手機病毒

手機病毒(英文:Mobile phone virus)是一組影響手機正常使用并能自我復制的指令或程序代碼。它通過發送短信、彩信、電子郵件、瀏覽網站、下載鈴聲等方式傳播。，導致用戶手機死機、關機、SIM卡或芯片損壞、數據刪除、發送垃圾信息、撥打電話、訂購高額SP(服務商)服務、隱私泄露等損失。

手機病毒可分為開機病毒、文件病毒、宏病毒、蠕蟲病毒和特洛伊病毒。可以通過短信、無線傳輸、電子郵件、網絡下載等多種方式傳播，具有傳染性、隱蔽性、潛伏性、破壞性、可觸發性、規模小、傳播快、方式多樣化等特點。

從早期通過短信傳播到藍牙，手機病毒的攻擊性更強，真正具有傳染性。隨著智能手機的普及和互聯網的發展，手機病毒的數量越來越多，傳播方式更加多樣化，對用戶的危害也很大。例如，2011年，我國感染“病毒載體”和“手機骨架”的手機數量分別超過200萬和83萬部，造成用戶直接經濟損失1000多萬元。

手機短信病毒階段

在2000年，病毒“VBS。TimoFonica”出現，被認為是世界上最早的手機病毒。該病毒只向西班牙電信公司Telefonica的移動系統用戶發送辱罵等垃圾短信。所以病毒最多只能算短信炸彈。

此后，世界各地都有惡意短信攻擊手機的報道。據媒體報道，截至2002年8月，美國至少有300萬部手機受到含有惡意代碼的短信攻擊。被攻擊后常見的癥狀是手機中設置的各種參數會被更改，存儲的電話簿可能會被刪除。中國首次發現的手機病毒是“黑客”。2002年的SMS _ flood”病毒。這種病毒利用一些手機短信網站的漏洞，讓網站自動向被攻擊的手機發送大量短信，用戶可能在短時間內收到上百條甚至更多的垃圾短信。后來，“黑客。手機。smsdos”病毒在中國出現。這種病毒通過帶有病毒程序的短信傳播。只要用戶查看中毒手機中的短信，手機就會自動關機。這個階段的病毒沒有傳染性，攻擊力很小。

智能手機/手持設備的病毒階段

2004年6月，病毒“蠕蟲。Symbian.Cabir.a”出現。它是世界著名的病毒研究機構29A編寫的概念病毒，也是世界上第一個完全在智能手機上運行并被感染的蠕蟲病毒。該病毒是真正的手機病毒，會攻擊幾款Symbian手機操作系統的智能手機，可以通過手機的藍牙功能傳播。由于不斷搜索藍牙設備，待機時間明顯縮短，藍牙感染此病毒后會失控。與短信病毒相比，這些病毒開始具備自我傳播的能力。他們可以通過手機的藍牙功能自動搜索附近有藍牙功能的手機，然后利用藍牙漏洞感染其他手機。由于藍牙傳播方式的距離和速度限制，病毒編寫者占據了藍牙這一有效的病毒傳播手段，也在尋找新的感染途徑。

2004年11月，“Skuller”病毒出現，這是一種特洛伊病毒，通過向用戶提供下載手機壁紙、游戲和鈴聲的網站傳播。手機感染骷髏頭病毒后，骷髏頭會替換掉主頁和正在運行的應用上的小圖標，比如通訊錄、日歷、筆記本等。最后，智能手機只能打電話和接收來電。從技術角度來說，這種手機病毒才是真正的病毒。有了病毒實體，它可以自我復制傳播，破壞手機上的操作系統。2005年3月，首個彩信病毒“Comm Warrior。世界上出現了一個“在手機上復制了幾份，通過通訊錄用彩信發給手機聯系人。”CommWarrior的樣子。一個“基于彩信的病毒，預示著手機病毒已經從胚胎期進入成長期。2006年，全球受到手機病毒攻擊的手機用戶數量已經達到83%左右。2007年，手機病毒庫中的病毒類型大約有100種。

網絡手機病毒階段

隨著智能手機的快速普及和移動互聯網的深入發展，手機病毒進入了快速增長期。與此同時，病毒數量增多，手機病毒的傳播渠道也更加多樣化，逐漸產生了WiFi、二維碼、微博鏈接等新的傳播渠道。黑客入侵手段的多樣化對手機用戶的隱私和信息安全構成了嚴重威脅。并且在移動支付快速發展的背景下，移動支付成為了病毒攻擊的目標。2010年9月，檢測到ZitMo。它專門用于從銀行發送的短消息中竊取mTAN代碼，并具有跨平臺通信的能力。因此，許多手機系統都檢測到了這種特洛伊，其主要目的是將手機交易代碼的短信轉發給網絡犯罪分子(或服務器)，他們可以使用這些被黑客攻擊的銀行賬戶進行非法交易。2010年中國網絡安全調查顯示，54%被病毒感染的用戶無法正常使用手機，50%的用戶信息被泄露，47%的用戶被惡意充值。

