手機病毒

手機病毒(英文:Mobile phone virus)是一組影響手機正常使用并能自我復(fù)制的指令或程序代碼。它通過發(fā)送短信、彩信、電子郵件、瀏覽網(wǎng)站、下載鈴聲等方式傳播。，導(dǎo)致用戶手機死機、關(guān)機、SIM卡或芯片損壞、數(shù)據(jù)刪除、發(fā)送垃圾信息、撥打電話、訂購高額SP(服務(wù)商)服務(wù)、隱私泄露等損失。

手機病毒可分為開機病毒、文件病毒、宏病毒、蠕蟲病毒和特洛伊病毒。可以通過短信、無線傳輸、電子郵件、網(wǎng)絡(luò)下載等多種方式傳播，具有傳染性、隱蔽性、潛伏性、破壞性、可觸發(fā)性、規(guī)模小、傳播快、方式多樣化等特點。

從早期通過短信傳播到藍牙，手機病毒的攻擊性更強，真正具有傳染性。隨著智能手機的普及和互聯(lián)網(wǎng)的發(fā)展，手機病毒的數(shù)量越來越多，傳播方式更加多樣化，對用戶的危害也很大。例如，2011年，我國感染“病毒載體”和“手機骨架”的手機數(shù)量分別超過200萬和83萬部，造成用戶直接經(jīng)濟損失1000多萬元。

手機短信病毒階段

在2000年，病毒“VBS。TimoFonica”出現(xiàn)，被認為是世界上最早的手機病毒。該病毒只向西班牙電信公司Telefonica的移動系統(tǒng)用戶發(fā)送辱罵等垃圾短信。所以病毒最多只能算短信炸彈。

此后，世界各地都有惡意短信攻擊手機的報道。據(jù)媒體報道，截至2002年8月，美國至少有300萬部手機受到含有惡意代碼的短信攻擊。被攻擊后常見的癥狀是手機中設(shè)置的各種參數(shù)會被更改，存儲的電話簿可能會被刪除。中國首次發(fā)現(xiàn)的手機病毒是“黑客”。2002年的SMS _ flood”病毒。這種病毒利用一些手機短信網(wǎng)站的漏洞，讓網(wǎng)站自動向被攻擊的手機發(fā)送大量短信，用戶可能在短時間內(nèi)收到上百條甚至更多的垃圾短信。后來，“黑客。手機。smsdos”病毒在中國出現(xiàn)。這種病毒通過帶有病毒程序的短信傳播。只要用戶查看中毒手機中的短信，手機就會自動關(guān)機。這個階段的病毒沒有傳染性，攻擊力很小。

智能手機/手持設(shè)備的病毒階段

2004年6月，病毒“蠕蟲。Symbian.Cabir.a”出現(xiàn)。它是世界著名的病毒研究機構(gòu)29A編寫的概念病毒，也是世界上第一個完全在智能手機上運行并被感染的蠕蟲病毒。該病毒是真正的手機病毒，會攻擊幾款Symbian手機操作系統(tǒng)的智能手機，可以通過手機的藍牙功能傳播。由于不斷搜索藍牙設(shè)備，待機時間明顯縮短，藍牙感染此病毒后會失控。與短信病毒相比，這些病毒開始具備自我傳播的能力。他們可以通過手機的藍牙功能自動搜索附近有藍牙功能的手機，然后利用藍牙漏洞感染其他手機。由于藍牙傳播方式的距離和速度限制，病毒編寫者占據(jù)了藍牙這一有效的病毒傳播手段，也在尋找新的感染途徑。

