Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

南都调查手机“植毒”利益链:手机病毒5元!恶意程序公然出售

$
0
0
南都调查手机“植毒”利益链:手机病毒5元!恶意程序公然出售

一点号南方都市报3小时前


php?url=0FuCK3cqcd" alt="南都调查手机“植毒”利益链:手机病毒5元!恶意程序公然出售" />

锁机恶意程序在Q Q群里公开5元叫卖。


南都调查手机“植毒”利益链:手机病毒5元!恶意程序公然出售
钓鱼网站多伪装成色情网站,网页提示安装播放器,实际是恶意程序。
南都调查手机“植毒”利益链:手机病毒5元!恶意程序公然出售
“不给钱,别解锁”,锁屏恶意程序开发者是一名初中生。

数月来,从《恐怖!700元就买到同事行踪,包括乘机、开房、上网吧等11项记录》开始,到互联网黑灰产业链调查,南都持续关注公民个人信息、隐私泄露与被盗。

近日,南都记者再次调查发现,手机恶意程序可以做到侵入用户手机、获取个人短信、通讯录等信息,用户却毫不知情。

然而,这类恶意程序在QQ群里,淘宝网上肆意售卖。即使不会制作,花费20元,甚至5元就能买到。在这个产业链上,还有人专门出售钓鱼网站,以供恶意程序传播。

南都记者花了不到200元,请人制作一个空壳App,以“安装送话费”挂到网上,短短13天内,就有656次点击量,更有36人安装、运行了App.如果此App系恶意程序,恐怕这些人都已中招。

资深“白帽黑客”提醒,手机病毒多发生在安卓平台,是因为“国内安卓环境太差了,随便一个应用都要你的联系人权限,恨不得把所有权限获取一遍”。而当这些应用的服务器被入侵,公民的个人隐私也将遭泄露。

手机恶意程序悄然传播

家住贵州的初三学生曾勤绩(化名),近来遇到一件烦心事。

去年12月31日开始,他的手机频繁被扣费,甚至有一次短短10分钟就收到35条短信,提示他开通了天翼阅读、口袋问答等16项业务,被扣费156元。

当时他正用手机上网查询作业答案,突然弹出来一个二级页面,提示“输入手机号查看答案”,不料刚填入手机号,35条扣费短信就“轰炸”了过来。曾勤绩只好挨个给公司打去电话,要求取消业务。

对此,一家公司的技术人员表示,他们常收到类似的投诉,原因一般是手机用户下载到了恶意程序。

“这样的情况,在手机市场上非常普遍。”腾讯手机管家安全专家陈列告诉记者,用户无缘无故被扣费,这个功能只能算手机恶意程序中的小儿科。

根据《腾讯安全2016年度互联网安全报告》,2016年中国手机网民有6亿多人,恶意程序感染人次却超过5亿。可怕的是,大部分程序都能删除短信、隐藏图标。这就意味着,黑客可以发送短信开通业务,用户却毫不知情。

“手机恶意程序已经形成一条黑色产业链,制作、传播、诈骗、洗钱,各个环节已近完备。”陈列告诉南都记者。

网店公然销售恶意程序

南都记者历时数周调查发现,这条黑色产业链门槛并不高,即使看不懂代码,也有很多人违法进入这个行业。

以危害程度较低的恶意程序―――“静默安装”为例,淘宝就有大量店铺出售。

其中一位店主张先生表示,他能修改App的源代码,伪装成普通App的模样,下载安装后,一时半会看不出异样。夜里用户睡着时,这个程序能控制手机,捆绑下载其他App,整个制作过程只需要2000元。而此后要做的,只是诱导用户下载这款山寨App.

张先生认为,这类程序“没有恶意”。“捆绑安装其他App,只是做一个广告推广,怎么能说有恶意呢?”

然而,根据工信部《移动互联网恶意程序监测与处置机制》,存在窃取用户信息、擅自使用付费业务、发送垃圾信息、推送广告等行为的,均被认为是“恶意程序”。

南都记者发现,该店铺同时售卖A pp的源代码,其中包括某国企的办公系统。张先生声称,这些A pp都是对方公司邀请他参与制作的,未经对方同意便拿来贩卖,是他工作之余的“私活”。

像这样承接“静默安装”业务的,在淘宝上另有多人。记者走访发现,这些卖家均不认为自己的行为有所不当。

像“静默安装”这样的资源消耗类程序,已经占据黑色产业链的半壁江山。《腾讯安全2016年度互联网安全报告》显示,在去年检出的6682万次手机恶意程序中,84%属于资源消耗类,能控制手机自动联网、下载、发送短信等。

