基于Android平台的手机木马关键技术分析

６３

　董蕾，黄淑华，尹浩然，杨晶

（中国人民公安大学，北京 １０００３８）

摘　要：随着手机、ＰＤＡ和各种移动接入设备的普及，越来越多的信息正从ＰＣ转移到手机等网络终

端上，同时，利用这一终端设备的犯罪也逐渐增加。文章研究了Ａｎｄｒｏｉｄ平台下手机木马植入、Ｒｏｏｔｋｉｔ隐

藏、信息获取和回传技术，并在此基础上分析了该平台下手机木马模型，以期有针对性的进行防护。

关键词：Ａｎｄｒｏｉｄ系统；Ａｎｄｒｏｉｄ　Ｒｏｏｔｋｉｔ；手机木马；监听；信息获取

中图分类号：ＴＰ３９３．０８　文献标识码：Ａ　文章编号：１６７１－１１２２（２０１２）１１－００６３－０３

The Research on the Key Technology of Mobile Trojans based on

Android Platform

DONG Lei, HUANG Shu-hua, YING Hao-ran, YANG Jing

( Chinese People's Public Security University, Beijing 100038, China )

Abstract: With the popularity of mobile phone , PDA and mobile access equipment, more and more

information transfers from the PC to the network terminal, such as mobiles, at the same time, the criminal of

taking advantage of the equipment is gradually increasing. This paper studied Trojan implantation, Rootkit hidden,

information acquisition and feedback technology on android platform, and designs a mobile Trojans model.

Key words: Android system; Android rootkit; mobile trojans; listening; information acquisition

doi ：10.3969/j.issn.1671-1122.2012.11.017基于Ａｎｄｒｏｉｄ平台的手机木马关键技术分析

收稿时间：２０１２－０９－１１

作者简介：董蕾（１９８６－），女，河北，硕士研究生，主要研究方向：信息网络安全；黄淑华（１９７４－），女，黑龙江，硕士生导师，副教授，主要研究方向：信息网络安全；尹浩然（１９９０－），男，贵州，本科，主要研究方向：信息网络安全；杨晶（１９９０－），女，山东，本科，主要研究方向：信息网络安全。

当今社会，手机已经成为人们必不可少的通信工具，其中Ａｎｄｒｏｉｄ系统已成为一种主流手机操作系统，许多大型手机厂商都开始使用该系统，其开源、开放、免费的特性也受到了众多手机开发商的支持。

手机通信在给我们的生活带来便利的同时，也成为不法分子实施犯罪时惯用的手段。手机通信包含着大量的信息，如短信信息、通话信息，还有一些本地存储的信息等，这些信息对用户而言都有着重要价值，需注意保护。

１　手机木马的定义和发展

手机木马可参照计算机木马定义：是具有隐藏性和自发性的可被用来进行恶意操作的程序，一般不会直接对手机产生危害，而是以控制手机为主的一种应用程序。它的主要功能是接收程序制造者的一些命令，然后完成这些命令任务，同时将结果返回给制造者，手机木马给人们造成的危害还是以远程窃密、通话监听、信息截获和伪造欺骗为主。而且逐渐向以下特点发展：

１）多样化：随着手机功能的多样化，留给木马的可乘之机也就越多，其功能和结构也就呈现出多样化。２）隐蔽化：目前手机木马都还很简单，但随着手机性能的提高，例如多任务执行，这样可以使病毒更难以被发现。３）底层化：随着手机恶意程序制造者对手机系统内部核心了解得越来越透彻，那么借助底层的开发能力就可以写出一些类似ＰＣ机内核级别的程序，从而使查杀更加困难。４）顽固化：特别是像Ａｎｄｒｏｉｄ这样的开源系统，手机恶意程序制造者可以通过阅读其源代码来找到系统的薄弱点，从而写出和系统结合在一起的恶意程序。５）反杀毒化：当手机恶意程序获得较高权限时，类似ＰＣ机就可能关闭或者欺骗各种杀毒软件，这样杀毒软件就无法发现手机木马程序。

２　木马的植入和隐藏

２．１　手机木马的植入

植入是手机木马能够发挥作用的前提，但这也一直都是该项研究的难点，目前智能手机的木马绝大部分是通过诱骗进行植