手機(jī)惡意程序
來源:南方都市報
近日��,南都記者再次調(diào)查發(fā)現(xiàn)�����,手機(jī)惡意程序可以做到侵入用戶手機(jī)�、獲取個人短信、通訊錄等信息���,用戶卻毫不知情�。
數(shù)月來��,從《恐怖�����!700元就買到同事行蹤�����,包括乘機(jī)�、開房��、上網(wǎng)吧等11項(xiàng)記錄》開始,到互聯(lián)網(wǎng)黑灰產(chǎn)業(yè)鏈調(diào)查����,南都持續(xù)關(guān)注公民個人信息、隱私泄露與被盜�����。
近日����,南都記者再次調(diào)查發(fā)現(xiàn),手機(jī)惡意程序可以做到侵入用戶手機(jī)���、獲取個人短信����、通訊錄等信息�����,用戶卻毫不知情�。
然而,這類惡意程序在QQ群里��,淘寶網(wǎng)上肆意售賣。即使不會制作����,花費(fèi)20元,甚至5元就能買到�����。在這個產(chǎn)業(yè)鏈上�,還有人專門出售釣魚網(wǎng)站,以供惡意程序傳播���。
南都記者花了不到200元�,請人制作一個空殼App����,以“安裝送話費(fèi)”掛到網(wǎng)上,短短13天內(nèi)����,就有656次點(diǎn)擊量,更有36人安裝�����、運(yùn)行了App�����。如果此App系惡意程序�,恐怕這些人都已中招。
資深“白帽黑客”提醒����,手機(jī)病毒多發(fā)生在安卓平臺,是因?yàn)椤皣鴥?nèi)安卓環(huán)境太差了�����,隨便一個應(yīng)用都要你的聯(lián)系人權(quán)限�,恨不得把所有權(quán)限獲取一遍”。而當(dāng)這些應(yīng)用的服務(wù)器被入侵�����,公民的個人隱私也將遭泄露��。
手機(jī)惡意程序悄然傳播
家住貴州的初三學(xué)生曾勤績(化名)��,近來遇到一件煩心事�����。
去年12月31日開始,他的手機(jī)頻繁被扣費(fèi)���,甚至有一次短短10分鐘就收到35條短信����,提示他開通了天翼閱讀��、口袋問答等16項(xiàng)業(yè)務(wù)�����,被扣費(fèi)156元��。
當(dāng)時他正用手機(jī)上網(wǎng)查詢作業(yè)答案�����,突然彈出來一個二級頁面�,提示“輸入手機(jī)號查看答案”,不料剛填入手機(jī)號�����,35條扣費(fèi)短信就“轟炸”了過來。曾勤績只好挨個給公司打去電話����,要求取消業(yè)務(wù)��。
對此����,一家公司的技術(shù)人員表示,他們常收到類似的投訴����,原因一般是手機(jī)用戶下載到了惡意程序。
“這樣的情況�,在手機(jī)市場上非常普遍��!騰訊手機(jī)管家安全專家陳列告訴記者���,用戶無緣無故被扣費(fèi)�,這個功能只能算手機(jī)惡意程序中的小兒科���。
根據(jù)《騰訊安全2016年度互聯(lián)網(wǎng)安全報告》�,2016年中國手機(jī)網(wǎng)民有6億多人,惡意程序感染人次卻超過5億����。可怕的是�����,大部分程序都能刪除短信��、隱藏圖標(biāo)��。這就意味著����,黑客可以發(fā)送短信開通業(yè)務(wù),用戶卻毫不知情�����。
“手機(jī)惡意程序已經(jīng)形成一條黑色產(chǎn)業(yè)鏈��,制作�、傳播�����、詐騙�、洗錢�����,各個環(huán)節(jié)已近完備��������!标惲懈嬖V南都記者。
網(wǎng)店公然銷售惡意程序
南都記者歷時數(shù)周調(diào)查發(fā)現(xiàn)����,這條黑色產(chǎn)業(yè)鏈門檻并不高,即使看不懂代碼�����,也有很多人違法進(jìn)入這個行業(yè)��。
以危害程度較低的惡意程序———“靜默安裝”為例,淘寶就有大量店鋪出售���。
其中一位店主張先生表示�,他能修改App的源代碼�����,偽裝成普通App的模樣�����,下載安裝后�����,一時半會看不出異樣����。夜里用戶睡著時,這個程序能控制手機(jī)���,捆綁下載其他App�����,整個制作過程只需要2000元���。而此后要做的��,只是誘導(dǎo)用戶下載這款山寨App����。
張先生認(rèn)為�����,這類程序“沒有惡意”���。“捆綁安裝其他App����,只是做一個廣告推廣,怎么能說有惡意呢��?”
