南都調查手機“植毒”鏈 病毒程式5元賣
2017年03月21日11:49
手機惡意程式
手機惡意程式

  來源:南方都市報

  近日,南都記者再次調查發現,手機惡意程式可以做到侵入用戶手機、獲取個人短信、通訊錄等信息,用戶卻毫不知情。

  數月來,從《恐怖!700元就買到同事行蹤,包括乘機、開房、上網吧等11項記錄》開始,到互聯網黑灰產業鏈調查,南都持續關注公民個人信息、隱私泄露與被盜。

  近日,南都記者再次調查發現,手機惡意程式可以做到侵入用戶手機、獲取個人短信、通訊錄等信息,用戶卻毫不知情。

  然而,這類惡意程式在QQ群裡,淘寶網上肆意售賣。即使不會製作,花費20元,甚至5元就能買到。在這個產業鏈上,還有人專門出售釣魚網站,以供惡意程式傳播。

  南都記者花了不到200元,請人製作一個空殼App,以“安裝送話費”掛到網上,短短13天內,就有656次點擊量,更有36人安裝、運行了App。如果此App系惡意程式,恐怕這些人都已中招。

  資深“白帽黑客”提醒,手機病毒多發生在Android平台,是因為“國內Android環境太差了,隨便一個應用都要你的聯繫人權限,恨不得把所有權限獲取一遍”。而當這些應用的服務器被入侵,公民的個人隱私也將遭泄露。

  手機惡意程式悄然傳播

  家住貴州的初三學生曾勤績(化名),近來遇到一件煩心事。

  去年12月31日開始,他的手機頻繁被扣費,甚至有一次短短10分鍾就收到35條短信,提示他開通了天翼閱讀、口袋問答等16項業務,被扣費156元。

  當時他正用手機上網查詢作業答案,突然彈出來一個二級頁面,提示“輸入手機號查看答案”,不料剛填入手機號,35條扣費短信就“轟炸”了過來。曾勤績只好挨個給公司打去電話,要求取消業務。

  對此,一家公司的技術人員表示,他們常收到類似的投訴,原因一般是手機用戶下載到了惡意程式。

  “這樣的情況,在手機市場上非常普遍。”騰訊手機管家安全專家陳列告訴記者,用戶無緣無故被扣費,這個功能只能算手機惡意程式中的小兒科。

  根據《騰訊安全2016年度互聯網安全報告》,2016年中國手機網民有6億多人,惡意程式感染人次卻超過5億。可怕的是,大部分程式都能刪除短信、隱藏圖標。這就意味著,黑客可以發送短信開通業務,用戶卻毫不知情。

  “手機惡意程式已經形成一條黑色產業鏈,製作、傳播、詐騙、洗錢,各個環節已近完備。”陳列告訴南都記者。

  網店公然銷售惡意程式

  南都記者曆時數週調查發現,這條黑色產業鏈門檻並不高,即使看不懂代碼,也有很多人違法進入這個行業。

  以危害程度較低的惡意程式―――“靜默安裝”為例,淘寶就有大量店舖出售。

  其中一位店主張先生表示,他能修改App的源代碼,偽裝成普通App的模樣,下載安裝後,一時半會看不出異樣。夜裡用戶睡著時,這個程式能控製手機,捆綁下載其他App,整個製作過程只需要2000元。而此後要做的,只是誘導用戶下載這款山寨App。

  張先生認為,這類程式“沒有惡意”。“捆綁安裝其他App,只是做一個廣告推廣,怎麼能說有惡意呢?”

  然而,根據工信部《移動互聯網惡意程式監測與處置機製》,存在竊取用戶信息、擅自使用付費業務、發送垃圾信息、推送廣告等行為的,均被認為是“惡意程式”。

  南都記者發現,該店舖同時售賣A pp的源代碼,其中包括某國企的辦公系統。張先生聲稱,這些A pp都是對方公司邀請他參與製作的,未經對方同意便拿來販賣,是他工作之餘的“私活”。

  像這樣承接“靜默安裝”業務的,在淘寶上另有多人。記者走訪發現,這些賣家均不認為自己的行為有所不當。

  像“靜默安裝”這樣的資源消耗類程式,已經佔據黑色產業鏈的半壁江山。《騰訊安全2016年度互聯網安全報告》顯示,在去年檢出的6682萬次手機惡意程式中,84%屬於資源消耗類,能控製手機自動聯網、下載、發送短信等。

  除了靜默安裝以外,大量淘寶店還公然出售釣魚網站的模板。

  這些模板多數偽裝成色情網站,用戶可以看到5-10秒的色情影片,此後網頁跳出提示,“無法繼續播放,因為檢測到你沒有安裝某某播放器。”如果用戶點擊下載,最後可能會發現,自己安裝的是另一款程式。

