赵旺飞

（中国移动通信集团广东有限公司珠海分公司，广东 珠海 519015）

1 引言

随着终端智能化趋势越来越明显，终端功能的复杂度不断提高，从而引发终端APP应用市场的快速发展。据工业和信息化部电信研究院统计，2014年第3季度全球智能终端出货量达到3.28亿台，预测2015年全球手机出货量约20亿部，其中智能手机近15亿部。同时在移动终端APP应用市场，苹果、谷歌、微软3个官方应用商店应用总数超过310万款，而Google Play应用数量快速增长，超越APP Store成为第一。随着终端上网用户数的日益增多，通过各种途径下载和安装APP，带来了大量潜在的、新的安全风险。

2014年上半年网秦共查杀到手机恶意软件8 5970款，同比增长68.3%，其主要通过第三方应用商店、手机论坛、短信链接和二维码等途径传播，其中96%来自安卓平台，3%来自塞班平台，其中欺诈类恶意软件和扣费类恶意软件感染比例位列前两位，超过了80%。

移动智能终端APP恶意软件发送大量的垃圾短信或者产生异常高额流量，这一方面影响了用户手机的正常使用，给用户带来巨大的经济损失，另一方面给运营商网络带来了冲击，造成网络资源的无用消耗。因此分析移动终端APP应用软件特征行为、建立手机恶意软件“云管端”立体防治体系、加强移动MM等众多第三方应用商店的管理和监控，对保护手机的安全具有重要的意义。

2 当前APP的发展形态

2.1 移动终端应用APP化

APP已经改变了移动终端用户的生活方式、交流方式、购物方式和娱乐方式，实现了出行APP（去哪儿、百度地图）、交流APP（微信、QQ）、购物APP（淘宝、京东）、就餐APP（大众点评、美团）等，囊括了移动用户衣食住行的各个方面。

2.2 应用APP应用商店呈现三大梯队

在国内市场，我国互联网企业推出的第三方应用商店应用规模与官方差别逐步缩小，在用户市场份额中更是遥遥领先，并呈现三大梯队趋势。第一梯队：百度、360和腾讯传统互联网巨头，以用户和资金优势，位居应用商店前列；第二梯队：主要是豌豆荚、手机自带应用商店及App Store等；第三梯队：以传统运营商（中国移动、中国电信和中国联通的软件应用商店）的手机应用商店为主。

2.3 应用APP使用特性

用户花在APP上的时间已经明显超过通过电脑访问互联网的时间。自2012年以来，人们使用手机终端时，花费在APP上的时间已经超过网页，而且势头不减。对APP的依赖意味着对网络的需求更为强烈，对移动网络的维护和管理更加重要。

3 APP的发展趋势

3.1 趋势一：APP应用回归常态需求

调查显示，近半数的用户会安装20 个以上的APP，但是经常使用的APP不到一半，大约5～10个。从现实来看，2014年大量APP涌现到用户面前，但真正能够维系用户并与巨头分庭抗礼的APP很少，随着人们对APP的接受度不断提高，人们对移动信息的获取已经出现过剩，安装尝试新APP的动力明显不足，全新的APP想获得脱颖而出的机会越来越难。

3.2 趋势二：功能性APP趋向整合

功能性APP或被超级APP整合，而超级APP的入口平台化趋势日渐明朗。伴随整合的发生，超级APP几乎覆盖人们的日常生活，从网络监测的视角，可建立超级APP评测专库，可起到以点带面地对全网的质量进行监控。

整合1：功能性APP或被超级APP整合。基于目前超级APP的平台扩展能力，越来越多的功能接入到超级APP当中，比如打车软件，微信接入了滴滴打车，支付宝接入了快的打车，人们能够通过支付宝或微信直接享受打车的服务。

整合2：超级APP的入口平台化趋势日渐明朗。

（1）360安全应用+手机助手：手机助手2.75亿用户，覆盖国内80%的安卓用户，累计下载突破200亿次。

（2）百度收购91形成合力，覆盖超过50%的智能机用户，70万开发者。

（3）还有阿里巴巴+UC浏览器+新浪微博。

互联网巨头整合现有移动分发能力，有助于其后续入口平台化生态的形成。

3.3 趋势三：APP发展新方向

基于Web技术的新形态APP出现，对原生APP产生冲击。传统技术与新兴技术融合加速，APP间的调用与互动愈加频繁，对移动网络的监控与管理提出了更高的要求。要求我们跟进最新技术，更加重视技术快速发展演变中的网络与终端、网络与新型APP交互适配的问题。

超级应用构建Web应用承载平台的2种方式：

（1）轻应用：由百度首创，结合搜索引擎开创“即搜即用”的新Web应用分发方式。

（2）公众账号：由腾讯最早在微信推出，以社交网络为基础构建企业或个人的自媒体平台，开创广播式的Web应用分发方式。

以HTML5为代表的新一代Web技术推动移动浏览器从网页浏览工具向应用承载平台转变。APP开发环境占比分析如图1所示：

图1 APP开发环境占比分析

目前HTML5已经成为移动开发者的第三大开发语言。应用形态形成了如下2种形式：（1）百度轻应用+Web：轻应用已经成为移动浏览器的标配；（2）微信公共账号IM+Web：以HTML5技术构建的微信和支付能力构建闭环的Web应用生态。