然而�,根據(jù)工信部《移動互聯(lián)網(wǎng)惡意程序監(jiān)測與處置機(jī)制》,存在竊取用戶信息���、擅自使用付費(fèi)業(yè)務(wù)�����、發(fā)送垃圾信息�����、推送廣告等行為的�,均被認(rèn)為是“惡意程序”。
南都記者發(fā)現(xiàn)��,該店鋪同時售賣A pp的源代碼���,其中包括某國企的辦公系統(tǒng)�。張先生聲稱�����,這些A pp都是對方公司邀請他參與制作的��,未經(jīng)對方同意便拿來販賣����,是他工作之余的“私活”��。
像這樣承接“靜默安裝”業(yè)務(wù)的���,在淘寶上另有多人。記者走訪發(fā)現(xiàn)�����,這些賣家均不認(rèn)為自己的行為有所不當(dāng)�����。
像“靜默安裝”這樣的資源消耗類程序���,已經(jīng)占據(jù)黑色產(chǎn)業(yè)鏈的半壁江山�����!厄v訊安全2016年度互聯(lián)網(wǎng)安全報告》顯示����,在去年檢出的6682萬次手機(jī)惡意程序中�,84%屬于資源消耗類����,能控制手機(jī)自動聯(lián)網(wǎng)�、下載�����、發(fā)送短信等。
除了靜默安裝以外�,大量淘寶店還公然出售釣魚網(wǎng)站的模板��。
這些模板多數(shù)偽裝成色情網(wǎng)站�,用戶可以看到5-10秒的色情影片���,此后網(wǎng)頁跳出提示�����,“無法繼續(xù)播放�����,因?yàn)闄z測到你沒有安裝某某播放器���!比绻脩酎c(diǎn)擊下載�,最后可能會發(fā)現(xiàn),自己安裝的是另一款程序�。
一位淘寶店主聲稱,他并不使用這些釣魚網(wǎng)站�,只是把模板賣給別人。但對于買家用來推廣什么程序�,店主則稱“不清楚”。
然而�����,把惡意程序植入色情釣魚網(wǎng)站�����,卻是黑色產(chǎn)業(yè)鏈的常見做法�。一位互聯(lián)網(wǎng)安全專家告訴記者���,他檢測過網(wǎng)上流傳的所謂“色情播放器”��,發(fā)現(xiàn)基本都帶有惡意程序����。
5塊錢就能買到惡意程序
南都記者臥底發(fā)現(xiàn),另有一款名為“鎖機(jī)”的惡意程序����,門檻更低,只需20元�,甚至5元就能買到。
記者通過檢索���,發(fā)現(xiàn)大量QQ群販賣鎖機(jī)程序�。用戶下載鎖機(jī)程序后�����,手機(jī)會被鎖定�,無法進(jìn)行其他操作。此時�,手機(jī)屏幕上會顯現(xiàn)制作者的聯(lián)系方式:“解鎖找某某,只需20元�����。”
甚至還有初中生參與其中�。
阿鵬開發(fā)出鎖機(jī)病毒時,正在上初三��。他告訴記者���,自己先是中了別人的病毒�����,花了25元解鎖后����,才接觸到這個技術(shù)����。
去年4月,阿鵬開始學(xué)習(xí)安卓技術(shù)��,2個月后�����,第一個鎖機(jī)程序制作完成����。此時,阿鵬在網(wǎng)上發(fā)布消息����,宣稱只要安裝這款程序,就能免費(fèi)升級QQ會員����。用戶中招后,通過阿鵬留下的聯(lián)系方式����,轉(zhuǎn)去20元錢,才能順利解鎖�。
不過,阿鵬自稱這番敲詐手法給他帶來還不到200塊收益�������!按蠖鄶(shù)用戶聯(lián)系我����,并不會給錢��,而是把我罵一頓��,然后去手機(jī)店修理�������!