除了静默安装以外,大量淘宝店还公然出售钓鱼网站的模板。

这些模板多数伪装成色情网站,用户可以看到5-10秒的色情影片,此后网页跳出提示,“无法继续播放,因为检测到你没有安装某某播放器。”如果用户点击下载,最后可能会发现,自己安装的是另一款程序。

一位淘宝店主声称,他并不使用这些钓鱼网站,只是把模板卖给别人。但对于买家用来推广什么程序,店主则称“不清楚”。

然而,把恶意程序植入色情钓鱼网站,却是黑色产业链的常见做法。一位互联网安全专家告诉记者,他检测过网上流传的所谓“色情播放器”,发现基本都带有恶意程序。

5块钱就能买到恶意程序

南都记者卧底发现,另有一款名为“锁机”的恶意程序,门槛更低,只需20元,甚至5元就能买到。

记者通过检索,发现大量QQ群贩卖锁机程序。用户下载锁机程序后,手机会被锁定,无法进行其他操作。此时,手机屏幕上会显现制作者的联系方式:“解锁找某某,只需20元。”

甚至还有初中生参与其中。

阿鹏开发出锁机病毒时,正在上初三。他告诉记者,自己先是中了别人的病毒,花了25元解锁后,才接触到这个技术。

去年4月,阿鹏开始学习安卓技术,2个月后,第一个锁机程序制作完成。此时,阿鹏在网上发布消息,宣称只要安装这款程序,就能免费升级QQ会员。用户中招后,通过阿鹏留下的联系方式,转去20元钱,才能顺利解锁。

不过,阿鹏自称这番敲诈手法给他带来还不到200块收益。“大多数用户联系我,并不会给钱,而是把我骂一顿,然后去手机店修理。”

阿鹏的锁机程序,甚至被收录进某大型公司的年度互联网安全报告,他也乐于向别人展示这个成果。“我们这个年纪的,都喜欢炫耀。”

阿鹏也被一些别有用心的人盯上。去年6月开始,每天都有10多人找到阿鹏,请他做锁机程序,让他传授锁机技术。多方利益围猎,仍未引起他的警觉。别人甚至无需验证,就能直接添加他为Q Q好友。“能给我的QQ空间涨人气。”阿鹏引以为豪。

新学期开始,阿鹏已经不再处理生意,理由是“没有时间”。最后,他也告诉记者,放弃生意的真正原因,是因为不赚钱。“太多人在做了,如果真能赚钱,我会轻易放弃吗?”

阿鹏告诉记者,6月放暑假时,一个锁机病毒还能卖到20块钱,学生们开学后,QQ群里生意冷清,一个病毒只能卖5块钱。

支付宝短信偷偷被转走

与锁机程序同样低门槛,却更加危险的程序,叫“拦截马”(也称“拦截码”)。同样的,也存在大量QQ群,公然售卖这一程序。

南都记者在一个名为“AIDE拦截码”的QQ群里发布求购消息,立即有5人私聊记者,声称“有货”,开价从20元到50元不等。

最终,记者与“潇子傲”谈好价格,不到3分钟,记者就收到了这款程序。“只要别人下载安装,你就可以接到他手机的全部短信。”

记者的同事亲身体验,发现安装时并不需要任何权限。安装完成后,屏幕上显示图标,同事点击图标,却瞬间闪退,图标也从屏幕上消失。

此后同事每收到一条短信,都能自动发送到记者手机中,短信资费由同事承担。

“潇子傲”又提示记者,只要再转账300元,他就能教授制作拦截马的方法。据悉,拦截马的制作流程非常简单,短短几行代码,可以免费下载、互相抄袭,只需把自己手机号、邮箱地址填入其中,一个手机病毒就制作完成了。用户安装病毒后,短信将发送到制作者的手机、邮箱中,用户浑然不知。

在“白帽黑客”顾钰伟(化名)的帮助下,南都记者进入某不法分子的邮箱,发现该邮箱已监控了5人的手机,这5台手机的短信和通讯录号码都被收录进来。

以其中一名受害者为例,从2015年12月12日起,她一共收到10条支付宝的验证短信,“支付宝校验码:347050,打死都不能告诉别人哦!”这些短信都被收录进邮箱。犯罪分子可以利用验证码,登录他人支付宝、网银,实现转账、盗刷等目的。