  一位淘寶店主聲稱,他並不使用這些釣魚網站,只是把模板賣給別人。但對於買家用來推廣什麼程式,店主則稱“不清楚”。

  然而,把惡意程式植入色情釣魚網站,卻是黑色產業鏈的常見做法。一位互聯網安全專家告訴記者,他檢測過網上流傳的所謂“色情播放器”,發現基本都帶有惡意程式。

  5塊錢就能買到惡意程式

  南都記者臥底發現,另有一款名為“鎖機”的惡意程式,門檻更低,只需20元,甚至5元就能買到。

  記者通過檢索,發現大量QQ群販賣鎖機程式。用戶下載鎖機程式後,手機會被鎖定,無法進行其他操作。此時,手機屏幕上會顯現製作者的聯繫方式:“解鎖找某某,只需20元。”

  甚至還有初中生參與其中。

  阿鵬開發出鎖機病毒時,正在上初三。他告訴記者,自己先是中了別人的病毒,花了25元解鎖後,才接觸到這個技術。

  去年4月,阿鵬開始學習Android技術,2個月後,第一個鎖機程式製作完成。此時,阿鵬在網上發佈消息,宣稱只要安裝這款程式,就能免費升級QQ會員。用戶中招後,通過阿鵬留下的聯繫方式,轉去20元錢,才能順利解鎖。

  不過,阿鵬自稱這番敲詐手法給他帶來還不到200塊收益。“大多數用戶聯繫我,並不會給錢,而是把我罵一頓,然後去手機店修理。”

  阿鵬的鎖機程式,甚至被收錄進某大型公司的年度互聯網安全報告,他也樂於向別人展示這個成果。“我們這個年紀的,都喜歡炫耀。”

  阿鵬也被一些別有用心的人盯上。去年6月開始,每天都有10多人找到阿鵬,請他做鎖機程式,讓他傳授鎖機技術。多方利益圍獵,仍未引起他的警覺。別人甚至無需驗證,就能直接添加他為Q Q好友。“能給我的QQ空間漲人氣。”阿鵬引以為豪。

  新學期開始,阿鵬已經不再處理生意,理由是“沒有時間”。最後,他也告訴記者,放棄生意的真正原因,是因為不賺錢。“太多人在做了,如果真能賺錢,我會輕易放棄嗎?”

  阿鵬告訴記者,6月放暑假時,一個鎖機病毒還能賣到20塊錢,學生們開學後,QQ群裡生意冷清,一個病毒只能賣5塊錢。

  支付寶短信偷偷被轉走

  與鎖機程式同樣低門檻,卻更加危險的程式,叫“攔截馬”(也稱“攔截碼”)。同樣的,也存在大量QQ群,公然售賣這一程式。

  南都記者在一個名為“AIDE攔截碼”的QQ群裡發佈求購消息,立即有5人私聊記者,聲稱“有貨”,開價從20元到50元不等。

  最終,記者與“瀟子傲”談好價格,不到3分鍾,記者就收到了這款程式。“只要別人下載安裝,你就可以接到他手機的全部短信。”

  記者的同事親身體驗,發現安裝時並不需要任何權限。安裝完成後,屏幕上顯示圖標,同事點擊圖標,卻瞬間閃退,圖標也從屏幕上消失。

  此後同事每收到一條短信,都能自動發送到記者手機中,短信資費由同事承擔。

  “瀟子傲”又提示記者,只要再轉賬300元,他就能教授製作攔截馬的方法。據悉,攔截馬的製作流程非常簡單,短短幾行代碼,可以免費下載、互相抄襲,只需把自己手機號、郵箱地址填入其中,一個手機病毒就製作完成了。用戶安裝病毒後,短信將發送到製作者的手機、郵箱中,用戶渾然不知。

  在“白帽黑客”顧鈺偉(化名)的幫助下,南都記者進入某不法分子的郵箱,發現該郵箱已監控了5人的手機,這5台手機的短信和通訊錄號碼都被收錄進來。

  以其中一名受害者為例,從2015年12月12日起,她一共收到10條支付寶的驗證短信,“支付寶校驗碼:347050,打死都不能告訴別人哦!”這些短信都被收錄進郵箱。犯罪分子可以利用驗證碼,登錄他人支付寶、網銀,實現轉賬、盜刷等目的。

  以中國裁判文書網上的《吳振慶破壞計算機信息系統二審刑事裁定書》為例,犯罪嫌疑人利用類似的惡意程式,監控了121台手機設備,並盜刷他人銀行卡,最終被判有期徒刑5年。裁判文書顯示,犯罪嫌疑人使用的惡意程式,也系網上買來。