阿鵬的鎖機(jī)程序�,甚至被收錄進(jìn)某大型公司的年度互聯(lián)網(wǎng)安全報告����,他也樂于向別人展示這個成果���!拔覀冞@個年紀(jì)的���,都喜歡炫耀�����!
阿鵬也被一些別有用心的人盯上。去年6月開始���,每天都有10多人找到阿鵬,請他做鎖機(jī)程序�����,讓他傳授鎖機(jī)技術(shù)��。多方利益圍獵���,仍未引起他的警覺��。別人甚至無需驗(yàn)證�,就能直接添加他為Q Q好友���������!澳芙o我的QQ空間漲人氣�����!卑Ⅸi引以為豪。
新學(xué)期開始���,阿鵬已經(jīng)不再處理生意����,理由是“沒有時間”���。最后��,他也告訴記者�����,放棄生意的真正原因����,是因?yàn)椴毁嶅X������!疤嗳嗽谧隽��,如果真能賺錢����,我會輕易放棄嗎���?”
阿鵬告訴記者,6月放暑假時�����,一個鎖機(jī)病毒還能賣到20塊錢��,學(xué)生們開學(xué)后���,QQ群里生意冷清���,一個病毒只能賣5塊錢。
支付寶短信偷偷被轉(zhuǎn)走
與鎖機(jī)程序同樣低門檻���,卻更加危險的程序���,叫“攔截馬”(也稱“攔截碼”)����。同樣的�����,也存在大量QQ群���,公然售賣這一程序��。
南都記者在一個名為“AIDE攔截碼”的QQ群里發(fā)布求購消息��,立即有5人私聊記者�,聲稱“有貨”�,開價從20元到50元不等。
最終����,記者與“瀟子傲”談好價格,不到3分鐘���,記者就收到了這款程序����!爸灰獎e人下載安裝��,你就可以接到他手機(jī)的全部短信��������!
記者的同事親身體驗(yàn)��,發(fā)現(xiàn)安裝時并不需要任何權(quán)限。安裝完成后�,屏幕上顯示圖標(biāo),同事點(diǎn)擊圖標(biāo)����,卻瞬間閃退,圖標(biāo)也從屏幕上消失����。
此后同事每收到一條短信,都能自動發(fā)送到記者手機(jī)中����,短信資費(fèi)由同事承擔(dān)��。
“瀟子傲”又提示記者�����,只要再轉(zhuǎn)賬300元��,他就能教授制作攔截馬的方法��。據(jù)悉�����,攔截馬的制作流程非常簡單����,短短幾行代碼�,可以免費(fèi)下載、互相抄襲����,只需把自己手機(jī)號、郵箱地址填入其中�����,一個手機(jī)病毒就制作完成了。用戶安裝病毒后���,短信將發(fā)送到制作者的手機(jī)�、郵箱中��,用戶渾然不知���。
在“白帽黑客”顧鈺偉(化名)的幫助下���,南都記者進(jìn)入某不法分子的郵箱,發(fā)現(xiàn)該郵箱已監(jiān)控了5人的手機(jī)�,這5臺手機(jī)的短信和通訊錄號碼都被收錄進(jìn)來。
以其中一名受害者為例���,從2015年12月12日起,她一共收到10條支付寶的驗(yàn)證短信����,“支付寶校驗(yàn)碼:347050,打死都不能告訴別人哦��!”這些短信都被收錄進(jìn)郵箱。犯罪分子可以利用驗(yàn)證碼����,登錄他人支付寶、網(wǎng)銀����,實(shí)現(xiàn)轉(zhuǎn)賬、盜刷等目的����。
以中國裁判文書網(wǎng)上的《吳振慶破壞計(jì)算機(jī)信息系統(tǒng)二審刑事裁定書》為例,犯罪嫌疑人利用類似的惡意程序���,監(jiān)控了121臺手機(jī)設(shè)備��,并盜刷他人銀行卡�����,最終被判有期徒刑5年����。裁判文書顯示����,犯罪嫌疑人使用的惡意程序��,也系網(wǎng)上買來���。
鎖機(jī)、攔截馬程序�����,正以一種傳銷式的方式在推廣�。制作者一般會加入QQ群,付錢購買病毒����、學(xué)會技術(shù),然后自己創(chuàng)建QQ群���,進(jìn)行二次售賣�����。“瀟子傲”宣稱�����,他有一個700人的QQ群,其中300人買過他的程序����。“放心����,都沒有被抓�����!