以中国裁判文书网上的《吴振庆破坏计算机信息系统二审刑事裁定书》为例,犯罪嫌疑人利用类似的恶意程序,监控了121台手机设备,并盗刷他人银行卡,最终被判有期徒刑5年。裁判文书显示,犯罪嫌疑人使用的恶意程序,也系网上买来。

锁机、拦截马程序,正以一种传销式的方式在推广。制作者一般会加入QQ群,付钱购买病毒、学会技术,然后自己创建QQ群,进行二次售卖。“潇子傲”宣称,他有一个700人的QQ群,其中300人买过他的程序。“放心,都没有被抓。”

记者发现,在一个名为“拦截码”的贴吧中,制作者争先恐后抛出广告,天天顶帖。购买者求码心切,“找合作,利润评分,我知道有个账户有20万。”

App传播渠道乱象丛生

手机恶意程序制作完成后,不法分子可以利用多种途径进行传播。

其一是投放钓鱼网站。南都记者发现,这类钓鱼网站非常泛滥,一般打着色情的旗号,引诱手机用户下载“专用播放器”,以观看色情影片。

腾讯手机管家安全专家陈列告诉记者,钓鱼网站需要频繁更换域名、服务器等,操作比较麻烦,往往需要专门的人来制作、维护网站,他们也是靠产业链养活的一员。

另一种传播途径,是群发短信链接。

记者进入的不法分子邮箱显示,3月12日18时,犯罪分子控制某受害者的手机,给通讯录好友群发了短信,内容为“某某,你看一下,spmdd.com/you.”如果有人点开链接,同样将中拦截马病毒。

病毒推广的背后,还有一些“广告联盟”在推波助澜。与淘宝刷单类似,广告联盟旗下有众多员工,专门下载、安装App,提升该App的人气。

记者以App开发商的名义,联系上一家名为“1717金融团队”的广告联盟。一位负责人表示,他可以帮记者的A pp实现刷单和注册,每单3.5元。记者了解到,每下载一次App,普通员工一般只能赚到1元钱。这意味着,剩下的2.5元都进入了广告联盟老板的腰包。

更不可思议的是,当记者说明自己的App系山寨货,可能涉嫌侵权,该负责人却宣称,“我们推广的山寨A pp太多了。”而当记者明确表示App带有恶意程序、能监控短信后,该负责人依然愿意提供服务。“这个我们不管,出了事你负责,我们也不用承担责任。”

“现在大部分的中小型广告联盟,管理都很混乱。”陈列告诉记者,广告联盟推广的App鱼龙混杂,是恶意A pp传播的途径之一。

甚至连刷机也有可能出现风险。

早在2013年,就有刷机爱好者在论坛发布消息,指责某款ROM(刷机素材)预装的App,非但没有图标,反而私自发送、监控短信。据悉,该ROM是一位网友自发制作、分享。

对此,机锋论坛的知名RO M制作者马超表示,App开发商与ROM制作者之间存在利益交换,早已成为行业潜规则。

马超告诉记者,此前有多个开发商找到他,要求在ROM中预装App.“一般我不乱接,没听过的一律回绝或无视掉了。”

马超自称,他预装的A pp,都来自360、腾讯等知名公司,在发布RO M之前,他也会在自己的手机上试运行,检测是否有毒。

马超表示,预装A pp是民间RO M制作者唯一的收入,按运行次数付费,“一台机器首次运行才计算(一次)”。

恶意程序也在走出国门。乐蛙科技有限公司的海外业务负责人周先生称,部分A pp开发商为了推广,会选择贿赂手机生产商,在手机硬件中预装恶意程序。周先生介绍说,印度市场上的手机,部分是国内代工的,就出现过这种情况。

200元做App13天36人中招

然而,在顾钰伟看来,市面上流行的大部分手机恶意程序,都是“小学生做的东西”。“一般我们不会去注意写锁机的人,太弱了。”

顾钰伟是在校大学生,每天课程结束后,便会坐在电脑前,检测各网站漏洞,为网友讲解手机病毒的原理。与钻漏洞谋利的“黑帽黑客”不同,他是一名“白帽”,专门寻找漏洞、及时汇报。

顾钰伟告诉记者,App之所以能控制手机,是因为获取了足够的权限。“锁机A pp打的标题,可能是‘秒领20元红包’、‘王者荣耀辅助’等,正是这些很有诱惑力的字眼,促使用户一路绿灯,开放权限。”

顾钰伟与这些病毒的作者打过交道,此前他们是互通技术的朋友。“最初大家都是黑客,但黑客也是人,也有好人、坏人,所以一部分开始给企业找漏洞,报告给他们,成为白帽,一部分贩卖漏洞,成为黑帽。”