2004年11月，“Skuller”病毒出現(xiàn)，這是一種特洛伊病毒，通過向用戶提供下載手機壁紙、游戲和鈴聲的網(wǎng)站傳播。手機感染骷髏頭病毒后，骷髏頭會替換掉主頁和正在運行的應(yīng)用上的小圖標，比如通訊錄、日歷、筆記本等。最后，智能手機只能打電話和接收來電。從技術(shù)角度來說，這種手機病毒才是真正的病毒。有了病毒實體，它可以自我復(fù)制傳播，破壞手機上的操作系統(tǒng)。2005年3月，首個彩信病毒“Comm Warrior。世界上出現(xiàn)了一個“在手機上復(fù)制了幾份，通過通訊錄用彩信發(fā)給手機聯(lián)系人。”CommWarrior的樣子。一個“基于彩信的病毒，預(yù)示著手機病毒已經(jīng)從胚胎期進入成長期。2006年，全球受到手機病毒攻擊的手機用戶數(shù)量已經(jīng)達到83%左右。2007年，手機病毒庫中的病毒類型大約有100種。

網(wǎng)絡(luò)手機病毒階段

隨著智能手機的快速普及和移動互聯(lián)網(wǎng)的深入發(fā)展，手機病毒進入了快速增長期。與此同時，病毒數(shù)量增多，手機病毒的傳播渠道也更加多樣化，逐漸產(chǎn)生了WiFi、二維碼、微博鏈接等新的傳播渠道。黑客入侵手段的多樣化對手機用戶的隱私和信息安全構(gòu)成了嚴重威脅。并且在移動支付快速發(fā)展的背景下，移動支付成為了病毒攻擊的目標。2010年9月，檢測到ZitMo。它專門用于從銀行發(fā)送的短消息中竊取mTAN代碼，并具有跨平臺通信的能力。因此，許多手機系統(tǒng)都檢測到了這種特洛伊，其主要目的是將手機交易代碼的短信轉(zhuǎn)發(fā)給網(wǎng)絡(luò)犯罪分子(或服務(wù)器)，他們可以使用這些被黑客攻擊的銀行賬戶進行非法交易。2010年中國網(wǎng)絡(luò)安全調(diào)查顯示，54%被病毒感染的用戶無法正常使用手機，50%的用戶信息被泄露，47%的用戶被惡意充值。

2011年3月，谷歌安卓市場發(fā)現(xiàn)惡意軟件“DroidDream”，通過接管用戶設(shè)備竊取個人數(shù)據(jù)。這次DroidDream病毒事件標志著谷歌官方安卓市場首次遭到大規(guī)模病毒攻擊。2012年5月，發(fā)現(xiàn)了NotCompatible，這是第一例Android驅(qū)動的惡意軟件。特洛伊分布在帶有隱藏iFrame的頁面中，任何訪問受感染頁面的Android瀏覽器都會自動下載該惡意軟件。2012年，卡巴斯基的安全軟件專家發(fā)現(xiàn)了超過35000個惡意Android程序。卡巴斯基實驗室檢測到的所有手機惡意軟件中，攻擊目標是安卓平臺，占99%。2013年，中國共檢測出70多萬個手機病毒樣本，比2012年增長33倍，安卓平臺惡意程序達到99%以上。

2014年上半年，新增手機病毒程序超過367萬個。2014年11月，外國安全公司Palo Alto Networks發(fā)現(xiàn)了一種“WireLurker”惡意軟件，該軟件跨平臺攻擊蘋果的移動設(shè)備。該病毒可以輕松竊取用戶隱私和網(wǎng)購資金信息，截至當月18日已有超過35萬人被感染。2015年，獵豹移動安全實驗室發(fā)布的《2015上半年手機安全報告》指出，全球手機中毒6.1億次，是去年同期的2.77倍，其中中國手機受傷1.49億次。騰訊手機管家手機安全實驗室新發(fā)現(xiàn)的手機病毒數(shù)量為1670.37萬，比2014年增長了15倍。