記者發(fā)現(xiàn)�����,在一個名為“攔截碼”的貼吧中��,制作者爭先恐后拋出廣告���,天天頂帖���。購買者求碼心切�,“找合作���,利潤評分�,我知道有個賬戶有20萬��������!
App傳播渠道亂象叢生
手機(jī)惡意程序制作完成后���,不法分子可以利用多種途徑進(jìn)行傳播。
其一是投放釣魚網(wǎng)站�。南都記者發(fā)現(xiàn),這類釣魚網(wǎng)站非常泛濫���,一般打著色情的旗號��,引誘手機(jī)用戶下載“專用播放器”�,以觀看色情影片�����。
騰訊手機(jī)管家安全專家陳列告訴記者���,釣魚網(wǎng)站需要頻繁更換域名�����、服務(wù)器等��,操作比較麻煩��,往往需要專門的人來制作�、維護(hù)網(wǎng)站����,他們也是靠產(chǎn)業(yè)鏈養(yǎng)活的一員。
另一種傳播途徑�,是群發(fā)短信鏈接。
記者進(jìn)入的不法分子郵箱顯示�,3月12日18時,犯罪分子控制某受害者的手機(jī)�,給通訊錄好友群發(fā)了短信,內(nèi)容為“某某�,你看一下,spmdd.com/you�����。”如果有人點(diǎn)開鏈接���,同樣將中攔截馬病毒��。
病毒推廣的背后�����,還有一些“廣告聯(lián)盟”在推波助瀾���。與淘寶刷單類似,廣告聯(lián)盟旗下有眾多員工��,專門下載�����、安裝App�,提升該App的人氣。
記者以App開發(fā)商的名義��,聯(lián)系上一家名為“1717金融團(tuán)隊(duì)”的廣告聯(lián)盟。一位負(fù)責(zé)人表示���,他可以幫記者的A pp實(shí)現(xiàn)刷單和注冊���,每單3.5元���。記者了解到���,每下載一次App,普通員工一般只能賺到1元錢�����。這意味著����,剩下的2.5元都進(jìn)入了廣告聯(lián)盟老板的腰包。
更不可思議的是���,當(dāng)記者說明自己的App系山寨貨�,可能涉嫌侵權(quán)��,該負(fù)責(zé)人卻宣稱,“我們推廣的山寨A pp太多了����。”而當(dāng)記者明確表示App帶有惡意程序��、能監(jiān)控短信后����,該負(fù)責(zé)人依然愿意提供服務(wù)��!斑@個我們不管����,出了事你負(fù)責(zé),我們也不用承擔(dān)責(zé)任�����!
“現(xiàn)在大部分的中小型廣告聯(lián)盟�,管理都很混亂����!标惲懈嬖V記者,廣告聯(lián)盟推廣的App魚龍混雜��,是惡意A pp傳播的途徑之一��。
甚至連刷機(jī)也有可能出現(xiàn)風(fēng)險�����。
早在2013年�����,就有刷機(jī)愛好者在論壇發(fā)布消息��,指責(zé)某款ROM(刷機(jī)素材)預(yù)裝的App���,非但沒有圖標(biāo),反而私自發(fā)送�、監(jiān)控短信。據(jù)悉�����,該ROM是一位網(wǎng)友自發(fā)制作�、分享。
對此,機(jī)鋒論壇的知名RO M制作者馬超表示��,App開發(fā)商與ROM制作者之間存在利益交換�,早已成為行業(yè)潛規(guī)則。
馬超告訴記者��,此前有多個開發(fā)商找到他����,要求在ROM中預(yù)裝App�����!耙话阄也粊y接����,沒聽過的一律回絕或無視掉了���!