发现朋友在做不正当生意后,顾钰伟与他们断交。据顾钰伟介绍,这批人目前已潜逃东南亚,远程操作国内互联网市场。

目前,东南亚已经成为手机病毒的重要来源地。病毒窃取用户个人信息后,能控制论坛账号,发送网络赌博的广告。这些网络赌博公司,都设立在赌博合法化的东南亚国家。

近日,公安部破获了一起特大窃取出售个人信息案,涉及被窃信息50多亿条,就与网络赌博有关。

虽然相关部门正积极打击,但仍无法阻止犯罪分子继续违法。一个名叫“拦截马”的贴吧已经被封,而另外一些名叫“拦截码”、“中国拦截马”、“短信拦截马”的贴吧得以建立。

一个原名为“AIDE拦截码”的QQ群,数天前改名为“我爱腾讯、腾讯爱我”,群管理员告诉记者,腾讯正在严查QQ群。16日,该群名重新改回“AIDE拦截码”。

手机病毒泛滥成灾,正是因为有市场存在。

南都记者制作了一个空壳A pp和下载链接,模拟手机恶意程序的流通过程,由深圳市非凡之星网络科技有限公司免费提供技术支持。

在传播下载链接时,南都记者加上“安装送话费”、“免费看美女图片”等理由,短短13天内,就有656次点击量,更有36人安装、运行了App.如果该App系恶意程序,这36人都将中招。整套流程走下来,南都记者购买服务器及域名只花了不到200元。

如何防范

病毒多发生在安卓平台

“白帽黑客”顾钰伟认为,手机病毒多发生于安卓平台,是因为“国内安卓环境太差了,随便一个应用都要你的联系人权限,恨不得把所有权限获取一遍”。而当这些应用的服务器被入侵,公民的个人隐私也将遭泄露。

iOS更加封闭、更加安全

“相比安卓系统,iOS更加安全。”深圳市非凡之星网络科技有限公司的研发经理朱鹏说,iOS的App开发商,需要向苹果公司申请账号,共有企业、公司、个人三种类型的账号。除了企业账号可以使用独立服务器、供人下载外,公司、个人账号制作的App,都需要上传至苹果的官方应用市场,审核严格。“对于资质齐全、效益良好的企业来说,一般又不会制作恶意程序,因此iOS设备较少中毒。”

朱鹏也介绍,安卓手机安全隐患更大,根本原因不在于系统本身,而是安卓的开放性所导致的,程序能够获取的权限较多。

然而谷歌公司仍宣称将坚持开源政策。在美国时间3月10日的谷歌云大会上,谷歌副总裁Vint Cerf称,互联网本身就有开源的属性,没有开源就没有互联网,没有互联网就没有谷歌公司。

与此同时,苹果公司正变得更加“封闭”。3月8日,iOS系统的App开发者收到邮件,主要内容是,禁止在App里进行某些技术的热更新。这意味着,一些App的更新将无法在应用内直接进行,而是必须移步官方应用市场重新下载。

“苹果公司的这一政策,意味着iOS将更加封闭、更加安全。”朱鹏告诉记者,官方应用市场下载的App可能刚开始无毒,却能通过热更新植入病毒。

防病毒安装杀毒软件

那么该如何防范日益猖獗的手机病毒呢?

“给一个安全专家都会给的建议,安装一款杀毒软件。”顾钰伟说。

“不要随意扫描二维码、或通过第三方链接下载文件,应前往正规应用市场下载。”朱鹏建议。

可恶意程序早已做好应对工作。在一些QQ群内,已经有多人宣称,他们贩卖的拦截马可以“反杀”,杀毒软件检测不到。更严重的是,即使在应用市场,也可能下载到山寨App.

相关数据显示,App的仿冒问题非常严重,平均每个App的山寨版本达到34个,57%的山寨应用有隐私窃取、盗费等恶意行为。

与此同时,大多手机用户似乎还没有注意到,手机恶意程序的凶猛发展态势。“这些白帽就是搞安全的,当然会把安全问题说得很夸张。”前述淘宝店主张先生表示,自己就是从事软件开发的,从来没有安装过杀毒软件。“换句话说,就算你的短信泄露了,又能怎么样呢?”

现实却是,哪怕是一个初中生,也有多种渠道传播恶意程序,并利用多种方式变现,这值得手机用户提高警惕。

采写:南都见习记者 秦宇杰


Viewing all articles
Browse latest Browse all 12749

Trending Articles