吸費(fèi)軟件從山寨機(jī)轉(zhuǎn)戰(zhàn)Android手機(jī)

　　給你米、泡椒網(wǎng)惡意篡改熱門Android軟件

　　IT時(shí)報(bào)記者 林斐

　　Android手機(jī)國(guó)內(nèi)大賣，吸費(fèi)軟件也搭上了順風(fēng)車，篡改熱門Android應(yīng)用軟件，加入惡意扣費(fèi)代碼，此類現(xiàn)象在國(guó)內(nèi)已經(jīng)呈現(xiàn)蔓延態(tài)勢(shì)�！禝T時(shí)報(bào)》記者調(diào)查發(fā)現(xiàn)，來(lái)自“給你米”廣告聯(lián)盟和泡椒網(wǎng)的惡意扣費(fèi)代碼，已經(jīng)讓不少Android用戶中招，被扣掉了不少的話費(fèi)。

　　扣費(fèi)過(guò)程用戶毫無(wú)察覺(jué)

　　國(guó)內(nèi)著名的Android Rom(非官方系統(tǒng))制作者啊興也是諸多不幸者之一。他告訴《IT時(shí)報(bào)》記者，“本來(lái)之前就已經(jīng)聽(tīng)說(shuō)惡意扣費(fèi)的事情，但是我以為是由于用戶沒(méi)有關(guān)閉手機(jī)上網(wǎng)功能而造成的�！钡�去年12月29日，啊興卻發(fā)現(xiàn)自己的話費(fèi)里突然多了五十多元的增值服務(wù)費(fèi)，這才警覺(jué)起來(lái)。

　　緊急核查后，他將目標(biāo)鎖定在一款名為“骷髏塔防”的游戲上，這款軟件在安裝時(shí)會(huì)顯示需要發(fā)送短信的操作權(quán)限，而正常情況下，這樣的游戲是根本不需要短信功能的。分析后，發(fā)現(xiàn)這個(gè)軟件已經(jīng)被篡改，加入了惡意扣費(fèi)代碼。

　　“這段代碼每次會(huì)隨軟件正常啟動(dòng)同時(shí)運(yùn)行。運(yùn)行過(guò)程中會(huì)在用戶毫不察覺(jué)的情況下，采集用戶手機(jī)號(hào)、IMSI、ICCID、IMEI等個(gè)人隱私信息，然后將這些信息發(fā)送到專有服務(wù)器上。服務(wù)器收到信息后，會(huì)返回指令告訴扣費(fèi)程序發(fā)送短信至指定的電話號(hào)碼，并且偷偷安裝指定軟件。”啊興向記者解釋，“一般情況下，訂閱扣費(fèi)的增值服務(wù)，手機(jī)都會(huì)收到扣費(fèi)短信提醒。而這段代碼‘高明’的地方在于其內(nèi)置了防火墻功能，會(huì)提前對(duì)運(yùn)營(yíng)商發(fā)送的確認(rèn)扣費(fèi)的短信進(jìn)行攔截，用戶手機(jī)上也就不會(huì)收到任何提示，就這樣不知不覺(jué)中話費(fèi)被扣掉了�！�

　　發(fā)現(xiàn)了問(wèn)題的嚴(yán)重性后，啊興一方面在微博上緊急公布了消息，同時(shí)身為Android網(wǎng)站N多網(wǎng)的技術(shù)主管，他將情況告訴了自己的老板——N多網(wǎng)創(chuàng)始人陳羽中。

　　已發(fā)現(xiàn)70多款被篡改軟件

　　其實(shí)早在2天前，陳羽中 就發(fā)現(xiàn)了一件蹊蹺事。有家廣告聯(lián)盟網(wǎng)站找上門來(lái)，想請(qǐng)N多網(wǎng)幫助付費(fèi)推廣幾款軟件，不過(guò)對(duì)方發(fā)過(guò)來(lái)的軟件卻讓陳羽中 很驚訝，分明是N多網(wǎng)漢化后的產(chǎn)品�！盀槭裁次覀冏约旱能浖�，對(duì)方要幫著推廣，還要倒給我們錢，這明顯不合理�！标愑鹬� 告訴記者，“我讓技術(shù)工程師去分析后發(fā)現(xiàn)，軟件被篡改過(guò)了，里面加上了扣費(fèi)代碼�！�

