「一個令人沮喪的事實是,木馬病毒大部分是手機使用者自己裝進去的,目前手機木馬病毒傳播的主要途徑有:電子市場、軟體捆綁、ROM內置、二維碼、手機資源站、簡訊連結等。」孫作成告訴記者。
全文3433字,閱讀約需7分鐘
新京報記者 羅亦丹 編輯 李薇佳 校對 李世輝
當你關閉了所有APP,但手機的電量、流量還有莫名其妙的損耗時,可能一個木馬病毒正悄然在你的手機中默默打開各種「後門」,為安裝它們的主人賺取著廣告流量費。12月5日,一則「金立暗中給手機植入木馬」的消息將昔日流行的手機品牌金立再次拉入公眾視線。根據11月30日公開的一份刑事判決書,金立旗下子公司通過將「拉活木馬」植入到金立手機內置APP中,達到在用戶不知情的情況下拉活指定APP廣告的效果,賺取拉活費用。這件事還牽扯進了魅族。針對相關報導,魅族官方微博發文回應稱,「魅族堅持合法經營,未參與相關非法事件。未來我們將繼續深耕手機安全業務,保障手機信息安全」。無獨有偶,近日浙江人民檢察院也在官方公眾平臺發布消息稱,查處了一個將木馬程序植入老人機中,在用戶不知情情況下通過接發送驗證碼謀取利益的團體。木馬程序是如何被植入未出廠手機的?你我的手機是否正有木馬程序悄悄運行?梆梆安全資深安全專家孫作成對新京報貝殼財經記者表示,未出廠手機被注入木馬病毒的方式主要包括生產廠商直接把木馬程序植入主板;山寨手機在售出時被綁定可能含有木馬病毒的預置軟體;非智能老年機儲存卡被寫入木馬程序三種。而防範手機木馬病毒的措施則包括不使用山寨或改裝手機,不打開陌生帳號發送的信息、連結,不下載、安裝來歷不明的軟體等。
━━━━━
木馬病毒偷偷植入手機「拉活」 涉及約2652萬臺金立手機
新京報貝殼財經記者查閱浙江省義烏市人民法院11月30日公開的《深圳市致璞科技有限公司、徐黎、朱穎等非法獲取計算機信息系統數據、非法控制計算機信息系統罪一審刑事判決書》發現,據法院審理查明,2018年7、8月份,北京佰策科技有限公司法定代表人朱某與被告單位致璞科技負責人即被告人徐黎合謀,採用具有「拉活」功能的SDK控制用戶手機的方式合作開展「拉活」業務。企查查數據顯示,致璞科技的大股東為深圳市金立通信設備有限公司,持股比例85%,該公司董事長正是金立董事長劉立榮。判決書顯示,朱某與徐黎約定將北京佰策公司開發的「拉活木馬」程序集成在金立手機的故事鎖屏APP中。裝有「拉活」功能SDK的手機在用戶不知情的情況下自動更新版本,接收雄雞系統的「拉活」指令,並在符合配置條件的情況下執行對指定APP的拉活,從而達到廣告拉活的效果,賺取拉活費用。之後,因現有「拉活」方式存在效率低下等問題,北京佰策將熱更新插件「黑馬平臺」植入到「故事鎖屏」等APP中,用於「故事鎖屏」等APP及其帶有木馬插件的SDK版本的升級,再通過「黑馬平臺」在用戶不知情的情況下安裝、更新「拉活木馬」,從而提高拉活效率。2018年12月到2019年10月,雙方共「拉活」(執行成功)28.84億次,2019年4月以來,每月拉活覆蓋設備數均在2175萬臺以上,其中2019年10月涉及金立品牌手機2651.89萬臺。致璞科技預計在此期間通過「拉活」收入2785.28萬元,案發前雙方已結算的費用為842.53萬元。在上述事實公布後,有網友表示「我前些年買的金立手機就是由故事鎖屏被植入病毒了,怎麼殺毒都殺不掉,天天彈屏,手機按鍵也失靈。」最終,致璞科技因犯非法控制計算機信息系統罪,判處罰金人民幣四十萬元;該事件相關負責人因犯非法控制計算機信息系統罪,被判處三年至三年六個月不等的有期徒刑。不過,該案還牽扯出了魅族手機,判決書顯示,經審理查明2018年3月,朱某(另案處理)成為北京佰策公司(另案處理)法定代表人,負責公司經營,並先後招募人員研發「拉活產品」。後北京佰策公司從上海升元網絡科技有限公司、深圳市阿咕吖傳媒有限公司等廣告代理公司承接「拉活」業務,並與珠海市小源科技有限公司、珠海市魅族科技有限公司及被告單位深圳致璞公司等手機商合作開展「拉活」業務。對此,魅族官方微博Flyme發表聲明稱,魅族堅持合法經營,未參與相關非法事件。12月7日,有魅族手機內部人士對新京報貝殼財經記者表示,在此事中魅族只是牽連審查,與被告並沒有商務合作關係,雙方沒有商務合同和合作。植入木馬拉活「普遍存在」?