2016年2月出現(xiàn)了HummingBad，屬于“下載攻擊應(yīng)用”，當移動設(shè)備訪問特定網(wǎng)站時會被感染。該病毒將在Android設(shè)備上建立一個永久的rootkit，并從虛假廣告和安裝額外的欺詐性應(yīng)用程序中獲利。截至2016年7月，全球至少有1000萬臺設(shè)備被感染，病毒開發(fā)公司每月非法獲利30萬美元。同年，卡巴斯基實驗室惡意軟件研究人員發(fā)現(xiàn)了一種新的特洛伊病毒Triada，主要針對Android設(shè)備。這種病毒用來攻擊移動設(shè)備的技術(shù)以前從未在其他移動惡意軟件中出現(xiàn)過，它可以滲透到所有運行在移動設(shè)備上的程序中。其設(shè)計目的主要用于金融詐騙，通常是通過劫持金融交易短信。

2018年上半年，手機病毒感染用戶超過6000萬。2019年，一款名為“特工史密斯”的惡意軟件出現(xiàn)了。這款軟件偽裝成谷歌相關(guān)應(yīng)用，利用安卓漏洞私自下載替換設(shè)備上已安裝的應(yīng)用。這個惡意程序?qū)⑼ㄟ^分發(fā)惡意廣告來獲利。截至2019年7月，全球約有2500萬臺設(shè)備感染了該病毒。2020年上半年，騰訊手機管家查殺病毒近2.68億次，攔截惡意網(wǎng)址超過1534.74億次。2021年4月，華為官方應(yīng)用商店被發(fā)現(xiàn)有攜帶Joker病毒的惡意軟件，該病毒已感染53.8萬臺設(shè)備。2017年在谷歌應(yīng)用商店中檢測到了Joker病毒，但它并沒有被根除，并繼續(xù)產(chǎn)生新的變種。

智能手機的嵌入式操作系統(tǒng)(用JAVA、C++等計算機語言編寫)類似于計算機操作系統(tǒng)，為用戶開發(fā)自己的應(yīng)用提供了一些API函數(shù)，從而為病毒的產(chǎn)生提供了條件。

通常情況下，手機病毒不會單獨出現(xiàn)，而是隱藏在正常的應(yīng)用程序或文件中。當用戶安裝運行帶有病毒的軟件、插件、游戲等程序，或者下載帶有病毒的鈴聲、圖片等文件時，病毒會在滿足激活條件時被激活，并創(chuàng)建新的線程執(zhí)行病毒程序。當用戶使用正常程序或文件時，病毒也實現(xiàn)了攻擊。

部分手機操作系統(tǒng)的編程采用C/S架構(gòu)。這些系統(tǒng)將請求的資源視為服務(wù)器端，將請求視為客戶端。客戶端主要實現(xiàn)人機交互，服務(wù)器主要管理手機的硬件資源，處于底層。病毒被激活后，會調(diào)用操作系統(tǒng)提供的服務(wù)資源進行破壞。

按病毒形式分類

通過“免紅傳”藍牙設(shè)備傳播的病毒:在藍牙可用范圍內(nèi)，這些病毒可以通過藍牙直接傳播到其他手機上。常見的病毒有卡比爾病毒和拉斯科病毒。一種病毒，通過藍牙無線傳輸?shù)狡渌謾C。當用戶點擊病毒文件時，病毒會立即被激活。

針對移動通信提供商的手機病毒:這類病毒通過攻擊和控制手機網(wǎng)關(guān)，影響手機的正常通信。一種常見的病毒是“蚊子特洛伊”，它會自動撥打并向位于英國的號碼發(fā)送大量短信，導(dǎo)致用戶的信息費急劇增加。

針對手機漏洞的病毒:技術(shù)上的限制或研發(fā)上的疏忽，會導(dǎo)致某些型號的手機或系統(tǒng)出現(xiàn)一些安全漏洞，比如諾基亞3310、3330、6210手機的PDU格式漏洞。黑客可以利用這些漏洞攻擊手機。常見的病毒是“手機黑客”，通過帶有病毒程序的短信傳播。只要用戶查看帶有病毒的短信，手機就會立即自動關(guān)機。

通過短信或彩信攻擊的病毒:這種病毒通過短信或彩信傳播，常見的病毒是“手機。SMSDOS”，通過短信或彩信傳播，導(dǎo)致手機內(nèi)部程序出錯，從而導(dǎo)致手機無法正常工作。