2011年3月，谷歌安卓市場發現惡意軟件“DroidDream”，通過接管用戶設備竊取個人數據。這次DroidDream病毒事件標志著谷歌官方安卓市場首次遭到大規模病毒攻擊。2012年5月，發現了NotCompatible，這是第一例Android驅動的惡意軟件。特洛伊分布在帶有隱藏iFrame的頁面中，任何訪問受感染頁面的Android瀏覽器都會自動下載該惡意軟件。2012年，卡巴斯基的安全軟件專家發現了超過35000個惡意Android程序。卡巴斯基實驗室檢測到的所有手機惡意軟件中，攻擊目標是安卓平臺，占99%。2013年，中國共檢測出70多萬個手機病毒樣本，比2012年增長33倍，安卓平臺惡意程序達到99%以上。

2014年上半年，新增手機病毒程序超過367萬個。2014年11月，外國安全公司Palo Alto Networks發現了一種“WireLurker”惡意軟件，該軟件跨平臺攻擊蘋果的移動設備。該病毒可以輕松竊取用戶隱私和網購資金信息，截至當月18日已有超過35萬人被感染。2015年，獵豹移動安全實驗室發布的《2015上半年手機安全報告》指出，全球手機中毒6.1億次，是去年同期的2.77倍，其中中國手機受傷1.49億次。騰訊手機管家手機安全實驗室新發現的手機病毒數量為1670.37萬，比2014年增長了15倍。

2016年2月出現了HummingBad，屬于“下載攻擊應用”，當移動設備訪問特定網站時會被感染。該病毒將在Android設備上建立一個永久的rootkit，并從虛假廣告和安裝額外的欺詐性應用程序中獲利。截至2016年7月，全球至少有1000萬臺設備被感染，病毒開發公司每月非法獲利30萬美元。同年，卡巴斯基實驗室惡意軟件研究人員發現了一種新的特洛伊病毒Triada，主要針對Android設備。這種病毒用來攻擊移動設備的技術以前從未在其他移動惡意軟件中出現過，它可以滲透到所有運行在移動設備上的程序中。其設計目的主要用于金融詐騙，通常是通過劫持金融交易短信。

2018年上半年，手機病毒感染用戶超過6000萬。2019年，一款名為“特工史密斯”的惡意軟件出現了。這款軟件偽裝成谷歌相關應用，利用安卓漏洞私自下載替換設備上已安裝的應用。這個惡意程序將通過分發惡意廣告來獲利。截至2019年7月，全球約有2500萬臺設備感染了該病毒。2020年上半年，騰訊手機管家查殺病毒近2.68億次，攔截惡意網址超過1534.74億次。2021年4月，華為官方應用商店被發現有攜帶Joker病毒的惡意軟件，該病毒已感染53.8萬臺設備。2017年在谷歌應用商店中檢測到了Joker病毒，但它并沒有被根除，并繼續產生新的變種。

智能手機的嵌入式操作系統(用JAVA、C++等計算機語言編寫)類似于計算機操作系統，為用戶開發自己的應用提供了一些API函數，從而為病毒的產生提供了條件。

通常情況下，手機病毒不會單獨出現，而是隱藏在正常的應用程序或文件中。當用戶安裝運行帶有病毒的軟件、插件、游戲等程序，或者下載帶有病毒的鈴聲、圖片等文件時，病毒會在滿足激活條件時被激活，并創建新的線程執行病毒程序。當用戶使用正常程序或文件時，病毒也實現了攻擊。

部分手機操作系統的編程采用C/S架構。這些系統將請求的資源視為服務器端，將請求視為客戶端。客戶端主要實現人機交互，服務器主要管理手機的硬件資源，處于底層。病毒被激活后，會調用操作系統提供的服務資源進行破壞。

按病毒形式分類

通過“免紅傳”藍牙設備傳播的病毒:在藍牙可用范圍內，這些病毒可以通過藍牙直接傳播到其他手機上。常見的病毒有卡比爾病毒和拉斯科病毒。一種病毒，通過藍牙無線傳輸到其他手機。當用戶點擊病毒文件時，病毒會立即被激活。

針對移動通信提供商的手機病毒:這類病毒通過攻擊和控制手機網關，影響手機的正常通信。一種常見的病毒是“蚊子特洛伊”，它會自動撥打并向位于英國的號碼發送大量短信，導致用戶的信息費急劇增加。

針對手機漏洞的病毒:技術上的限制或研發上的疏忽，會導致某些型號的手機或系統出現一些安全漏洞，比如諾基亞3310、3330、6210手機的PDU格式漏洞。黑客可以利用這些漏洞攻擊手機。常見的病毒是“手機黑客”，通過帶有病毒程序的短信傳播。只要用戶查看帶有病毒的短信，手機就會立即自動關機。