　　經(jīng)過(guò)啊興和同事分析后發(fā)現(xiàn)，惡意扣費(fèi)代碼的來(lái)源指向“給你米(geinimi)”廣告聯(lián)盟和泡椒網(wǎng)兩家網(wǎng)站。

　　3天輪班倒的排查，目前N多網(wǎng)上8000多個(gè)軟件已經(jīng)清查完畢。N多網(wǎng)的小團(tuán)隊(duì)沒(méi)閑著，還廣泛收集國(guó)內(nèi)多家Android論壇上的軟件，將被篡改后的軟件名稱在N多網(wǎng)上公布了出來(lái)。截至目前，已經(jīng)公布了近70款軟件，涉及國(guó)內(nèi)目前多款熱門游戲和軟件。

　　知名網(wǎng)站上也有扣費(fèi)軟件

　　根據(jù)啊興提供的病毒樣本，記者1月1日選擇了一款名為“骷髏塔防”的軟件進(jìn)行安裝，果然發(fā)現(xiàn)了在安裝時(shí)權(quán)限提示頁(yè)面有“發(fā)送短信”的選項(xiàng)。

　　隨后記者對(duì)比檢查了篡改軟件和原版軟件的源代碼，果然篡改版本軟件中已經(jīng)添加了發(fā)送短信的代碼。隨后通過(guò)搜索引擎，記者又在3家小型的Android軟件下載網(wǎng)站上找到了同樣的篡改版本軟件。

　　此后記者又在國(guó)內(nèi)幾家大型的Android軟件網(wǎng)站下載了近10款不同的熱門游戲軟件，其中在91手機(jī)娛樂(lè)門戶旗下Android中文網(wǎng)上就下載到了一款被“給你米”動(dòng)過(guò)手腳的軟件。

　　8月已起苗頭 10%軟件存在風(fēng)險(xiǎn)

　　記者調(diào)查后發(fā)現(xiàn)，其實(shí)早在去年8月，國(guó)內(nèi)眾多論壇上已經(jīng)陸續(xù)發(fā)現(xiàn)扣費(fèi)軟件。機(jī)鋒網(wǎng)副總裁徐威特告訴《IT時(shí)報(bào)》記者，“8月底機(jī)鋒網(wǎng)就在論壇上檢測(cè)到了‘給你米’，9月初機(jī)鋒網(wǎng)在論壇對(duì)用戶做了預(yù)警，開(kāi)設(shè)了專門的舉報(bào)版塊，同時(shí)將‘給你米’提交給了各大殺毒軟件廠商�！毙焱�特還表示，在發(fā)現(xiàn)“給你米”的同時(shí)，他們對(duì)自己官方的下載渠道——機(jī)鋒市場(chǎng)內(nèi)的近7000個(gè)軟件進(jìn)行反復(fù)審核�！按蟛糠钟卸绦攀召M(fèi)權(quán)限的產(chǎn)品，在我們這里都做了重新下架，同時(shí)進(jìn)行人工和技術(shù)雙重審核�！�

　　截至2010年底，Android的應(yīng)用程序數(shù)量超過(guò)20萬(wàn)，累計(jì)下載次數(shù)達(dá)到25億次。而在中國(guó)，Android應(yīng)用程序開(kāi)發(fā)市場(chǎng)也是日益膨脹，目前第三方應(yīng)用商店已經(jīng)有40多家，據(jù)徐威特估計(jì)，目前國(guó)內(nèi)的Android軟件已經(jīng)超過(guò)十萬(wàn)，大約10%的Android應(yīng)用軟件存在各種惡意扣費(fèi)的程序設(shè)置。