  鎖機、攔截馬程式,正以一種傳銷式的方式在推廣。製作者一般會加入QQ群,付錢購買病毒、學會技術,然後自己創建QQ群,進行二次售賣。“瀟子傲”宣稱,他有一個700人的QQ群,其中300人買過他的程式。“放心,都沒有被抓。”

  記者發現,在一個名為“攔截碼”的貼吧中,製作者爭先恐後拋出廣告,天天頂帖。購買者求碼心切,“找合作,利潤評分,我知道有個賬戶有20萬。”

  App傳播渠道亂象叢生

  手機惡意程式製作完成後,不法分子可以利用多種途徑進行傳播。

  其一是投放釣魚網站。南都記者發現,這類釣魚網站非常氾濫,一般打著色情的旗號,引誘手機用戶下載“專用播放器”,以觀看色情影片。

  騰訊手機管家安全專家陳列告訴記者,釣魚網站需要頻繁更換域名、服務器等,操作比較麻煩,往往需要專門的人來製作、維護網站,他們也是靠產業鏈養活的一員。

  另一種傳播途徑,是群發短信鏈接。

  記者進入的不法分子郵箱顯示,3月12日18時,犯罪分子控製某受害者的手機,給通訊錄好友群發了短信,內容為“某某,你看一下,spmdd.com/you。”如果有人點開鏈接,同樣將中攔截馬病毒。

  病毒推廣的背後,還有一些“廣告聯盟”在推波助瀾。與淘寶刷單類似,廣告聯盟旗下有眾多員工,專門下載、安裝App,提升該App的人氣。

  記者以App開發商的名義,聯繫上一家名為“1717金融團隊”的廣告聯盟。一位負責人表示,他可以幫記者的A pp實現刷單和註冊,每單3.5元。記者瞭解到,每下載一次App,普通員工一般只能賺到1元錢。這意味著,剩下的2.5元都進入了廣告聯盟老闆的腰包。

  更不可思議的是,當記者說明自己的App系山寨貨,可能涉嫌侵權,該負責人卻宣稱,“我們推廣的山寨A pp太多了。”而當記者明確表示App帶有惡意程式、能監控短信後,該負責人依然願意提供服務。“這個我們不管,出了事你負責,我們也不用承擔責任。”

  “現在大部分的中小型廣告聯盟,管理都很混亂。”陳列告訴記者,廣告聯盟推廣的App魚龍混雜,是惡意A pp傳播的途徑之一。

  甚至連刷機也有可能出現風險。

  早在2013年,就有刷機愛好者在論壇發佈消息,指責某款ROM(刷機素材)預裝的App,非但沒有圖標,反而私自發送、監控短信。據悉,該ROM是一位網友自發製作、分享。

  對此,機鋒論壇的知名RO M製作者馬超表示,App開發商與ROM製作者之間存在利益交換,早已成為行業潛規則。

  馬超告訴記者,此前有多個開發商找到他,要求在ROM中預裝App。“一般我不亂接,沒聽過的一律回絕或無視掉了。”

  馬超自稱,他預裝的A pp,都來自360、騰訊等知名公司,在發佈RO M之前,他也會在自己的手機上試運行,檢測是否有毒。

  馬超表示,預裝A pp是民間RO M製作者唯一的收入,按運行次數付費,“一台機器首次運行才計算(一次)”。

  惡意程式也在走出國門。樂蛙科技有限公司的海外業務負責人周先生稱,部分A pp開發商為了推廣,會選擇賄賂手機生產商,在手機硬件中預裝惡意程式。周先生介紹說,印度市場上的手機,部分是國內代工的,就出現過這種情況。

  200元做App13天36人中招

  然而,在顧鈺偉看來,市面上流行的大部分手機惡意程式,都是“小學生做的東西”。“一般我們不會去注意寫鎖機的人,太弱了。”

  顧鈺偉是在校大學生,每天課程結束後,便會坐在電腦前,檢測各網站漏洞,為網友講解手機病毒的原理。與鑽漏洞謀利的“黑帽黑客”不同,他是一名“白帽”,專門尋找漏洞、及時彙報。

  顧鈺偉告訴記者,App之所以能控製手機,是因為獲取了足夠的權限。“鎖機A pp打的標題,可能是‘秒領20元紅包’、‘王者榮耀輔助’等,正是這些很有誘惑力的字眼,促使用戶一路綠燈,開放權限。”

  顧鈺偉與這些病毒的作者打過交道,此前他們是互通技術的朋友。“最初大家都是黑客,但黑客也是人,也有好人、壞人,所以一部分開始給企業找漏洞,報告給他們,成為白帽,一部分販賣漏洞,成為黑帽。”