━━━━━
老年機更易中招,被控制成黑產團夥生產工具
新京報貝殼財經記者發現,通過在手機中植入木馬偷偷獲利的案例並不少見。
▲圖源/浙江省人民檢察院官方微信公號。11月23日,浙江人民檢察院公布了通過將木馬植入老人機,截取500餘萬條手機驗證碼,再將信息出售給下遊平臺、個人,用於「薅羊毛」「刷流量」的案例。對此,騰訊守護者計劃安全專家張濤告訴新京報貝殼財經記者,該黑產團夥搭建了多個接收手機驗證碼平臺,結合事先植入手機作業系統底層的木馬黑客程序進行操作。用戶購買手機插入電話卡後,黑產團夥在用戶不知情的情況下,通過基帶晶片上的後門控制程序隱蔽獲取用戶隱私數據,把手機型號、固件版本、固件標識等敏感信息發送給控制伺服器,同時將用戶手機號碼和接收到的簡訊發送到接碼平臺上,作為手機卡資源來實施網際網路帳號的驗證攻擊、註冊養號、惡意解封、盜刷積分、拉活拉新、刷量等惡意行為和下遊犯罪活動。每次接碼服務費用0.4至2.5元不等。由此形成「手機系統開發商—手機硬體廠商—接碼平臺—下遊黑產團夥」的犯罪鏈條。記者調查發現,通過木馬程序被控制的手機在灰黑產平臺內被稱為「肉雞」。根據新京報此前的調查,有黑灰產人士在論壇中公開出售「安卓自動抓肉雞工具」以及相關病毒,還有黑灰產人士宣稱收費帶徒弟教授「抓雞技巧」。有人表示,軟體會在伺服器內自動掃描全網有漏洞的手機,進行抓取,抓到後軟體內木馬會自動種植在手機上。種植成功後,變身「肉雞」的手機就會自動上線成為他們APP的用戶,並顯示出手機IP和手機號。「一個令人沮喪的事實是,木馬病毒大部分是手機使用者自己裝進去的,目前手機木馬病毒傳播的主要途徑有:電子市場、軟體捆綁、ROM內置、二維碼、手機資源站、簡訊連結等。」孫作成告訴記者。相比後天接觸的病毒,從原廠中直接植入病毒無疑是更難以被用戶發現的途徑。孫作成對記者表示,未出廠的手機被植入木馬病毒主要有三類:一是手機電子元件廠商參與病毒傳播,很多老年機是山寨手機,生產廠商直接把木馬程序植入主板中,這樣出廠的手機自然就帶了木馬程序且隱蔽性極強;二是捆綁軟體,山寨手機在售出時被綁定了很多無法刪除的預置軟體,這些軟體有可能含有木馬病毒;三是很多老年機不是智慧型手機,這些手機使用的儲存卡極易被寫入木馬程序,從而使手機中病毒。根據前述判決書,對於植入病毒的行為,徐黎的辯護人表示,拉活業務在手機網際網路廣告行業中「普遍存在」。在孫作成看來,中了木馬的手機帶來的危害「要麼是丟錢,要麼是丟隱私,要麼被控制成為黑產團夥的生產工具。」「中病毒後的手機常被用來做以下壞事:竊取手機電話薄,通訊軟體好友列表並向聯繫人群髮帶有病毒連結的消息,倍速傳播擴散病毒;偷偷下載大量未知軟體,定製扣費業務消耗手機話費;勒索木馬用新密碼替代原來的手機密碼,將手機或者手機中的文件上鎖後索要贖金;偷偷讀取手機應用的帳號密碼、聊天記錄、相冊等隱私數據後在網上販賣;截獲驗證碼信息註冊新用戶,批量薅羊毛如領優惠券、新人紅包、刷點讚刷流量等。」他告訴記者。
━━━━━
如何預防手機被植入木馬?這7點可以注意
那麼,有什麼跡象能夠表明手機被植入木馬,普通用戶如何防止自己的手機被植入木馬呢?孫作成告訴新京報貝殼財經記者,手機出現以下狀況要當心是否中了木馬病毒:1.未使用手機的情況下機身溫度經常過熱;2.手機話費突然變少甚至欠費;3.無大耗電量操作的情況下手機電量驟減;4.手機系統或者手機應用軟體無法更新升級;5.手機自動下載大量軟體或者推送大量廣告等垃圾信息;6.手機無法接收簡訊驗證碼。而防範手機木馬病毒的措施則包括如下7點:1.不使用山寨或改裝手機;2.不打開陌生帳號發送的信息、連結;3.不下載、安裝來歷不明的軟體;4.數據傳輸或者網盤文件下載時注意防止病毒感染;5.非必要時隱藏或關閉手機藍牙和定位功能;6.安裝殺毒軟體;7.發現手機病毒及時將手機刷機恢復出廠設置或者進入安全模式。
(新京報記者梁辰對此文亦有貢獻)
值班編輯 康嘻嘻 花木南