3.4 趋势四：APP安全问题突出

图2 APP对用户权限的访问情况

4 智能终端恶意软件防治体系

4.1 手机恶意软件“云管端”立体防治体系

手机恶意软件防治体系由“云、管、端”3部分构成，由“手机恶意软件多维度侦测系统”、“SP恶意订购多维度追查系统”、手机杀毒软件“杀毒先锋”组成，其中手机恶意软件多维度侦测系统在网络侧对恶意软件进行侦测，是整个体系的核心。具体防治措施包括对恶意软件进行网络封堵、对涉恶意软件SP进行处置、引导用户在终端侧进行杀毒。

4.2 手机恶意软件多维度侦测系统网络结构

手机恶意软件多维度侦测系统的主要数据来源是不良信息系统（Gi口）、Gn数据业务分析系统、垃圾短信拦截系统、垃圾彩信监测系统、139邮箱、终端识别系统等六大系统，实现对大量第三方手机应用软件和官方网站下载的标准应用软件进行对比分析。

4.3 手机恶意软件多维度侦测系统逻辑结构

移动手机恶意软件多维度侦测系统逻辑结构如图3所示：

图3 移动手机恶意软件多维度侦测系统逻辑结构

（1）双引擎：手机恶意软件多维度侦测系统采用双引擎技术（手机病毒行为分析引擎+病毒体扫描引擎），对网络的数据进行分析、扫描。

（2）4个病毒库：为提升侦测效果，系统用了4个病毒库，包括自有恶意软件行为特征库、自有病毒体特征库、第三方的2个病毒体特征库。

（3）病毒的判定：对于病毒库中有的病毒，直接判定；对于库中没有的新手机病毒，则形成疑似案例，经人工追查后再判定。

4.4 手机恶意软件多维度侦测系统侦测原理

手机恶意软件多维度侦测系统采用了病毒行为分析法和病毒体扫描法，这2种方法形成互补，综合运用形成双引擎侦测。

多与患者沟通，告知患者进行放疗的原因及预期疗效，同时告知患者放疗的副作用、可能发生的不良反应及处理措施。治疗期间，仔细询问患者的身体感受，引导患者说出自己的困扰及疑虑，认真倾听，并及时疏导患者的负面情绪，向患者介绍成功治疗个案，介绍主治医生的专业权威性，帮助患者树立信心，以乐观的心态接受治疗，积极配合医务人员的工作。

（1）病毒行为分析法：根据病毒通信行为（上网、发短信、彩信等）分析手机中毒情况。

优点：1）准确率高：手机已有中毒后的异常通信行为，准确率100%。2）发现概率高：有些病毒发作频繁，即使出现数据采集丢包，仍有机会捕捉到。通过刷机、存储卡拷贝、蓝牙等方式传播的病毒，只要有通信行为，也能侦测到。3）能够发现新恶意软件：能捕捉新出现的病毒行为，并可补充到病毒行为特征库和病毒体特征库中。

缺点：若病毒没有网络通信行为，则无法侦测到。

（2）病毒体扫描法：根据病毒体对手机下载或传播的文件进行扫描，判定手机是否中毒。

优点：能掌握用户病毒文件下载情况，聚焦高疑中毒用户；不管病毒是否有通信行为，只要是通过网络传播的，都可捕捉到。

缺点：1）准确率不理想：若用户下载后没存盘或没安装，则会出现误判。2）遗漏中毒用户：用户下载病毒文件一般只有一次，如采集丢包，就会出现中毒用户侦测遗漏。对于通过刷机、存储卡拷贝、蓝牙等方式传播的病毒无法侦测；3）无法发现新恶意软件：对新病毒没有判断能力，会出现大量遗漏中毒用户。

5 恶意软件应用场景及防治

5.1 频繁发送垃圾短信的恶意软件识别

在Android手机使用浏览器访问网址——http://happy.kakaobe.com，连接成功后，浏览器没有显示任何访问的内容，但提示有文件下载，下载的文件名为downloadfile.apk，下载的文件大小为345KB。对已经下载的文件进行安装运行，无任何提示信息，软件无界面，查看后台进程列表，进程列表多了1个com.google.cckun的后台进程。结果约2分钟以后，手机通讯录中的各个联系人均收到一条短信，短信的内容是——start http://198.148.81.76，访问该URL，浏览器提示“找不到网页”。

通过提取智能终端后台运行日志信息，发现使用浏览器访问目标网址时，实际是下载一个文件，浏览器检测到下载文件后，直接托管到系统的“下载管理器”进行下载，下载的文件名是downloadfile.apk，文件名称比较普通，不带明显的标识，会被当做一般的文件进行安装。