按病毒行為分類

制導(dǎo)病毒：可引導(dǎo)病毒是一種在BIOS啟動后系統(tǒng)引導(dǎo)時出現(xiàn)的病毒。它會寄生在引導(dǎo)區(qū)，在引導(dǎo)系統(tǒng)中時刻監(jiān)控系統(tǒng)運行，伺機擴散破壞。可引導(dǎo)病毒先于操作系統(tǒng)，并依賴BIOS來中斷服務(wù)程序。可引導(dǎo)病毒是利用操作系統(tǒng)的引導(dǎo)模塊放在某個位置，控制權(quán)的轉(zhuǎn)移是基于物理位置，而不是操作系統(tǒng)引導(dǎo)區(qū)的內(nèi)容，所以病毒可以通過占用物理位置來獲得控制權(quán)，然后轉(zhuǎn)移或替換真實的引導(dǎo)區(qū)內(nèi)容，病毒程序執(zhí)行后再將控制權(quán)交給真實的引導(dǎo)區(qū)內(nèi)容，使得帶有病毒的系統(tǒng)看起來運行正常，病毒已經(jīng)隱藏在系統(tǒng)中。手機感染病毒，就會被植入后門程序。黑客可以利用該病毒遠程控制目標用戶的手機下載、運行或刪除數(shù)據(jù)文件，同時破壞手機操作系統(tǒng)內(nèi)核的完整性，發(fā)送手機中的敏感信息，導(dǎo)致用戶重要信息泄露。

文件病毒：文件病毒是一種主要感染可執(zhí)行文件的病毒。它通常隱藏在宿主程序中。執(zhí)行宿主程序時，會先執(zhí)行病毒程序，再執(zhí)行宿主程序。其安裝必須依賴病毒載體程序，即運行病毒載體程序，才能將文件病毒引入內(nèi)存，被感染文件的執(zhí)行速度會變慢甚至無法執(zhí)行。大多數(shù)文件病毒來自內(nèi)存駐留。文件型病毒會寄生在用戶的手機文件中，通過加密或其他技術(shù)隱藏自己，它會修改手機中的源文件成為毒文件。手機運行病毒文件，病毒就會被激活，感染手機，達到傳播的目的。

宏病毒：宏病毒主要是用應(yīng)用程序的宏編程語言編寫的病毒，一般寄生在文檔或模板中的宏中。與電腦一樣，智能手機使用開放的操作系統(tǒng)，因此容易受到這種病毒的攻擊。宏病毒用戶打開一個含有病毒的文檔，病毒會被激活感染手機并永久駐留在正常模板中，文檔如果自動保存也會感染宏病毒。如果用戶將包含病毒的文檔發(fā)送給其他用戶，而其他用戶打開包含病毒的文檔，病毒就會傳播。手機感染宏病毒會導(dǎo)致文件存儲路徑關(guān)閉或改變，文件名改變，文件被隨意復(fù)制，無法正常編輯文件。

蠕蟲病毒：蠕蟲通過網(wǎng)絡(luò)獲取手機的部分或全部控制權(quán)進行傳播，利用用戶手機中系統(tǒng)和程序的安全漏洞進行攻擊。它可以自動完成復(fù)制過程，不需要依附于主機程序，會消耗手機中的系統(tǒng)資源，收發(fā)垃圾短信，使圖片和音樂的顯示和刪除異常，影響手機的正常運行。

特洛伊馬病毒：特洛伊病毒是指隱藏在正常代碼中具有特殊功能的惡意代碼，通常植入網(wǎng)頁或軟件中。當用戶啟動程序時，惡意代碼也會運行并執(zhí)行一些破壞性操作。當手機用戶訪問含有病毒的網(wǎng)頁或下載含有病毒的軟件時，特洛伊病毒就會寄生并運行在目標手機中。特洛伊病毒會竊取用戶輸入的敏感信息并發(fā)送給攻擊者，破壞手機中的數(shù)據(jù)文件，影響用戶的正常使用。

