一个木马病毒，默默打开了你手机的“后门”

“一个令人沮丧的事实是，木马病毒大部分是手机使用者自己装进去的，目前手机木马病毒传播的主要途径有：电子市场、软件捆绑、ROM内置、二维码、手机资源站、短信链接等。”孙作成告诉记者。

新京报记者 罗亦丹 编辑 李薇佳 校对 李世辉

当你关闭了所有APP，但手机的电量、流量还有莫名其妙的损耗时，可能一个木马病毒正悄然在你的手机中默默打开各种“后门”，为安装它们的主人赚取着广告流量费。

12月5日，一则“金立暗中给手机植入木马”的消息将昔日流行的手机品牌金立再次拉入公众视线。根据11月30日公开的一份刑事判决书，金立旗下子公司通过将“拉活木马”植入到金立手机内置APP中，达到在用户不知情的情况下拉活指定APP广告的效果，赚取拉活费用。这件事还牵扯进了魅族。针对相关报道，魅族官方微博发文回应称，“魅族坚持合法经营，未参与相关非法事件。未来我们将继续深耕手机安全业务，保障手机信息安全”。

无独有偶，近日浙江人民检察院也在官方公众平台发布消息称，查处了一个将木马程序植入老人机中，在用户不知情情况下通过接发送验证码谋取利益的团体。

木马程序是如何被植入未出厂手机的？你我的手机是否正有木马程序悄悄运行？

梆梆安全资深安全专家孙作成对新京报贝壳财经记者表示，未出厂手机被注入木马病毒的方式主要包括生产厂商直接把木马程序植入主板；山寨手机在售出时被绑定可能含有木马病毒的预置软件；非智能老年机储存卡被写入木马程序三种。而防范手机木马病毒的措施则包括不使用山寨或改装手机，不打开陌生账号发送的信息、链接，不下载、安装来历不明的软件等。

━━━━━

木马病毒偷偷植入手机“拉活” 涉及约2652万台金立手机

新京报贝壳财经记者查阅浙江省义乌市人民法院11月30日公开的《深圳市致璞科技有限公司、徐黎、朱颖等非法获取计算机信息系统数据、非法控制计算机信息系统罪一审刑事判决书》发现，据法院审理查明，2018年7、8月份，北京佰策科技有限公司法定代表人朱某与被告单位致璞科技负责人即被告人徐黎合谋，采用具有“拉活”功能的SDK控制用户手机的方式合作开展“拉活”业务。

企查查数据显示，致璞科技的大股东为深圳市金立通信设备有限公司，持股比例85%，该公司董事长正是金立董事长刘立荣。

判决书显示，朱某与徐黎约定将北京佰策公司开发的“拉活木马”程序集成在金立手机的故事锁屏APP中。装有“拉活”功能SDK的手机在用户不知情的情况下自动更新版本，接收雄鸡系统的“拉活”指令，并在符合配置条件的情况下执行对指定APP的拉活，从而达到广告拉活的效果，赚取拉活费用。之后，因现有“拉活”方式存在效率低下等问题，北京佰策将热更新插件“黑马平台”植入到“故事锁屏”等APP中，用于“故事锁屏”等APP及其带有木马插件的SDK版本的升级，再通过“黑马平台”在用户不知情的情况下安装、更新“拉活木马”，从而提高拉活效率。

2018年12月到2019年10月，双方共“拉活”（执行成功）28.84亿次，2019年4月以来，每月拉活覆盖设备数均在2175万台以上，其中2019年10月涉及金立品牌手机2651.89万台。致璞科技预计在此期间通过“拉活”收入2785.28万元，案发前双方已结算的费用为842.53万元。

在上述事实公布后，有网友表示“我前些年买的金立手机就是由故事锁屏被植入病毒了，怎么杀毒都杀不掉，天天弹屏，手机按键也失灵。”

最终，致璞科技因犯非法控制计算机信息系统罪，判处罚金人民币四十万元；该事件相关负责人因犯非法控制计算机信息系统罪，被判处三年至三年六个月不等的有期徒刑。

不过，该案还牵扯出了魅族手机，判决书显示，经审理查明2018年3月，朱某（另案处理）成为北京佰策公司（另案处理）法定代表人，负责公司经营，并先后招募人员研发“拉活产品”。后北京佰策公司从上海升元网络科技有限公司、深圳市阿咕吖传媒有限公司等广告代理公司承接“拉活”业务，并与珠海市小源科技有限公司、珠海市魅族科技有限公司及被告单位深圳致璞公司等手机商合作开展“拉活”业务。

对此，魅族官方微博Flyme发表声明称，魅族坚持合法经营，未参与相关非法事件。12月7日，有魅族手机内部人士对新京报贝壳财经记者表示，在此事中魅族只是牵连审查，与被告并没有商务合作关系，双方没有商务合同和合作。

