Android手机病毒和防范

1 Android手机病毒特点

(1)病毒种类多样化

Android手机病毒的首要特点是病毒种类繁多．多样化和差异化趋势明显。数据显示，Android手机病毒的主要种类分别为：资费消耗类(占比40％)、隐私获取类(19％)、系统破坏类(11％)、恶意扣费类(10％)和远程监控类(9％)。绝大部分的Android病毒都集中于资费消耗、恶意扣费以及隐私获取3类。如著名的X卧底软件便是经典的隐私获取类Android手机病毒．ROM病毒便是十分致命的系统破坏类病毒，“伪MM画皮”的手机病毒即同时兼具了资费消耗、恶意扣费的双重用途。

(2)Android病毒编写模式化

黑客们利用一些基本的反编译手段即可轻易获得Android应用程序的源代码，进而能够根据自身的意图在Android应用软件的源代码里植入经过删改增补的恶意代码．最终重新将之封装成为能够获利伤机的手机病毒程序。此种手机病毒的开发推广模式有利于手机病毒的批量生产和病毒变种的更新换代，成为源源不断、杀之不绝的“小强”病毒。目前，此类模式逐渐成为手机病毒产业的主要获利渠道和病毒编写手段。

(3)病毒变种更新速度加快

手机病毒产业已经形成规模庞大的黑色产业链，人们视野难以企及的地下黑金市场潜伏着数以万计的手机病毒黑客。正是这样一个数量可观的恶意代码编写群体使得Android手机病毒及其病毒变种的更新速度较其他手机系统平台的病毒更为迅速．往往是当安全厂商们刚刚把上一版本的病毒恶意代码查杀补丁或工具进行发布，不久此类病毒的一个或多个变种便已推向市场，常常令安全厂商防不胜防。

(4)ROM的不确定性程度大幅提升

基于Android的代码开源。黑客们有机会将病毒的恶意代码程序植入ROM的源代码中，重新封装之后再进行发布。使用户在享受和体验各种个性化ROM所带来的差异化和定制化快感的同时，也承受着充斥其中大量的、不安全ROM的染毒风险。因此，

Android刷机的风险也在相应地增大，对手机杀毒软件的查杀能力提出了更高的要求。

(5)病毒攻击手段体系化

通常来说，如今市场上主流的Android病毒基本上可以归纳为以下几种攻击方式：反编译植入恶意代码；隐藏行踪诱骗用户下载安装；单刀直入获取Android的root权限。秘密向收费或扣费短信代码发送定制短信／秘密读取手机联系人列表或通信记录／自动记录手机短信或录制手机通话／自动不问断地浏览网页或下载应用程序软件以持续消耗流量。目前，主流的Android手机病毒均沿袭此类模式进行病毒攻击。

2 Android手机病毒分类及其防范策略

2．1窃听类病毒

(1)病毒种类

窃听病毒主要分为2类：一类是狭义上的窃听，即对手机通话的话音窃听；另一类是广义上的窃听，除了话音窃听外还包含了短信窃听、用户行踪位置窃取、彩信、通信录、通话记录、音视频和照片等隐私信息窃取，甚至是远程调用用户手机摄像头进行拍照和摄像，更深层次地实施隐私窃取行为。下面，分别对2类窃听方式进行简要的分析讲解。通常来讲．话音窃听除了对手机用户在主动通话时进行窃听外，还能在手机用户在非主动通话即接听电话时进行窃听。

惯用的窃听手法有以下3种。

①当手机用户正在通话时。悄悄地开启录音模式。随后保存录音文件并将之上传至黑客处。

②当用户正在商谈、说话时，黑客向用户手机拨打电话。并通过远程操控强制命令用户手机接通来电，利用用户手机听筒进行窃听。在此过程中，用户手机并不响铃，窃听完毕后黑客还会发送指令远程控制用户手机删除接听的通话记录。

③当用户正在通话时，黑客远程开启第三方通话功能，借此接通用户手机，以此实现窃听目的。

对于广义上的窃听而言，针对短信窃取，黑客可以在用户发送或接收短信时远程启动恶意代码程序，将用户发送或接收到的短信上传至黑客事先设定的号码上；对于用户行踪定位，可以远程开启用户手机自带的GPs功能或者基站CEU．的位置信息记录功能以此窃取用户行踪；同理，利用恶意代码程序将用户手机上的通信录、彩信、通话记录以及照片、音视频等文件都上传至特定号码上．实现隐私窃取目的。

机病毒实施窃听的种类和方法

(2)如何判断手机是否正被窃听

①对于很多手机用户来说，可能会直觉地认为那些会读取手机IMEI码、短信、彩信、通信录以及通话记录的应用软件，都是窃听软件。其实不然，只有当应用软件不仅读取上述信息．同时还对上述信息进行保存并上传。才可以真正判定这些应用软件

为窃听软件。

②如果用户手机的流量突然增大，则有可能是手机正在被窃听。但并不绝对，因为很多时候病毒窃取短信、彩信以及通信录、通话记录等文本信息，并不像窃取音视频以及照片和摄像资料等大容量文件那样耗费流量．甚至个别比较智能化的手机病毒还能够自行判断手机是否已经连接Wi—Fi．当连接成功之后才会上传窃取的隐私信息。所以，流量大小并不能成为判定手机

是否被窃听的必要条件．仅能作为充分条件。

(3)窃听原理

目前，市场上主流的窃听软件都属于一种Android系统上的后门或木马程序，与已经在桌面PC领域泛滥成灾的系统木马后

门程序大同小异，主要以无线通信网络为传输媒介，在其上远程传输特定信道上的通信密码破译程序．一般只要将无线通信协议中的加密协议密码算法破解后，根据黑客的需要修改编译相应的参数即可实现窃听。

(4)防范策略

①尽量避免将手机借与他人使用。目前．市场上流行的窃听类病毒主要有：X卧底、FLASH卧底、手机侦探、员工监听软件等。这些窃听类病毒的一大共同点便是基本上都必须通过秘密植入用户手机中进行安装方可实现窃取手机用户个人隐私的不法目的。因此，应尽量避免将手机借与他人使用。最大限度地降低手机被植入窃听木马病毒的风险几率。

②尽量在官方的、大型的、享有一定信誉的网站或论坛下载应用软件和游戏。

③不要轻易相信一些小道消息或不法广告宣传。

④必须安装知名专业品牌的手机杀毒软件。

2．2吸费类病毒

通常采用捆绑式植入安装方式，携带自行联网下载病毒插件或强制发送定制付费业务短信的恶意代码，并能够在后台自行拦截付费业务确认短信的病毒，统称为吸费类病毒。目前，吸费类病毒已经成为Android平台下手机病毒的主力军，数量上已经稳居Android病毒类型排行的首位。

(1)病毒特点

①普遍采用捆绑式植入安装方式，潜伏在各大Android应用软件的网站或论坛，由于病毒代码制作逐渐程序化、批量化、规模化，加之此类病毒能够直接转化为经济收益，使得大量黑客趋之若鹜。

②能够自行发送付费业务定制短信，并且实现了强制后台拦截付费确认短信，导致用户于不经意间便造成了经济损失。

③能够自行联网下载恶意插件，还可以自动接收黑客远程发布的攻击指令。

(2)防范策略

①确保应用下载的安全性。尽可能地只从官方网站或者大型良好信誉的论坛等来源地下载应用软件，在下载应用软件前还应做足准备工作。

②事先查询应用软件权限目录。对待安装的应用软件程序应事先进行权限查询和限制调整。