在进行移动端病毒分析时，首先要对“恶意行为”有个明确的概念。《移动互联网恶意程序描述格式》为工业和信息化部发布的通信行业网络安全标准之一，本文摘录其中的“移动互联网恶意程序行为属性分类”部分，供学习参考。

恶意程序属性主分类编码

3 移动互联网恶意程序行为属性及判定

3.1 用户不知情或未授权情况

本标准所述“用户不知情或未授权情况”包括但不限于以下情况：
——未向用户明确提示所要执行的全部功能及可能产生的资费，并请用户做出选择的；
——用户选择“否”、“不同意”、“取消”、“不允许”、“卸载”等选项的；
——用户选择“是”、“同意”、“确认”、“允许”、“安装”等选项，但并未对其隐藏的行为
明确知情或授权的；
——通过捆绑、诱骗等手段致使用户点击“是”、“同意”、“确认”、“允许”、“安装”等按
钮的。

3.2 移动互联网恶意程序行为属性分类

3.2.1 恶意扣费

在用户不知情或未授权的情况下，通过隐蔽执行、欺骗用户点击等手段，订购各类收费业务或使用移动终端支付，导致用户经济损失的，具有恶意扣费属性。
包括但不限于具有以下任意一种行为的移动互联网恶意程序具有恶意扣费属性：
——在用户不知情或未授权的情况下，自动订购移动增值业务的；
——在用户不知情或未授权的情况下，自动利用移动终端支付功能进行消费的；
——在用户不知情或未授权的情况下，自动拨打收费声讯电话的；
——在用户不知情或未授权的情况下，自动订购其他收费业务的；
——在用户不知情或未授权的情况下，自动通过其他方式扣除用户资费的。

3.2.2 信息窃取

在用户不知情或未授权的情况下，获取涉及用户个人信息、工作信息或其他非公开信息的，具有信息窃取属性。
包括但不限于具有以下任意一种行为的移动互联网恶意程序具有信息窃取属性：
——在用户不知情或未授权的情况下，获取短信内容的；
——在用户不知情或未授权的情况下，获取彩信内容的；
——在用户不知情或未授权的情况下，获取邮件内容的；
——在用户不知情或未授权的情况下，获取通信录内容的；
——在用户不知情或未授权的情况下，获取通话记录的；
——在用户不知情或未授权的情况下，获取通话内容的；
——在用户不知情或未授权的情况下，获取地理位置信息的；
——在用户不知情或未授权的情况下，获取本机手机号码的；
——在用户不知情或未授权的情况下，获取本机已安装软件信息的；
——在用户不知情或未授权的情况下，获取本机运行进程信息的；
——在用户不知情或未授权的情况下，获取用户各类帐号信息的；
——在用户不知情或未授权的情况下，获取用户各类密码信息的；
——在用户不知情或未授权的情况下，获取用户文件内容的；
——在用户不知情或未授权的情况下，记录分析用户行为的；
——在用户不知情或未授权的情况下，获取用户网络交易信息的；
——在用户不知情或未授权的情况下，获取用户收藏夹信息的；
——在用户不知情或未授权的情况下，获取用户联网信息的；
——在用户不知情或未授权的情况下，获取用户下载信息的；
——在用户不知情或未授权的情况下，利用移动终端麦克风、摄像头等设备获取音频、视频、图片信息的；
——在用户不知情或未授权的情况下，获取用户其他个人信息的；
——在用户不知情或未授权的情况下，获取用户其他工作信息的；
——在用户不知情或未授权的情况下，获取其他非公开信息的。

3.2.3 远程控制

在用户不知情或未授权的情况下，能够接受远程控制端指令并进行相关操作的，具有远程控制属性。
包括但不限于具有以下任意一种行为的移动互联网恶意程序具有远程控制属性：
——由控制端主动发出指令进行远程控制的；
——由受控端主动向控制端请求指令的。

3.2.4 恶意传播

自动通过复制、感染、投递、下载等方式将自身、自身的衍生物或其他恶意程序进行扩散的行为，具有恶意传播属性。
包括但不限于具有以下任意一种行为的移动互联网恶意程序具有恶意传播属性：
——自动发送包含恶意程序链接的短信、彩信、邮件、WAP 信息等；
——自动发送包含恶意程序的彩信、邮件等；
——自动利用蓝牙通信技术向其他设备发送恶意程序的；
——自动利用红外通信技术向其他设备发送恶意程序的；
——自动利用无线网络技术向其他设备发送恶意程序的；
——自动向存储卡等移动存储设备上复制恶意程序的；
——自动下载恶意程序的；
——自动感染其他文件的。