手機病毒類似于電腦病毒，基本具備電腦病毒的大部分特征。比如:傳染性、隱蔽性、潛伏性、破壞性、可觸發(fā)性等特征。此外，手機病毒由于依賴手機的特殊性，也有其獨特的特點。

體積小:手機病毒在手機上傳播，不同類型手機的存儲空間與手機用戶和手機廠商有關(guān)。由于這種限制，小病毒程序成功的概率更高。因為手機存儲空間不夠，大容量的手機病毒程序無法成功傳播感染。由于各種限制，手機病毒的體積往往比較小，一般在兆以下。

傳播快:手機病毒比電腦病毒傳播快。由于手機使用方便，移動互聯(lián)網(wǎng)用戶規(guī)模巨大，隨處可見手機用戶，這使得手機病毒很容易進行遠距離傳播。

傳播方式多樣化:手機是無線網(wǎng)絡(luò)設(shè)備終端，手機病毒可以利用無線網(wǎng)絡(luò)平臺進行無線傳播。發(fā)短信、發(fā)彩信、上網(wǎng)、下載軟件、鈴聲、藍牙、紅外傳輸都是手機病毒常見的傳播方式。

手機病毒的傳播方式靈活多變，從早期的短信、彩信到藍牙、互聯(lián)網(wǎng)，增加了用戶感染手機病毒的概率，提高了安全防護的難度。

攻擊對象：WAP服務(wù)器:手機的WAP功能使手機能夠接入互聯(lián)網(wǎng)，完成一些簡單的網(wǎng)絡(luò)瀏覽操作功能，需要專門的WAP服務(wù)器來支持。攻擊WAP服務(wù)器會使用戶無法正常接收網(wǎng)頁信息。這類攻擊帶來的安全問題包括無線竊聽、漫游漏洞、偽造攻擊、完整性破壞、業(yè)務(wù)拒絕等。

攻擊互聯(lián)網(wǎng):當目標用戶的手機連接互聯(lián)網(wǎng)時，攻擊者可以找到手機程序的漏洞，用相應(yīng)的語言編寫腳本病毒程序，對整個網(wǎng)絡(luò)進行攻擊，目標用戶的手機網(wǎng)絡(luò)就會出現(xiàn)異常。

攻擊控制網(wǎng)關(guān):手機用戶通過網(wǎng)關(guān)連接外部互聯(lián)網(wǎng)。攻擊者可以編寫一個包含ARP欺騙病毒的特洛伊木馬來攻擊目標。病毒運行時會通過病毒手機誘騙安全網(wǎng)關(guān)局域網(wǎng)內(nèi)的所有設(shè)備連接互聯(lián)網(wǎng)，發(fā)出大量數(shù)據(jù)包，導(dǎo)致局域網(wǎng)擁塞，用戶經(jīng)常無法連接互聯(lián)網(wǎng)。同時，當用戶輸入一些敏感信息時，病毒會一直監(jiān)聽并發(fā)送給攻擊者，竊取敏感信息。

攻擊手機本身:有些病毒會造成手機內(nèi)部程序出錯，使手機無法提供服務(wù)；鎖定用戶手機勒索錢財；添加、修改或刪除手機中的數(shù)據(jù)文件，可以達到感染和破壞的目的。嚴重的病毒會讓手機系統(tǒng)崩潰，自動關(guān)機，甚至損壞內(nèi)部芯片。

病毒危害：竊取用戶信息:大部分手機用戶都會在手機上存儲個人信息，比如個人通訊錄、個人信息、日程安排、各種網(wǎng)絡(luò)賬號、銀行賬號、密碼等。當病毒入侵智能手機時，會導(dǎo)致這些信息被竊取、刪除或篡改，給用戶造成巨大損失。

惡意傳播:以用戶手機為載體大規(guī)模傳播病毒，如以短信形式傳播病毒。此外，文字、圖像和視頻等信息傳播的加速可能導(dǎo)致利用智能手機病毒傳播色情、非法、民族分裂和反動煽動信息。

