恶意软件侵袭3G

那 罡

3G和智能手机的发展势头异常迅猛。从目前的形势来看,在移动通信产业中的金融诈骗会随着时间的推移越来越多,而且也同样面临着与PC终端相同的恶意软件风险。

虽然,手机病毒在目前还没有非常适合的“传染源”、“传染途径”和“传播目标”,所以短时间内并不会大规模地爆发,但是,随着3G手机的推广和智能手机的普及,以及其他传播方式的出现,手机病毒所带来的问题不容忽视。

手机恶意软件冒头

最近,安全厂商McAfee在全球移动大会(Mobile World Congress)上发表报告称,去年半数手机制造商报告了恶意软件感染、语音或文字垃圾消息攻击和其他安全事件。

报告中还指出,70%的手机制造商认为手机安全对于未来的发展至关重要,并认为手机安全保护是一项重要举措。McAfee移动安全部门高级副总裁Victor Kouznetsov说,提高手机“生态系统”开放性的努力已经取得了初步成功,但对移动网络和设备的攻击也在日趋复杂和狡猾。手机制造商考虑提供安全功能是令人鼓舞的。

如今,针对PC终端的恶意软件已经将目光放到了手机身上。国内某手机安全厂商还截获过熊猫烧香病毒的手机版——手机版恶意软件和恶意程序开始从PC终端转战到更易获得灰色经济受益的手机终端。

前一阵,某安全厂商检测到一种攻击Symbian系统的新恶意程序。该程序的攻击目标是一家印度尼西亚移动电话运营商的用户。该木马用一种叫Python的脚本语言编写,它会发出短信,通过一连串简短号码的指示,将用户账户里的部分资金转移到另一个属于网络犯罪分子的账户中。

目前,已知的5个SMS.Python.Flocker变种木马,转移金额的范围从0.45美元到0.90美元不等。因此,如果网络犯罪分子设法让木马感染了大量的手机的话,那么转移到犯罪分子手机账户的金额将是相当可观的。

最近还出现了一款恶意彩信软件,它入侵手机后,会按照手机电话簿上的名单逐个发彩信,也会自动连接GPRS上网,把机主电话簿上的信息传送到黑客的手中。

McAfee Avert Labs 及产品开发高级副总裁Jeff Green认为:“针对手机的木马程序,目的很明显,就是为了牟取暴利。从目前的形势来看,在移动通信产业中的金融诈骗会随着时间的推移越来越多。”

由于手机天生具有方便的收费、缴费渠道,恶意软件驻留手机终端将给用户带来直接的经济损失。更为严重的是,目前大多数手机用户(特别是智能手机用户)对手机恶意软件一无所知,对因此而造成的恶意扣费可能毫不知情。

手机支付制造风险

移动电话和无线手持设备的发展势头异常迅猛,它们具有和微型计算机相同的功能,也同样面临着与PC终端相同的病毒风险。Jeff Green说,当网络周边设备扩展至智能电话时,困扰桌面计算机的攻击将越来越多地转移到手机平台上,用户就需要考虑这些设备的安全性了。

Jeff Green认为,数年前,手机的标准化程度还相当低。手机的操作系统、Java实现各不相同,即使使用相同的操作系统,手机的其它配置也不相同,黑客很难编写出能够同时在许多款手机上运行的恶意代码。

随着被广泛使用的手机平台的不断改进,现在很多手机都采用3G标准,或Windows Mobile和Symbian操作系统,这种情况也发生了变化。标准化使得黑客能够更方便地编写出在多款手机上运行的恶意代码,并使其更有针对性。Jeff Green说,手机与PC相似程度越高,受到恶意代码攻击的可能性也就越高。另外,手机的功能越来越成熟,用途也越来越广泛。随着手机逐渐普及,一些犯罪分子开始用手机牟取暴利。

McAfee Avert Labs实地研究顾问阮辉宇认为,尽管手机支付目前多限于小额交易,但欺诈者将很快转向这一领域。到时候,犯罪分子就算只从每个手机用户那里盗走5美元,累计下来也将是一笔巨大的财富。

手机支付大都采用“近距离通信技术”(NFC),这种技术可把消费者手机中的数据通过无线方式传输至商家的读卡器。阮辉宇相信,手机支付必将进一步改变人们日常借记交易的方式,而目前绝大多数手机未安装任何安全软件。

McAfee公司不久前与有关机构联合开展的一项调查显示,在英国、美国和日本,至少有79%的消费者明知自己的手机处在毫无保护的状态下,仍使用手机进行交易,15%的人甚至不清楚自己手机的安全保护程度。Jeff Green认为,对欺诈者而言,移动领域是他们今后最有可能“得逞”的地方,主要原因是许多人目前仍将手机看做普通的通信工具,而不是一种必须严加保护的设备。

手机也玩云安全

“手机安全防护相对于PC更难,因为手机的操作系统更为复杂,也面临性能上的限制。这就要求把安全防护做得更有效率,不能因为手机防病毒引擎过于复杂,导致手机无法使用。而且,McAfee的Artemis云安全技术,不仅适用于PC安全,甚至还可以用到手机上。”Jeff Green说。

据了解,McAfee Artemis技术为相关最新研究及响应提供不间断的新交付模式 ,以缩短防护时间差。综合利用特征码行为分析及社区威胁情报应用程序,其实时“推动”模式能在任何需要的时候为系统提供保护,这对已有的基于特征码的检测机制是一个良好的补充。

当用户收到一个被扫描代理认定为“可疑”的文件(如加密文件或打包文件),而本地DAT文件数据库也没有特征码,那么扫描代理就使用Artemis技术发送文件指纹,即时在McAfee Avert Labs的综合数据库进行查询。如果确认这个指纹是已知恶意软件,就会在几毫秒内向终端用户的手机或PC发回一个响应,从而阻止或隔离该文件。

阮辉宇说,McAfee Artemis技术利用社区威胁情报压缩了研究周期以缩短防护时间差。这种保护机制在不增加成本的条件下,可用于McAfee的终端安全产品上,而且,无论何时何地,只要系统一连网,它就能发挥作用。