用上的小图标,比如通讯录、日历、笔记本等。最后,智能手机只能打电话和接收来电。从技术角度来说,这种手机病毒才是真正的病毒。有了病毒实体,它可以自我复制传播,破坏手机上的操作系统。2005年3月,首个彩信病毒“Comm Warrior。世界上出现了一个“在手机上复制了几份,通过通讯录用彩信发给手机联系人。”CommWarrior的样子。一个“基于彩信的病毒,预示着手机病毒已经从胚胎期进入成长期。2006年,全球受到手机病毒攻击的手机用户数量已经达到83%左右。2007年,手机病毒库中的病毒类型大约有100种。
网络手机病毒阶段
随着智能手机的快速普及和移动互联网的深入发展,手机病毒进入了快速增长期。与此同时,病毒数量增多,手机病毒的传播渠道也更加多样化,逐渐产生了WiFi、二维码、微博链接等新的传播渠道。黑客入侵手段的多样化对手机用户的隐私和信息安全构成了严重威胁。并且在移动支付快速发展的背景下,移动支付成为了病毒攻击的目标。2010年9月,检测到ZitMo。它专门用于从银行发送的短消息中窃取mTAN代码,并具有跨平台通信的能力。因此,许多手机系统都检测到了这种特洛伊,其主要目的是将手机交易代码的短信转发给网络犯罪分子(或服务器),他们可以使用这些被黑客攻击的银行账户进行非法交易。2010年中国网络安全调查显示,54%被病毒感染的用户无法正常使用手机,50%的用户信息被泄露,47%的用户被恶意充值。
2011年3月,谷歌安卓市场发现恶意软件“DroidDream”,通过接管用户设备窃取个人数据。这次DroidDream病毒事件标志着谷歌官方安卓市场首次遭到大规模病毒攻击。2012年5月,发现了NotCompatible,这是第一例Android驱动的恶意软件。特洛伊分布在带有隐藏iFrame的页面中,任何访问受感染页面的Android浏览器都会自动下载该恶意软件。2012年,卡巴斯基的安全软件专家发现了超过35000个恶意Android程序。卡巴斯基实验室检测到的所有手机恶意软件中,攻击目标是安卓平台,占99%。2013年,中国共检测出70多万个手机病毒样本,比2012年增长33倍,安卓平台恶意程序达到99%以上。
2014年上半年,新增手机病毒程序超过367万个。2014年11月,外国安全公司Palo Alto Networks发现了一种“WireLurker”恶意软件,该软件跨平台攻击苹果的移动设备。该病毒可以轻松窃取用户隐私和网购资金信息,截至当月18日已有超过35万人被感染。2015年,猎豹移动安全实验室发布的《2015上半年手机安全报告》指出,全球手机中毒6.1亿次,是去年同期的2.77倍,其中中国手机受伤1.49亿次。腾讯手机管家手机安全实验室新发现的手机病毒数量为1670.37万,比2014年增长了15倍。
2016年2月出现了HummingBad,属于“下载攻击应用”,当移动设备访问特定网站时会被感染。该病毒将在Android设备上建立一个永久的rootkit,并从虚假广告和安装额外的欺诈性应用程序中获利。截至2016年7月,全球至少有1000万台设备被感染,病毒开发公司每月非法获利30万美元。同年,卡巴斯基实验室恶意软件研究人员发现了一种新的特洛伊病毒Triada,主要针对Android设备。这种病毒用来攻击移动设备的技术以前从未在其他移动恶意软件中出现过,它可以渗透到所有运行在移动设备上的程序中。其设计目的主要用于金融诈骗,通常是通过劫持金融交易短信。
2018年上半年,手机病毒感染用户超过6000万。2019年,一款名为“特工史密斯”的恶意软件出现了。这款软件伪装成谷歌相关应用,利用安卓漏洞私自下载替换设备上已安装的应用。这个恶意程序将通过分发恶意广告来获利。截至2019年7月,全球约有2500万台设备感染了该病毒。2020年上半年,腾讯手机管家查杀病毒近2.68亿次,拦截恶意网址超过1534.74亿次。2021年4月,华为官方应用商店被发现有携带Joker病毒的恶意软件,该病毒已感染53.8万台设备。2017年在谷歌应用商店中检测到了Joker病毒,但它并没有被根除,并继续产生新的变种。
工作原理
智能手机的嵌入式操作系统(用JAVA、C++等计算机语言编写)类似于计算机操作系统,为用户开发自己的应用提供了一些API函数,从而为病毒的产生提供了条件。