通過短信或彩信攻擊的病毒:這種病毒通過短信或彩信傳播，常見的病毒是“手機。SMSDOS”，通過短信或彩信傳播，導致手機內部程序出錯，從而導致手機無法正常工作。

按病毒行為分類

制導病毒：可引導病毒是一種在BIOS啟動后系統引導時出現的病毒。它會寄生在引導區，在引導系統中時刻監控系統運行，伺機擴散破壞。可引導病毒先于操作系統，并依賴BIOS來中斷服務程序。可引導病毒是利用操作系統的引導模塊放在某個位置，控制權的轉移是基于物理位置，而不是操作系統引導區的內容，所以病毒可以通過占用物理位置來獲得控制權，然后轉移或替換真實的引導區內容，病毒程序執行后再將控制權交給真實的引導區內容，使得帶有病毒的系統看起來運行正常，病毒已經隱藏在系統中。手機感染病毒，就會被植入后門程序。黑客可以利用該病毒遠程控制目標用戶的手機下載、運行或刪除數據文件，同時破壞手機操作系統內核的完整性，發送手機中的敏感信息，導致用戶重要信息泄露。

文件病毒：文件病毒是一種主要感染可執行文件的病毒。它通常隱藏在宿主程序中。執行宿主程序時，會先執行病毒程序，再執行宿主程序。其安裝必須依賴病毒載體程序，即運行病毒載體程序，才能將文件病毒引入內存，被感染文件的執行速度會變慢甚至無法執行。大多數文件病毒來自內存駐留。文件型病毒會寄生在用戶的手機文件中，通過加密或其他技術隱藏自己，它會修改手機中的源文件成為毒文件。手機運行病毒文件，病毒就會被激活，感染手機，達到傳播的目的。

宏病毒：宏病毒主要是用應用程序的宏編程語言編寫的病毒，一般寄生在文檔或模板中的宏中。與電腦一樣，智能手機使用開放的操作系統，因此容易受到這種病毒的攻擊。宏病毒用戶打開一個含有病毒的文檔，病毒會被激活感染手機并永久駐留在正常模板中，文檔如果自動保存也會感染宏病毒。如果用戶將包含病毒的文檔發送給其他用戶，而其他用戶打開包含病毒的文檔，病毒就會傳播。手機感染宏病毒會導致文件存儲路徑關閉或改變，文件名改變，文件被隨意復制，無法正常編輯文件。

蠕蟲病毒：蠕蟲通過網絡獲取手機的部分或全部控制權進行傳播，利用用戶手機中系統和程序的安全漏洞進行攻擊。它可以自動完成復制過程，不需要依附于主機程序，會消耗手機中的系統資源，收發垃圾短信，使圖片和音樂的顯示和刪除異常，影響手機的正常運行。

特洛伊馬病毒：特洛伊病毒是指隱藏在正常代碼中具有特殊功能的惡意代碼，通常植入網頁或軟件中。當用戶啟動程序時，惡意代碼也會運行并執行一些破壞性操作。當手機用戶訪問含有病毒的網頁或下載含有病毒的軟件時，特洛伊病毒就會寄生并運行在目標手機中。特洛伊病毒會竊取用戶輸入的敏感信息并發送給攻擊者，破壞手機中的數據文件，影響用戶的正常使用。

手機病毒類似于電腦病毒，基本具備電腦病毒的大部分特征。比如:傳染性、隱蔽性、潛伏性、破壞性、可觸發性等特征。此外，手機病毒由于依賴手機的特殊性，也有其獨特的特點。

體積小:手機病毒在手機上傳播，不同類型手機的存儲空間與手機用戶和手機廠商有關。由于這種限制，小病毒程序成功的概率更高。因為手機存儲空間不夠，大容量的手機病毒程序無法成功傳播感染。由于各種限制，手機病毒的體積往往比較小，一般在兆以下。

傳播快:手機病毒比電腦病毒傳播快。由于手機使用方便，移動互聯網用戶規模巨大，隨處可見手機用戶，這使得手機病毒很容易進行遠距離傳播。

傳播方式多樣化:手機是無線網絡設備終端，手機病毒可以利用無線網絡平臺進行無線傳播。發短信、發彩信、上網、下載軟件、鈴聲、藍牙、紅外傳輸都是手機病毒常見的傳播方式。

手機病毒的傳播方式靈活多變，從早期的短信、彩信到藍牙、互聯網，增加了用戶感染手機病毒的概率，提高了安全防護的難度。

攻擊對象：WAP服務器:手機的WAP功能使手機能夠接入互聯網，完成一些簡單的網絡瀏覽操作功能，需要專門的WAP服務器來支持。攻擊WAP服務器會使用戶無法正常接收網頁信息。這類攻擊帶來的安全問題包括無線竊聽、漫游漏洞、偽造攻擊、完整性破壞、業務拒絕等。