　　對(duì)于開(kāi)發(fā)用戶上傳的機(jī)鋒網(wǎng)論壇，機(jī)鋒網(wǎng)也針對(duì)上傳功能做出了限制�！澳壳懊刻於伎梢耘挪槌鲆徊糠謵阂馍蟼鞯奈募�，都進(jìn)行了刪除處理。”

　　他分析認(rèn)為，做惡意扣費(fèi)代碼也就幾個(gè)公司，“他們本身沒(méi)有開(kāi)發(fā)受用戶歡迎熱門軟件的能力，所以專找熱門軟件篡改下手，甚至包括了QQ。我們論壇封了至少幾十個(gè)IP地址，但是對(duì)方目前已開(kāi)始使用動(dòng)態(tài)IP了。而且我們曝光后還有人故意給機(jī)鋒網(wǎng)自己的軟件加惡意代碼，栽贓我們�！�

　　原創(chuàng)開(kāi)發(fā)者很無(wú)奈

　　被“給你米”盯上的熱門應(yīng)用開(kāi)發(fā)者也很無(wú)奈，國(guó)內(nèi)熱門的Andorid軟件“365日歷”就曾遭遇過(guò)一場(chǎng)風(fēng)波。

　　去年12月中旬，在一家Android論壇上有用戶投訴365日歷私自扣費(fèi)。365日歷的開(kāi)發(fā)者很重視，立刻核查后發(fā)現(xiàn)，該用戶在論壇上下載安裝的軟件版本和官方版本不一致，里面被加入了惡意扣費(fèi)代碼。365日歷隨后在論壇公開(kāi)了情況說(shuō)明，同時(shí)提醒用戶不要隨便安裝論壇中不明身份用戶共享的軟件，最好到官網(wǎng)或谷歌官方電子市場(chǎng)下載。

　　365日歷官方群的管理員小龍告訴記者，目前他們只查到一個(gè)被篡改的版本，當(dāng)時(shí)很多網(wǎng)站都有，同樣是“給你米”干的，“但我們也沒(méi)有能力繼續(xù)追查下去�！�

　　惡意代碼已出現(xiàn)變種

　　美國(guó)移動(dòng)安全公司Lookout Mobile Security近日在自己網(wǎng)站上公布了“給你米”惡意代碼的分析情況。該公司直接把“給你米”定義成木馬程序，整個(gè)運(yùn)行機(jī)制和啊興的分析完全一致。同樣，該公司也表示“給你米”的作者顯示出了高超的程序代碼混淆技術(shù)，增加了安全工作人員的工作難度，同時(shí)Lookout還判斷“給你米”很快就會(huì)出現(xiàn)變種病毒。

　　Lookout的預(yù)測(cè)從國(guó)內(nèi)安全廠商網(wǎng)秦處得到了印證，據(jù)網(wǎng)秦“云安全”分析中心得到的數(shù)據(jù)顯示，在不到2個(gè)月的時(shí)間內(nèi)，“給你米”變種已超過(guò)10個(gè)。

　　N多網(wǎng)目前已經(jīng)開(kāi)發(fā)了手機(jī)和PC版檢測(cè)軟件，幫助用戶查找惡意扣費(fèi)軟件，盛大Android技術(shù)經(jīng)理何曉杰得知消息后，花了2天時(shí)間，也開(kāi)發(fā)出了針對(duì)這次暴露出來(lái)的惡意扣費(fèi)代碼的手機(jī)版權(quán)限檢測(cè)軟件。

　　域名注冊(cè)人矢口否認(rèn)

　　Lookout分析時(shí)提到了“給你米”惡意扣費(fèi)時(shí)用了五個(gè)域名。據(jù)《IT時(shí)報(bào)》記者調(diào)查，這些域名注冊(cè)人信息均指向居住在上海閔行的劉某某。記者電話聯(lián)系上了劉先生，在交談中，他承認(rèn)這五個(gè)網(wǎng)站均是自己注冊(cè)的，同時(shí)也坦言自己與“給你米”廣告聯(lián)盟有關(guān)系，但他否認(rèn)了“給你米”在做扣費(fèi)軟件。