通常情况下,手机病毒不会单独出现,而是隐藏在正常的应用程序或文件中。当用户安装运行带有病毒的软件、插件、游戏等程序,或者下载带有病毒的铃声、图片等文件时,病毒会在满足激活条件时被激活,并创建新的线程执行病毒程序。当用户使用正常程序或文件时,病毒也实现了攻击。
部分手机操作系统的编程采用C/S架构。这些系统将请求的资源视为服务器端,将请求视为客户端。客户端主要实现人机交互,服务器主要管理手机的硬件资源,处于底层。病毒被激活后,会调用操作系统提供的服务资源进行破坏。
病毒类别
按病毒形式分类
通过“免红传”蓝牙设备传播的病毒:在蓝牙可用范围内,这些病毒可以通过蓝牙直接传播到其他手机上。常见的病毒有卡比尔病毒和拉斯科病毒。一种病毒,通过蓝牙无线传输到其他手机。当用户点击病毒文件时,病毒会立即被激活。
针对移动通信提供商的手机病毒:这类病毒通过攻击和控制手机网关,影响手机的正常通信。一种常见的病毒是“蚊子特洛伊”,它会自动拨打并向位于英国的号码发送大量短信,导致用户的信息费急剧增加。
针对手机漏洞的病毒:技术上的限制或研发上的疏忽,会导致某些型号的手机或系统出现一些安全漏洞,比如诺基亚3310、3330、6210手机的PDU格式漏洞。黑客可以利用这些漏洞攻击手机。常见的病毒是“手机黑客”,通过带有病毒程序的短信传播。只要用户查看带有病毒的短信,手机就会立即自动关机。
通过短信或彩信攻击的病毒:这种病毒通过短信或彩信传播,常见的病毒是“手机。SMSDOS”,通过短信或彩信传播,导致手机内部程序出错,从而导致手机无法正常工作。
按病毒行为分类
制导病毒:可引导病毒是一种在BIOS启动后系统引导时出现的病毒。它会寄生在引导区,在引导系统中时刻监控系统运行,伺机扩散破坏。可引导病毒先于操作系统,并依赖BIOS来中断服务程序。可引导病毒是利用操作系统的引导模块放在某个位置,控制权的转移是基于物理位置,而不是操作系统引导区的内容,所以病毒可以通过占用物理位置来获得控制权,然后转移或替换真实的引导区内容,病毒程序执行后再将控制权交给真实的引导区内容,使得带有病毒的系统看起来运行正常,病毒已经隐藏在系统中。手机感染病毒,就会被植入后门程序。黑客可以利用该病毒远程控制目标用户的手机下载、运行或删除数据文件,同时破坏手机操作系统内核的完整性,发送手机中的敏感信息,导致用户重要信息泄露。
文件病毒:文件病毒是一种主要感染可执行文件的病毒。它通常隐藏在宿主程序中。执行宿主程序时,会先执行病毒程序,再执行宿主程序。其安装必须依赖病毒载体程序,即运行病毒载体程序,才能将文件病毒引入内存,被感染文件的执行速度会变慢甚至无法执行。大多数文件病毒来自内存驻留。文件型病毒会寄生在用户的手机文件中,通过加密或其他技术隐藏自己,它会修改手机中的源文件成为毒文件。手机运行病毒文件,病毒就会被激活,感染手机,达到传播的目的。
宏病毒:宏病毒主要是用应用程序的宏编程语言编写的病毒,一般寄生在文档或模板中的宏中。与电脑一样,智能手机使用开放的操作系统,因此容易受到这种病毒的攻击。宏病毒用户打开一个含有病毒的文档,病毒会被激活感染手机并永久驻留在正常模板中,文档如果自动保存也会感染宏病毒。如果用户将包含病毒的文档发送给其他用户,而其他用户打开包含病毒的文档,病毒就会传播。手机感染宏病毒会导致文件存储路径关闭或改变,文件名改变,文件被随意复制,无法正常编辑文件。
蠕虫病毒:蠕虫通过网络获取手机的部分或全部控制权进行传播,利用用户手机中系统和程序的安全漏洞进行攻击。它可以自动完成复制过程,不需要依附于主机程序,会消耗手机中的系统资源,收发垃圾短信,使图片和音乐的显示和删除异常,影响手机的正常运行。
特洛伊马病毒:特洛伊病毒是指隐藏在正常代码中具有特殊功能的恶意代码,通常植入网页或软件中。当用户启动程序时,恶意代码也会运行并执行一些破坏性操作。当手机用户访问含有病毒的网页或下载含有病毒的软件时,特洛伊病毒就会寄生并运行在目标手机中。特洛伊病毒会窃取用户输入的敏感信息并发送给攻击者,破坏手机中的数据文件,影响用户的正常使用。
病毒特征
手机病毒类似于电脑病毒,基本具备电脑病毒的大部分特征。比如:传染性、隐蔽性、潜伏性、破坏性、可触发性等特征。此外,手机病毒由于依赖手机的特殊性,也有其独特的特点。
体积小:手机病毒在手机上传播,不同类型手机的存储空间与手机用户和手机厂商有关。由于这种限制,小病毒程序成功的概率更高。因为手机存储空间不够,大容量的手机病毒程序无法成功传播感染。由于各种限制,手机病毒的体积往往比较小,一般在兆以下。