对文件downloadfile.apk进行安装并运行，软件无任何提示信息、无任何可见界面，处于后台运行。抓包文件显示，程序第1次运行时，直接通过HTTP协议访问URL http://198.148.81.68:8080/memo.txt，下载一个文本文件。根据后续短信收到的内容，该下载为发送短信的内容。通过网络跟踪到该恶意软件频繁发送垃圾短信的信令信息截图如下图4所示：

图4 网络信令跟踪恶意软件运行特征

对图4的截图进行分析，该软件目前运行时只获取电话本里面的号码，并分别给每个号码发送一条短信，短信的内容是——start http://198.148.81.76，并无其他网络上的操作。对端接收到该条短信后，访问URL http://198.148.81.76，下载的也是一个apk安装软件，经测试，下载的软件和已经安装的软件是同一个软件，并不是新的软件。

5.2 APP应用软件导致产生高额流量

经常有移动终端用户反馈在智能手机上网络流量异常。用户反馈日常一个月100M流量已经能够正常使用，而网络流量突增为1天消耗超过200MB。

如“资讯与天气”这款天气与资讯的桌面插件APP提取自Nexus one的系统，需要2.1以上的ROM支持，功能包括天气更新、焦点新闻、内地新闻、体育和娱乐等，并内置更新设置。该款APP的数据来源为Google新闻网站，Google本身不提供这些新闻，只提供新闻的链接。

“资讯与天气”APP软件严格按照设置的时间间隔进行新闻的更新，测试的过程中，分别设置为6个小时和30分钟进行刷新，软件严格按照这个时间间隔进行刷新，遵循3个步骤进行更新：

步骤1：通过POST命令与www.google.com获取需要更新的新闻链接，返回的数据约为4KB左右，更新新闻的数目不同，内容的大小不一致，内容为加密不可见。

步骤2：根据步骤1中的返回，Google服务器能够明确指定与新闻链接相关的图片，通过POST命令发送需要下载的图片，服务器一次返回所有下载的图片。

步骤3：根据步骤1中返回的新闻链接，依次下载对应的新闻，并解析出新闻的标题，用于在对应的栏目中显示标题；本次下载的链接，会在缓存中保存下载的内容，实际阅读新闻时会直接从缓存中提取内容。异常高流量APP应用运行机制分析如图5所示：

图5 异常高流量APP应用运行机制分析

由于该APP应用软件界面只显示新闻标题，实际后台下载整个页面内容，但不包含页面的图片链接。下载新闻链接时，按照兼容IE7的方式下载，下载内容与电脑访问的内容相同，从而导致每个新闻网页的流量过大。

5.3 屏蔽10086短信的恶意软件追查分析

截至2014年底，广东共发现30多种屏蔽10086、10开头短信的恶意软件，占已发现恶意软件总数的4.5%，具体包括宝箱吸费僵尸、短信破坏王、时间误报等。

这些屏蔽10086短信的恶意软件原理如下：

（1）恶意软件安装后驻留内存，接管手机短信收发件箱工作。

（2）对收件箱中10086、10开头短信进行删除。

（3）对恶意软件后台发送的短信也进行删除。达到后台订购目的。

6 结束语

本技术方案分析了移动智能终端APP的发展趋势，重点阐述了当前APP存在的严重安全问题，并为识别手机APP恶意软件提出了一种手机恶意软件“云管端”立体防治体系，实现了对通信网内正在传播的手机恶意软件的实时监控、对疑似病毒的跟踪分析、对已追查确认病毒进行预警、对侦测结果分区域、分品牌、分手机型号等进行统计以及将手机病毒对网络资源的占用情况进行统计的功能。

目前针对有联网操作的恶意软件，可以通过网络封堵的方法降低病毒活跃度。广东公司已按要求对相关的URL进行及时封堵，通过封堵效果观察，病毒传播URL已经得到抑制。

针对APP安全问题，一方面需要国家政府及运营商不断完善恶意软件监测手段，强化恶意软件分析、预警和网络封堵；另一方面需要手机安全软件厂商（包括APP分发平台：豌豆荚、91手机助手等）加强对平台上APP应用软件的检测，确保APP不含恶意插件。最重要的是移动终端用户要养成正确下载和使用APP应用软件的习惯，从正规渠道下载和安装APP，杜绝不良手机使用习惯。

[1] 中国新闻网. 2014上半年网秦手机安全报告：中国居手机病毒感染榜首[EB/OL]. (2014-09-09). http://finance.chinanews.com/it/2014/09-09/6573208.shtml.

[2] 郑浩彬. 手机恶意软件多维度侦测系统[Z]. 2013.

[3] 赵旺飞. 欺诈类手机恶意软件识别方法研究[J]. 电信工程技术与标准化, 2014(12).

[4] 文伟平,梅瑞,宁戈,等. Android恶意软件检测技术分析和应用研究[J]. 通信学报, 2014(8).

[5] 李佳. Android平台恶意软件检测评估技术研究[D]. 北京: 北京邮电大学, 2012.