馬超自稱����,他預(yù)裝的A pp����,都來自360�、騰訊等知名公司����,在發(fā)布RO M之前,他也會在自己的手機(jī)上試運(yùn)行���,檢測是否有毒��。
馬超表示���,預(yù)裝A pp是民間RO M制作者唯一的收入�����,按運(yùn)行次數(shù)付費(fèi)�����,“一臺機(jī)器首次運(yùn)行才計(jì)算(一次)”�。
惡意程序也在走出國門。樂蛙科技有限公司的海外業(yè)務(wù)負(fù)責(zé)人周先生稱�����,部分A pp開發(fā)商為了推廣,會選擇賄賂手機(jī)生產(chǎn)商���,在手機(jī)硬件中預(yù)裝惡意程序����。周先生介紹說���,印度市場上的手機(jī)�����,部分是國內(nèi)代工的�����,就出現(xiàn)過這種情況�。
200元做App13天36人中招
然而��,在顧鈺偉看來�,市面上流行的大部分手機(jī)惡意程序,都是“小學(xué)生做的東西”��。“一般我們不會去注意寫鎖機(jī)的人�,太弱了����!
顧鈺偉是在校大學(xué)生,每天課程結(jié)束后����,便會坐在電腦前,檢測各網(wǎng)站漏洞���,為網(wǎng)友講解手機(jī)病毒的原理����。與鉆漏洞謀利的“黑帽黑客”不同����,他是一名“白帽”�����,專門尋找漏洞���、及時匯報�。
顧鈺偉告訴記者,App之所以能控制手機(jī)�����,是因?yàn)楂@取了足夠的權(quán)限����。“鎖機(jī)A pp打的標(biāo)題����,可能是‘秒領(lǐng)20元紅包’、‘王者榮耀輔助’等��,正是這些很有誘惑力的字眼���,促使用戶一路綠燈��,開放權(quán)限�����!
顧鈺偉與這些病毒的作者打過交道�,此前他們是互通技術(shù)的朋友������!白畛醮蠹叶际呛诳停诳鸵彩侨����,也有好人、壞人���,所以一部分開始給企業(yè)找漏洞�����,報告給他們���,成為白帽,一部分販賣漏洞��,成為黑帽������!
發(fā)現(xiàn)朋友在做不正當(dāng)生意后,顧鈺偉與他們斷交�。據(jù)顧鈺偉介紹,這批人目前已潛逃?xùn)|南亞��,遠(yuǎn)程操作國內(nèi)互聯(lián)網(wǎng)市場����。
目前,東南亞已經(jīng)成為手機(jī)病毒的重要來源地���。病毒竊取用戶個人信息后����,能控制論壇賬號��,發(fā)送網(wǎng)絡(luò)賭博的廣告����。這些網(wǎng)絡(luò)賭博公司,都設(shè)立在賭博合法化的東南亞國家�����。
近日,公安部破獲了一起特大竊取出售個人信息案�����,涉及被竊信息50多億條�����,就與網(wǎng)絡(luò)賭博有關(guān)��。
雖然相關(guān)部門正積極打擊�,但仍無法阻止犯罪分子繼續(xù)違法。一個名叫“攔截馬”的貼吧已經(jīng)被封�,而另外一些名叫“攔截碼”、“中國攔截馬”����、“短信攔截馬”的貼吧得以建立。
一個原名為“AIDE攔截碼”的QQ群�����,數(shù)天前改名為“我愛騰訊�����、騰訊愛我”���,群管理員告訴記者����,騰訊正在嚴(yán)查QQ群���。16日�����,該群名重新改回“AIDE攔截碼”�。
手機(jī)病毒泛濫成災(zāi)��,正是因?yàn)橛惺袌龃嬖凇?/p>
南都記者制作了一個空殼App和下載鏈接�����,模擬手機(jī)惡意程序的流通過程���,由深圳市非凡之星網(wǎng)絡(luò)科技有限公司免費(fèi)提供技術(shù)支持�。
在傳播下載鏈接時,南都記者加上“安裝送話費(fèi)”����、“免費(fèi)看美女圖片”等理由,短短13天內(nèi)��,就有656次點(diǎn)擊量���,更有36人安裝�����、運(yùn)行了App���。如果該App系惡意程序,這36人都將中招�。整套流程走下來,南都記者購買服務(wù)器及域名只花了不到200元�����。