传播快:手机病毒比电脑病毒传播快。由于手机使用方便,移动互联网用户规模巨大,随处可见手机用户,这使得手机病毒很容易进行远距离传播。
传播方式多样化:手机是无线网络设备终端,手机病毒可以利用无线网络平台进行无线传播。发短信、发彩信、上网、下载软件、铃声、蓝牙、红外传输都是手机病毒常见的传播方式。
传播方式
手机病毒的传播方式灵活多变,从早期的短信、彩信到蓝牙、互联网,增加了用户感染手机病毒的概率,提高了安全防护的难度。
攻击对象:WAP服务器:手机的WAP功能使手机能够接入互联网,完成一些简单的网络浏览操作功能,需要专门的WAP服务器来支持。攻击WAP服务器会使用户无法正常接收网页信息。这类攻击带来的安全问题包括无线窃听、漫游漏洞、伪造攻击、完整性破坏、业务拒绝等。
攻击互联网:当目标用户的手机连接互联网时,攻击者可以找到手机程序的漏洞,用相应的语言编写脚本病毒程序,对整个网络进行攻击,目标用户的手机网络就会出现异常。
攻击控制网关:手机用户通过网关连接外部互联网。攻击者可以编写一个包含ARP欺骗病毒的特洛伊木马来攻击目标。病毒运行时会通过病毒手机诱骗安全网关局域网内的所有设备连接互联网,发出大量数据包,导致局域网拥塞,用户经常无法连接互联网。同时,当用户输入一些敏感信息时,病毒会一直监听并发送给攻击者,窃取敏感信息。
攻击手机本身:有些病毒会造成手机内部程序出错,使手机无法提供服务;锁定用户手机勒索钱财;添加、修改或删除手机中的数据文件,可以达到感染和破坏的目的。严重的病毒会让手机系统崩溃,自动关机,甚至损坏内部芯片。
危险症状
病毒危害:窃取用户信息:大部分手机用户都会在手机上存储个人信息,比如个人通讯录、个人信息、日程安排、各种网络账号、银行账号、密码等。当病毒入侵智能手机时,会导致这些信息被窃取、删除或篡改,给用户造成巨大损失。
恶意传播:以用户手机为载体大规模传播病毒,如以短信形式传播病毒。此外,文字、图像和视频等信息传播的加速可能导致利用智能手机病毒传播色情、非法、民族分裂和反动煽动信息。
造成经济损失:恶意牟利,以不提示扣费或模糊提示扣费的方式直接给用户造成经济损失;非盈利性质,发送大量短信或消耗手机流量,造成用户话费损失。
远程控制:用户可以在不知情或未经授权的情况下,接受远程控制终端的指令,进行相关操作,如发送短信指令、隐藏网络下载软件、上传用户隐私信息等。
破坏手机:手机病毒最常见的危害就是破坏手机的软硬件。该病毒通过执行一些危险指令或耗时指令,占用大量内存,浪费手机资源;或者导致手机部分软件数据库损坏无法使用;甚至会破坏手机的操作系统,导致手机死机、黑屏、重启、无法正常使用。
欺骗欺诈:通过伪造、篡改、劫持短信、彩信、邮件、通讯录、通话记录、收藏夹、桌面等方式欺骗用户。,达到不正当的目的,比如冒充正常商家发送服务信息,或者利用浏览器钓鱼欺诈软件,甚至盗用正版软件的名义诱导用户安装。
造成通信网络瘫痪:手机病毒感染手机后,通过一些特殊指令,强行向通信网络发送大量垃圾信息,短时间内会产生大量数据流在网络中交换。如果网络运营商的服务器不够强大,最终会导致大量的垃圾邮件和病毒充斥通信网络,造成网络拥塞甚至瘫痪。
症状表现
机身温度经常过热:没有操作时,手机温度变热,突然无法开机。手机感染了硬件破坏病毒就会出现这种现象。
手机话费突然减少:不打电话,不使用流量,手机话费减少。当手机感染恶意扣费或资费消耗等病毒时,就会出现这种现象。
通话过程中经常中断:在没有欠费,信号正常的情况下,电话经常中断。有些病毒会影响通话质量,进而窃取通话记录,导致用户隐私泄露。
不明电话记录或短信:有未拨打的电话记录或短信,可能是病毒自动发来的。告诉接收者不要相信或点击发送的链接。一旦被点击,接收者的手机也可能感染病毒,导致隐私泄露或金钱损失。
加速耗电:如果不看视频、不玩游戏等耗电较多的操作,你发现手机电池电量急剧下降。有些病毒会自动开启手机的某些功能,导致手机耗电。
手机无法更新:有些病毒通过破坏手机系统中的程序管理器,阻止用户下载新的应用或其他更新,也阻止手机删除病毒。
未经授权安装软件:手机中有很多app没有下载安装,可能是手机中病毒感染造成的。
手机异常卡顿:网络正常时,手机运行速度明显比平时慢很多。打开一个页面总是需要很长时间,甚至需要刷新几次才能跳出。查看手机后台数据,发现存储空间明显减少,可能是手机病毒的运行消耗了大量存储空间。
手机自动关机重启:如果黑屏时手机突然关机或自动重启,可能是手机感染了病毒。