攻擊互聯網:當目標用戶的手機連接互聯網時，攻擊者可以找到手機程序的漏洞，用相應的語言編寫腳本病毒程序，對整個網絡進行攻擊，目標用戶的手機網絡就會出現異常。

攻擊控制網關:手機用戶通過網關連接外部互聯網。攻擊者可以編寫一個包含ARP欺騙病毒的特洛伊木馬來攻擊目標。病毒運行時會通過病毒手機誘騙安全網關局域網內的所有設備連接互聯網，發出大量數據包，導致局域網擁塞，用戶經常無法連接互聯網。同時，當用戶輸入一些敏感信息時，病毒會一直監聽并發送給攻擊者，竊取敏感信息。

攻擊手機本身:有些病毒會造成手機內部程序出錯，使手機無法提供服務；鎖定用戶手機勒索錢財；添加、修改或刪除手機中的數據文件，可以達到感染和破壞的目的。嚴重的病毒會讓手機系統崩潰，自動關機，甚至損壞內部芯片。

病毒危害：竊取用戶信息:大部分手機用戶都會在手機上存儲個人信息，比如個人通訊錄、個人信息、日程安排、各種網絡賬號、銀行賬號、密碼等。當病毒入侵智能手機時，會導致這些信息被竊取、刪除或篡改，給用戶造成巨大損失。

惡意傳播:以用戶手機為載體大規模傳播病毒，如以短信形式傳播病毒。此外，文字、圖像和視頻等信息傳播的加速可能導致利用智能手機病毒傳播色情、非法、民族分裂和反動煽動信息。

造成經濟損失:惡意牟利，以不提示扣費或模糊提示扣費的方式直接給用戶造成經濟損失；非盈利性質，發送大量短信或消耗手機流量，造成用戶話費損失。

遠程控制:用戶可以在不知情或未經授權的情況下，接受遠程控制終端的指令，進行相關操作，如發送短信指令、隱藏網絡下載軟件、上傳用戶隱私信息等。

破壞手機:手機病毒最常見的危害就是破壞手機的軟硬件。該病毒通過執行一些危險指令或耗時指令，占用大量內存，浪費手機資源；或者導致手機部分軟件數據庫損壞無法使用；甚至會破壞手機的操作系統，導致手機死機、黑屏、重啟、無法正常使用。

欺騙欺詐:通過偽造、篡改、劫持短信、彩信、郵件、通訊錄、通話記錄、收藏夾、桌面等方式欺騙用戶。，達到不正當的目的，比如冒充正常商家發送服務信息，或者利用瀏覽器釣魚欺詐軟件，甚至盜用正版軟件的名義誘導用戶安裝。

造成通信網絡癱瘓:手機病毒感染手機后，通過一些特殊指令，強行向通信網絡發送大量垃圾信息，短時間內會產生大量數據流在網絡中交換。如果網絡運營商的服務器不夠強大，最終會導致大量的垃圾郵件和病毒充斥通信網絡，造成網絡擁塞甚至癱瘓。

機身溫度經常過熱:沒有操作時，手機溫度變熱，突然無法開機。手機感染了硬件破壞病毒就會出現這種現象。

手機話費突然減少:不打電話，不使用流量，手機話費減少。當手機感染惡意扣費或資費消耗等病毒時，就會出現這種現象。

通話過程中經常中斷:在沒有欠費，信號正常的情況下，電話經常中斷。有些病毒會影響通話質量，進而竊取通話記錄，導致用戶隱私泄露。

手機病毒

不明電話記錄或短信:有未撥打的電話記錄或短信，可能是病毒自動發來的。告訴接收者不要相信或點擊發送的鏈接。一旦被點擊，接收者的手機也可能感染病毒，導致隱私泄露或金錢損失。

加速耗電:如果不看視頻、不玩游戲等耗電較多的操作，你發現手機電池電量急劇下降。有些病毒會自動開啟手機的某些功能，導致手機耗電。

手機無法更新:有些病毒通過破壞手機系統中的程序管理器，阻止用戶下載新的應用或其他更新，也阻止手機刪除病毒。

未經授權安裝軟件:手機中有很多app沒有下載安裝，可能是手機中病毒感染造成的。

手機異常卡頓:網絡正常時，手機運行速度明顯比平時慢很多。打開一個頁面總是需要很長時間，甚至需要刷新幾次才能跳出。查看手機后臺數據，發現存儲空間明顯減少，可能是手機病毒的運行消耗了大量存儲空間。

手機自動關機重啟:如果黑屏時手機突然關機或自動重啟，可能是手機感染了病毒。