植入木马拉活“普遍存在”？

━━━━━

老年机更易中招，被控制成黑产团伙生产工具

新京报贝壳财经记者发现，通过在手机中植入木马偷偷获利的案例并不少见。

▲图源/浙江省人民检察院官方微信公号。

11月23日，浙江人民检察院公布了通过将木马植入老人机，截取500余万条手机验证码，再将信息出售给下游平台、个人，用于“薅羊毛”“刷流量”的案例。

对此，腾讯守护者计划安全专家张涛告诉新京报贝壳财经记者，该黑产团伙搭建了多个接收手机验证码平台，结合事先植入手机操作系统底层的木马黑客程序进行操作。用户购买手机插入电话卡后，黑产团伙在用户不知情的情况下，通过基带芯片上的后门控制程序隐蔽获取用户隐私数据，把手机型号、固件版本、固件标识等敏感信息发送给控制服务器，同时将用户手机号码和接收到的短信发送到接码平台上，作为手机卡资源来实施互联网账号的验证攻击、注册养号、恶意解封、盗刷积分、拉活拉新、刷量等恶意行为和下游犯罪活动。每次接码服务费用0.4至2.5元不等。由此形成“手机系统开发商—手机硬件厂商—接码平台—下游黑产团伙”的犯罪链条。

记者调查发现，通过木马程序被控制的手机在灰黑产平台内被称为“肉鸡”。根据新京报此前的调查，有黑灰产人士在论坛中公开出售“安卓自动抓肉鸡工具”以及相关病毒，还有黑灰产人士宣称收费带徒弟教授“抓鸡技巧”。有人表示，软件会在服务器内自动扫描全网有漏洞的手机，进行抓取，抓到后软件内木马会自动种植在手机上。种植成功后，变身“肉鸡”的手机就会自动上线成为他们APP的用户，并显示出手机IP和手机号。

“一个令人沮丧的事实是，木马病毒大部分是手机使用者自己装进去的，目前手机木马病毒传播的主要途径有：电子市场、软件捆绑、ROM内置、二维码、手机资源站、短信链接等。”孙作成告诉记者。

相比后天接触的病毒，从原厂中直接植入病毒无疑是更难以被用户发现的途径。孙作成对记者表示，未出厂的手机被植入木马病毒主要有三类：一是手机电子元件厂商参与病毒传播，很多老年机是山寨手机，生产厂商直接把木马程序植入主板中，这样出厂的手机自然就带了木马程序且隐蔽性极强；二是捆绑软件，山寨手机在售出时被绑定了很多无法删除的预置软件，这些软件有可能含有木马病毒；三是很多老年机不是智能手机，这些手机使用的储存卡极易被写入木马程序，从而使手机中病毒。

根据前述判决书，对于植入病毒的行为，徐黎的辩护人表示，拉活业务在手机互联网广告行业中“普遍存在”。在孙作成看来，中了木马的手机带来的危害“要么是丢钱，要么是丢隐私，要么被控制成为黑产团伙的生产工具。”

“中病毒后的手机常被用来做以下坏事：窃取手机电话薄，通讯软件好友列表并向联系人群发带有病毒链接的消息，倍速传播扩散病毒；偷偷下载大量未知软件，定制扣费业务消耗手机话费；勒索木马用新密码替代原来的手机密码，将手机或者手机中的文件上锁后索要赎金；偷偷读取手机应用的账号密码、聊天记录、相册等隐私数据后在网上贩卖；截获验证码信息注册新用户，批量薅羊毛如领优惠券、新人红包、刷点赞刷流量等。”他告诉记者。

━━━━━

如何预防手机被植入木马？这7点可以注意

那么，有什么迹象能够表明手机被植入木马，普通用户如何防止自己的手机被植入木马呢？

孙作成告诉新京报贝壳财经记者，手机出现以下状况要当心是否中了木马病毒：1.未使用手机的情况下机身温度经常过热；2.手机话费突然变少甚至欠费；3.无大耗电量操作的情况下手机电量骤减；4.手机系统或者手机应用软件无法更新升级；5.手机自动下载大量软件或者推送大量广告等垃圾信息；6.手机无法接收短信验证码。

而防范手机木马病毒的措施则包括如下7点：1.不使用山寨或改装手机；2.不打开陌生账号发送的信息、链接；3.不下载、安装来历不明的软件；4.数据传输或者网盘文件下载时注意防止病毒感染；5.非必要时隐藏或关闭手机蓝牙和定位功能；6.安装杀毒软件；7.发现手机病毒及时将手机刷机恢复出厂设置或者进入安全模式。

（新京报记者梁辰对此文亦有贡献）

值班编辑 康嘻嘻 花木南

本文部分首发自新京报公号“新京报贝壳财经”

未经新京报书面授权不得转载使用