造成經(jīng)濟損失:惡意牟利，以不提示扣費或模糊提示扣費的方式直接給用戶造成經(jīng)濟損失；非盈利性質(zhì)，發(fā)送大量短信或消耗手機流量，造成用戶話費損失。

遠程控制:用戶可以在不知情或未經(jīng)授權(quán)的情況下，接受遠程控制終端的指令，進行相關(guān)操作，如發(fā)送短信指令、隱藏網(wǎng)絡(luò)下載軟件、上傳用戶隱私信息等。

破壞手機:手機病毒最常見的危害就是破壞手機的軟硬件。該病毒通過執(zhí)行一些危險指令或耗時指令，占用大量內(nèi)存，浪費手機資源；或者導(dǎo)致手機部分軟件數(shù)據(jù)庫損壞無法使用；甚至會破壞手機的操作系統(tǒng)，導(dǎo)致手機死機、黑屏、重啟、無法正常使用。

欺騙欺詐:通過偽造、篡改、劫持短信、彩信、郵件、通訊錄、通話記錄、收藏夾、桌面等方式欺騙用戶。，達到不正當?shù)哪康模热缑俺湔Ｉ碳野l(fā)送服務(wù)信息，或者利用瀏覽器釣魚欺詐軟件，甚至盜用正版軟件的名義誘導(dǎo)用戶安裝。

造成通信網(wǎng)絡(luò)癱瘓:手機病毒感染手機后，通過一些特殊指令，強行向通信網(wǎng)絡(luò)發(fā)送大量垃圾信息，短時間內(nèi)會產(chǎn)生大量數(shù)據(jù)流在網(wǎng)絡(luò)中交換。如果網(wǎng)絡(luò)運營商的服務(wù)器不夠強大，最終會導(dǎo)致大量的垃圾郵件和病毒充斥通信網(wǎng)絡(luò)，造成網(wǎng)絡(luò)擁塞甚至癱瘓。

機身溫度經(jīng)常過熱:沒有操作時，手機溫度變熱，突然無法開機。手機感染了硬件破壞病毒就會出現(xiàn)這種現(xiàn)象。

手機話費突然減少:不打電話，不使用流量，手機話費減少。當手機感染惡意扣費或資費消耗等病毒時，就會出現(xiàn)這種現(xiàn)象。

通話過程中經(jīng)常中斷:在沒有欠費，信號正常的情況下，電話經(jīng)常中斷。有些病毒會影響通話質(zhì)量，進而竊取通話記錄，導(dǎo)致用戶隱私泄露。

手機病毒

不明電話記錄或短信:有未撥打的電話記錄或短信，可能是病毒自動發(fā)來的。告訴接收者不要相信或點擊發(fā)送的鏈接。一旦被點擊，接收者的手機也可能感染病毒，導(dǎo)致隱私泄露或金錢損失。

加速耗電:如果不看視頻、不玩游戲等耗電較多的操作，你發(fā)現(xiàn)手機電池電量急劇下降。有些病毒會自動開啟手機的某些功能，導(dǎo)致手機耗電。

手機無法更新:有些病毒通過破壞手機系統(tǒng)中的程序管理器，阻止用戶下載新的應(yīng)用或其他更新，也阻止手機刪除病毒。

未經(jīng)授權(quán)安裝軟件:手機中有很多app沒有下載安裝，可能是手機中病毒感染造成的。

手機異常卡頓:網(wǎng)絡(luò)正常時，手機運行速度明顯比平時慢很多。打開一個頁面總是需要很長時間，甚至需要刷新幾次才能跳出。查看手機后臺數(shù)據(jù)，發(fā)現(xiàn)存儲空間明顯減少，可能是手機病毒的運行消耗了大量存儲空間。

手機自動關(guān)機重啟:如果黑屏時手機突然關(guān)機或自動重啟，可能是手機感染了病毒。