　　目前這5個(gè)域名均無(wú)法訪問(wèn)，而早前所查出的“給你米”官方網(wǎng)站也已經(jīng)無(wú)法訪問(wèn)。

　　不過(guò)另外一家惡意扣費(fèi)代碼的源頭——泡椒網(wǎng)則不一樣了，這家網(wǎng)站在國(guó)內(nèi)移動(dòng)互聯(lián)網(wǎng)行業(yè)名氣不小。據(jù)公開(kāi)資料顯示，成立于2006年的泡椒網(wǎng)，目前是國(guó)內(nèi)知名的手機(jī)軟件下載網(wǎng)站，曾先后被多家雜志和產(chǎn)業(yè)聯(lián)盟評(píng)選為國(guó)內(nèi)100強(qiáng)移動(dòng)網(wǎng)站，還是網(wǎng)易、天涯和OPERA等多家網(wǎng)站的軟件頻道代理運(yùn)營(yíng)商。遺憾的是，到記者發(fā)稿時(shí)為止，尚未聯(lián)系上泡椒網(wǎng)人士。

　　但是陳羽中 告訴記者，曾經(jīng)有泡椒網(wǎng)的工作人員托關(guān)系向他打招呼，希望他能夠刪除微博有關(guān)泡椒網(wǎng)的相應(yīng)發(fā)言，“我希望泡椒網(wǎng)能夠就這件事情有一個(gè)公開(kāi)說(shuō)明，但他們至今沒(méi)有反應(yīng)�！�

　　幕后黑手仍然是SP

　　何曉杰對(duì)《IT時(shí)報(bào)》記者表示，他曾經(jīng)非�？春门萁肪W(wǎng)，但是事情出來(lái)后，他只能長(zhǎng)嘆一聲“人心不古”。

　　Android業(yè)者，eoe開(kāi)發(fā)者社區(qū)CEO靳巖告訴記者，類似惡意扣費(fèi)的情況最早是從山寨手機(jī)開(kāi)始的，后來(lái)蔓延到Symbian智能手機(jī)平臺(tái)，現(xiàn)在轉(zhuǎn)到Android平臺(tái)上。而現(xiàn)在Android惡意代碼事件，明顯就是惡意軟件開(kāi)發(fā)者和SP相勾結(jié)，一起來(lái)欺騙用戶。

　　何曉杰告訴記者，惡意軟件的表現(xiàn)目前來(lái)看主要有以下幾種：短信業(yè)務(wù)扣費(fèi)、聯(lián)網(wǎng)扣費(fèi)、撥打電話扣費(fèi)、收集用戶隱私信息等，而短信扣費(fèi)是目前被用得最多的一種�！澳壳癝P行業(yè)，除了幾個(gè)名聲在外并且信用過(guò)關(guān)的企業(yè)外，大部分SP都是惡意的，這個(gè)行業(yè)反正已經(jīng)毀了”。

　　徐威特向記者透露，目前他們查出的參與此次惡意扣費(fèi)的SP有好幾家，主要集中在深圳和泉州，都是投訴大戶。他向記者表示，“運(yùn)營(yíng)商應(yīng)該更嚴(yán)格的管理SP，發(fā)現(xiàn)一次惡意扣費(fèi)，直接封殺”。

　　靳巖也認(rèn)為對(duì)于運(yùn)營(yíng)商而言，除非關(guān)閉所有的計(jì)費(fèi)通道，否則很難從根本上杜絕�！敖ㄗh運(yùn)營(yíng)商做適當(dāng)?shù)谋O(jiān)控，并采取一些措施。在向SP釋放權(quán)限時(shí)也要更嚴(yán)格審核�！�

　　靳巖給用戶提供了一些建議，“安裝Android軟件時(shí)，請(qǐng)務(wù)必看仔細(xì)軟件權(quán)限提示，如明明不需要發(fā)送短信的，卻要求用戶認(rèn)可開(kāi)發(fā)短信或彩信功能，那這軟件就有可能是吸費(fèi)軟件�！