3.2.5 资费消耗

在用户不知情或未授权的情况下，通过自动拨打电话、发送短信、彩信、邮件、频繁连接网络等方式，导致用户资费损失的，具有资费消耗属性。
包括但不限于具有以下任意一种行为的移动互联网恶意程序具有资费消耗属性：
——在用户不知情或未授权的情况下，自动拨打电话的；
——在用户不知情或未授权的情况下，自动发送短信的；
——在用户不知情或未授权的情况下，自动发送彩信的；
——在用户不知情或未授权的情况下，自动发送邮件的；
——在用户不知情或未授权的情况下，频繁连接网络，产生异常数据流量的。

3.2.6 系统破坏

通过感染、劫持、篡改、删除、终止进程等手段导致移动终端或其他非恶意软件部分或全部功能、用户文件等无法正常使用的，干扰、破坏、阻断移动通信网络、网络服务或其他合法业务正常运行的，具有系统破坏属性。
包括但不限于具有以下任意一种行为的移动互联网恶意程序具有系统破坏属性：
——导致移动终端硬件无法正常工作的；
——导致移动终端操作系统无法正常运行的；
——导致移动终端其他非恶意软件无法正常运行的；
——导致移动终端网络通信功能无法正常使用的；
——导致移动终端电池电量非正常消耗的；
——导致移动终端发射功率异常的；
——导致运营商通信网络无法正常工作的；
——导致其他合法业务无法正常运行的；
——对用户文件、系统文件或其他非恶意软件进行感染、劫持、篡改的；
——在用户不知情或未授权的情况下，对系统文件或其他非恶意软件进行删除、卸载、终止进程或限制运行的；
——在用户不知情或未授权的情况下，对用户文件进行删除的。

3.2.7 诱骗欺诈

通过伪造、篡改、劫持短信、彩信、邮件、通信录、通话记录、收藏夹、桌面等方式诱骗用户，而达到不正当目的的，具有诱骗欺诈属性。
包括但不限于具有以下任意一种行为的移动互联网恶意程序具有诱骗欺诈属性：
——伪造、篡改、劫持短信，以诱骗用户，而达到不正当目的的；
——伪造、篡改、劫持彩信，以诱骗用户，而达到不正当目的的；
——伪造、篡改、劫持邮件，以诱骗用户，而达到不正当目的的；
——伪造、篡改通信录，以诱骗用户，而达到不正当目的的；
——伪造、篡改收藏夹，以诱骗用户，而达到不正当目的的；
——伪造、篡改通信记录，以诱骗用户，而达到不正当目的的；
——伪造、篡改、劫持用户文件，以诱骗用户，而达到不正当目的的。
——伪造、篡改、劫持用户网络交易数据，以诱骗用户，而达到不正当目的的；
——冒充国家机关、金融机构、移动终端厂商、运营商或其他机构和个人，以诱骗用户，而达到不正当目的的；
——伪造事实，诱骗用户退出、关闭、卸载、禁用或限制使用其他合法产品或退订服务的。

3.2.8 流氓行为

执行对系统没有直接损害，也不对用户个人信息、资费造成侵害的其他恶意行为具有流氓行为属性。
包括但不限于具有以下任意一种行为的移动互联网恶意程序具有流氓行为属性：
——在用户不知情或未授权的情况下，长期驻留系统内存的；
——在用户不知情或未授权的情况下，长期占用移动终端中央处理器计算资源的；
——在用户不知情或未授权的情况下，自动捆绑安装的；
——在用户不知情或未授权的情况下，自动添加、修改、删除收藏夹和快捷方式的；
——在用户未授权的情况下，弹出广告窗口的；
——导致用户无法正常退出程序的；
——导致用户无法正常卸载、删除程序的；
——在用户未授权的情况下，执行其他操作的。

3.3 移动互联网恶意程序判定

当一个可运行于移动终端上的程序具有 3.2 节所述一种或多种行为属性时，可判定为移动互联网恶意程序。