如何防范
病毒多發(fā)生在安卓平臺
“白帽黑客”顧鈺偉認(rèn)為�����,手機(jī)病毒多發(fā)生于安卓平臺,是因?yàn)椤皣鴥?nèi)安卓環(huán)境太差了����,隨便一個應(yīng)用都要你的聯(lián)系人權(quán)限,恨不得把所有權(quán)限獲取一遍”�。而當(dāng)這些應(yīng)用的服務(wù)器被入侵,公民的個人隱私也將遭泄露��。
iOS更加封閉�、更加安全
“相比安卓系統(tǒng)�����,iOS更加安全����。”深圳市非凡之星網(wǎng)絡(luò)科技有限公司的研發(fā)經(jīng)理朱鵬說�����,iOS的App開發(fā)商���,需要向蘋果公司申請賬號��,共有企業(yè)�����、公司��、個人三種類型的賬號�。除了企業(yè)賬號可以使用獨(dú)立服務(wù)器、供人下載外�,公司、個人賬號制作的App�����,都需要上傳至蘋果的官方應(yīng)用市場�����,審核嚴(yán)格�。“對于資質(zhì)齊全�、效益良好的企業(yè)來說,一般又不會制作惡意程序�,因此iOS設(shè)備較少中毒��!
朱鵬也介紹,安卓手機(jī)安全隱患更大����,根本原因不在于系統(tǒng)本身,而是安卓的開放性所導(dǎo)致的����,程序能夠獲取的權(quán)限較多。
然而谷歌公司仍宣稱將堅(jiān)持開源政策����。在美國時間3月10日的谷歌云大會上��,谷歌副總裁Vint Cerf稱�,互聯(lián)網(wǎng)本身就有開源的屬性,沒有開源就沒有互聯(lián)網(wǎng)��,沒有互聯(lián)網(wǎng)就沒有谷歌公司�。
與此同時,蘋果公司正變得更加“封閉”����。3月8日,iOS系統(tǒng)的App開發(fā)者收到郵件�,主要內(nèi)容是�����,禁止在App里進(jìn)行某些技術(shù)的熱更新���。這意味著,一些App的更新將無法在應(yīng)用內(nèi)直接進(jìn)行�,而是必須移步官方應(yīng)用市場重新下載。
“蘋果公司的這一政策�,意味著iOS將更加封閉、更加安全����。”朱鵬告訴記者��,官方應(yīng)用市場下載的App可能剛開始無毒��,卻能通過熱更新植入病毒���。
防病毒安裝殺毒軟件
那么該如何防范日益猖獗的手機(jī)病毒呢��?
“給一個安全專家都會給的建議�,安裝一款殺毒軟件���!鳖欌晜フf�����。
“不要隨意掃描二維碼�����、或通過第三方鏈接下載文件��,應(yīng)前往正規(guī)應(yīng)用市場下載�������!敝禊i建議。
可惡意程序早已做好應(yīng)對工作���。在一些QQ群內(nèi)���,已經(jīng)有多人宣稱,他們販賣的攔截馬可以“反殺”,殺毒軟件檢測不到���。更嚴(yán)重的是�����,即使在應(yīng)用市場����,也可能下載到山寨App��。
相關(guān)數(shù)據(jù)顯示�����,App的仿冒問題非常嚴(yán)重�����,平均每個App的山寨版本達(dá)到34個����,57%的山寨應(yīng)用有隱私竊取、盜費(fèi)等惡意行為�。
與此同時,大多手機(jī)用戶似乎還沒有注意到,手機(jī)惡意程序的兇猛發(fā)展態(tài)勢�������!斑@些白帽就是搞安全的��,當(dāng)然會把安全問題說得很夸張����!鼻笆鎏詫毜曛鲝埾壬硎�,自己就是從事軟件開發(fā)的,從來沒有安裝過殺毒軟件����!皳Q句話說��,就算你的短信泄露了�����,又能怎么樣呢���?”
現(xiàn)實(shí)卻是�����,哪怕是一個初中生��,也有多種渠道傳播惡意程序�����,并利用多種方式變現(xiàn)��,這值得手機(jī)用戶提高警惕�。
關(guān)注樓主