  發現朋友在做不正當生意後,顧鈺偉與他們斷交。據顧鈺偉介紹,這批人目前已潛逃東南亞,遠程操作國內互聯網市場。

  目前,東南亞已經成為手機病毒的重要來源地。病毒竊取用戶個人信息後,能控製論壇賬號,發送網絡賭博的廣告。這些網絡賭博公司,都設立在賭博合法化的東南亞國家。

  近日,公安部破獲了一起特大竊取出售個人信息案,涉及被竊信息50多億條,就與網絡賭博有關。

  雖然相關部門正積極打擊,但仍無法阻止犯罪分子繼續違法。一個名叫“攔截馬”的貼吧已經被封,而另外一些名叫“攔截碼”、“中國攔截馬”、“短信攔截馬”的貼吧得以建立。

  一個原名為“AIDE攔截碼”的QQ群,數天前改名為“我愛騰訊、騰訊愛我”,群管理員告訴記者,騰訊正在嚴查QQ群。16日,該群名重新改回“AIDE攔截碼”。

  手機病毒氾濫成災,正是因為有市場存在。

  南都記者製作了一個空殼App和下載鏈接,模擬手機惡意程式的流通過程,由深圳市非凡之星網絡科技有限公司免費提供技術支持。

  在傳播下載鏈接時,南都記者加上“安裝送話費”、“免費看美女圖片”等理由,短短13天內,就有656次點擊量,更有36人安裝、運行了App。如果該App系惡意程式,這36人都將中招。整套流程走下來,南都記者購買服務器及域名只花了不到200元。

  如何防範

  病毒多發生在Android平台

  “白帽黑客”顧鈺偉認為,手機病毒多發生於Android平台,是因為“國內Android環境太差了,隨便一個應用都要你的聯繫人權限,恨不得把所有權限獲取一遍”。而當這些應用的服務器被入侵,公民的個人隱私也將遭泄露。

  iOS更加封閉、更加安全

  “相比Android系統,iOS更加安全。”深圳市非凡之星網絡科技有限公司的研發經理朱鵬說,iOS的App開發商,需要向Apple公司申請賬號,共有企業、公司、個人三種類型的賬號。除了企業賬號可以使用獨立服務器、供人下載外,公司、個人賬號製作的App,都需要上傳至Apple的官方應用市場,審核嚴格。“對於資質齊全、效益良好的企業來說,一般又不會製作惡意程式,因此iOS設備較少中毒。”

  朱鵬也介紹,Android手機安全隱患更大,根本原因不在於系統本身,而是Android的開放性所導致的,程式能夠獲取的權限較多。

  然而Google公司仍宣稱將堅持開源政策。在美國時間3月10日的Google雲大會上,Google副總裁Vint Cerf稱,互聯網本身就有開源的屬性,沒有開源就沒有互聯網,沒有互聯網就沒有Google公司。

  與此同時,Apple公司正變得更加“封閉”。3月8日,iOS系統的App開發者收到郵件,主要內容是,禁止在App里進行某些技術的熱更新。這意味著,一些App的更新將無法在應用內直接進行,而是必須移步官方應用市場重新下載。

  “Apple公司的這一政策,意味著iOS將更加封閉、更加安全。”朱鵬告訴記者,官方應用市場下載的App可能剛開始無毒,卻能通過熱更新植入病毒。

  防病毒安裝殺毒軟件

  那麼該如何防範日益猖獗的手機病毒呢?

  “給一個安全專家都會給的建議,安裝一款殺毒軟件。”顧鈺偉說。

  “不要隨意掃瞄二維碼、或通過第三方鏈接下載文件,應前往正規應用市場下載。”朱鵬建議。

  可惡意程式早已做好應對工作。在一些QQ群內,已經有多人宣稱,他們販賣的攔截馬可以“反殺”,殺毒軟件檢測不到。更嚴重的是,即使在應用市場,也可能下載到山寨App。

  相關數據顯示,App的仿冒問題非常嚴重,平均每個App的山寨版本達到34個,57%的山寨應用有隱私竊取、盜費等惡意行為。

  與此同時,大多手機用戶似乎還沒有注意到,手機惡意程式的兇猛發展態勢。“這些白帽就是搞安全的,當然會把安全問題說得很誇張。”前述淘寶店主張先生表示,自己就是從事軟件開發的,從來沒有安裝過殺毒軟件。“換句話說,就算你的短信泄露了,又能怎麼樣呢?”

  現實卻是,哪怕是一個初中生,也有多種渠道傳播惡意程式,並利用多種方式變現,這值得手機用戶提高警惕。

關注我們Facebook專頁