8月2日凌晨起,国内大量手机用户收到了包含手机病毒的短信。安卓用户点击短信所含链接会下载恶意程序,窃取手机通讯录,并向通讯录群发该病毒短信。事件发生后,国家互联网应急中心、中国电信、中国移动、中国联通和相关省(区、市)通信管理局迅速行动,根据工信部《移动互联网恶意程序监测与处置机制》和工信部、公安部、国家工商总局《打击治理移动恶意程序专项行动方案》,并按照工信部通信保障局要求,在第一时间进行技术分析并采取多项应急处置措施,减少危害,降低影响,及时将有关情况通报公安机关,积极配合开展立案侦查工作。至8月2日12时,中国电信、中国移动、中国联通三大运营商在全国范围共拦截封堵该病毒短信千万余条,阻断病毒下载链接,病毒传播情况已显著下降,该链接在国内各地已无法下载。专家表示,由于及时对病毒短信和下载链接进行了过滤和拦截处置,有效避免了受感染用户数量的进一步扩大。
该病毒短信的内容为“[联系人姓名]看这个,http://cdn.yyupload.com/down/4279193/XXshenqi.apk”(以下简称“XX神器”),用户点击短信中的链接后,将下载安装恶意程序“XX神器”。该恶意程序感染会窃取用户信息,并读取用户手机通讯录,向通讯录中联系人转发恶意链接,还会进一步诱骗用户安装恶意程序“Trogoogle”,进一步窃取用户短信、通讯录等隐私信息。
据国家互联网应急中心介绍,“XX神器”恶意代码从8月2日凌晨开始大面积传播,至8月2日上午达到顶峰,包含病毒的短信在手机用户之间肆虐传播。据国家互联网应急中心初步估计,被感染用户达数十万,全国31个省(自治区、直辖市)都有手机被该恶意代码感染,其中广东、山东、河北等省感染用户较多。国家互联网应急中心经分析发现,短信中的恶意程序下载链接所用域名yyupload.com在国外注册,由境内某域名解析商进行域名解析,并采用了CDN服务。国家互联网应急中心立即协调相关域名解析商通知“XXshenqi”恶意代码所使用的域名(cdn.yyupload.com)持有人删除恶意程序下载链接,防止恶意程序进一步扩散。
中国电信集团公司的移动恶意代码监控系统于8月2日06:53自动捕获到全网第一例手机用户下载该应用程序apk安装包样本。7时左右,电信网内开始出现手机用户电话申告。经中国电信网络安全团队(SOC)紧急研判,确认了“XX神器”是一款包含明显恶意行为的病毒程序。中国电信立即启动了全网处置行动,于8月2日中午成功切断了该恶意病毒在电信网内的所有传播途径。据不完全统计,电信网内受感染用户数超过20万,中国电信全网屏蔽该恶意病毒传播短信430余万条,封堵URL策略执行27万次,遏制了病毒的继续传播和扩散。中国电信集团官方微博还发布了预警信息,告知广大用户该病毒的传播特征和查杀方式。
中国移动集团公司第一时间作出部署,在全网启动了应急响应,开展病毒软件研判和处置,于8月2日10:00在全网实施了拦截和封堵,迅速遏制了该恶意软件的进一步传播。一是在全国31个省(区、市)部署拦截策略,对带有该恶意链接地址的短信内容进行拦截;二是在全国对该恶意软件的传播下载地址进行紧急封堵;三是通过中国移动官方微博、10086官方微博等途径及时向广大用户进行预警提示;四是组织力量迅速开展病毒样本研判分析,于8月2日晚通过MM商城发布了“移动手机卫士”和“手机安全先锋”的更新版本,向用户免费提供对该病毒的查杀服务。
中国联通集团公司在8月2日获知了“XX神器”的传播情况后,紧急采取了一系列应对措施:一方面由网络技术部门对病毒的传播渠道进行拦截,通过关键字对恶意短信进行拦截,通过WAP网关对恶意网址链接进行拦截;另一方面由综合宣传部门通过官方微博等渠道对广大用户进行通知。在全国范围内对短信和恶意网址进行拦截后,手机病毒通过短信传播的路径被有效拦截,用户无法点击打开恶意网址链接。截至目前,中国联通已经拦截该手机病毒传播短信几百万条。
点 评
“XX神器”再次敲响了网络安全的警钟,特别是在移动互联网飞速发展的当下,手机安全隐患应该得到应有的重视。
为了维护网络和信息安全,净化移动互联网环境,保护用户合法权益,工业和信息化部、公安部、国家工商总局决定从今年4月至9月,在全国范围内联合开展打击治理移动互联网恶意程序专项行动。也正是在“专项行动”工作方案的要求指导下,通信行业在第一时间对该手机病毒进行了技术分析并采取多项应急处置措施,短短几个小时就成功堵截了“XX神器”的传播,使事件得以平息。
成效虽显著,但事件背后至少有两个方面值得通信行业思考。第一,反应处置速度还可以更快。如今,信息技术发展迅速,移动互联网恶意程序更新变种快,通信行业要努力提高技术手段,理顺内部机制,及时发现安全问题,迅速将信息上报,尽量缩短恶意程序的传播时间,切不能等到大量用户投诉后才进行反应。第二,用户的网络安全意识还需要提高。查看“XX神器”应用程序的传播路径,其实不难发现,这个手机恶意程序非常简单,无非就是短信开头加上了机主本身的名字,用户稍有警惕,就能避免中招。而且,用户若只是点击了链接,而没有下载安装该程序,也不会“中毒”。所以,应该加强对用户网络安全意识的宣传,运营商应在网上营业厅、实体营业厅、微博、微信、短信等多个渠道普及网络安全知识,教用户如何防范手机恶意程序。 
