經濟半小時：警惕“不死”木馬逆襲安卓手機

2013年中國第三方移動支付市場交易規(guī)模達12197.4億元，同比增速707.0%，而2014年這一市場規(guī)模還將增長141.1%。越來越多的不法分子正虎視眈眈著人們的手機。 “不死”木馬的傳播使得越來越多人的手機存在著巨大隱患。那我們的手機還安全嗎?我們還可以繼續(xù)使用網絡支付嗎?若一旦遭遇被盜，人們可否得到合理賠償，有否有人能夠承擔相應的責任也成為人們日加關心的話題之一。

近一段時間關于移動支付的數(shù)據(jù)和話題讓人眼花繚亂，春節(jié)長假里，支付寶手機支付超過1億筆，京東通過“白條”切入信用支付領域，小米則悄無聲息地切入了這一戰(zhàn)局。隨著移動互聯(lián)網的發(fā)展，手機被賦予了錢包的功能，“手機錢包”取代實體錢包的勢頭越來越明顯，同時，惦記手機錢包的小偷也就多了起來。

“不死”木馬惡意騷擾   影響著人們的日常生活

這里是奇虎360公司的安全中心，也是目前國內最大的互聯(lián)網免費安全平臺，幾百名工程師在各自的領域忙碌著，看似平靜的鍵盤聲背后，實際這里每天都在演繹著驚心動魄的故事，提起兩個月前發(fā)生的一幕，即使是這些專業(yè)級的工程師至今仍心有余悸，2013年12月中旬開始，安全中心陸續(xù)接到一些用戶反饋，自己的手機頁面上莫名其妙多出許多軟件。

手機用戶：我的手機莫名其妙的會有一些軟件裝進去，然后我點擊把它們刪除掉之了之后，就是隔兩天它又會安裝上了，然后這些軟件全都是那種什么，賭錢啊，或者是那種要收費的游戲軟件，然后我頻繁的刪也刪不掉。

360 安全工程師和《經濟半小時》記者討論“不死”木馬問題

通常情況下，手機出廠時，部分廠商會在手機里預裝一些應用程序，起初360安全中心的工程師還以為用戶反饋的是手機系統(tǒng)內的預裝程序，并沒有引起足夠的重視，然而到了2013年底，類似的反饋越來越多，此時用戶向安全工程師反饋了一種更為奇怪的現(xiàn)象。

360安全工程師張浩然：用殺毒軟件殺毒，能夠殺出木馬來，但是殺掉之后，重啟手機，這個木馬又會再出現(xiàn)，然后呢，我們工程師也聯(lián)系了部分用戶，想在他手機里提取樣本，包括我們當時也覺得很迷惑，斷網的情況下殺毒，包括把用戶手機里所有的應用都打包發(fā)給我們，我們依然沒有發(fā)現(xiàn)有什么異樣的東西。

事情開始變得蹊蹺起來，初步判斷，困擾用戶和工程師的肯定是一種新病毒，但這新出現(xiàn)的神秘的手機病毒到底藏在哪呢?尷尬的是，由于用戶手機儲存著大量個人信息，安全團隊手上沒法拿到病毒手機樣本，病毒分析一時陷入了瓶頸。直到2014年1月5日，病毒繼續(xù)肆虐，分析才有了新的進展。

360安全工程師張浩然：直到1月5日，我們有同事身邊的一個朋友的手機也出現(xiàn)這種情況，我們就是聯(lián)系他那個朋友，把這個手機拿到了我們公司，終于有機會對這個手機進行了一次徹底的體檢，我們居然在手機的磁盤引導區(qū)發(fā)現(xiàn)了這個“不死”木馬，英文名字我們管它叫oldboot。

手機感染“不死木馬”（oldboot）

oldboot是指可以肆意修改設備的boot分區(qū)和啟動配置腳本的木馬，導致用戶手機可能出現(xiàn)大量自己沒有安裝過的軟件，而這些軟件通常包含大量廣告甚至惡意程序，對用戶形成惡意騷擾。

360安全工程師張浩然：這個當時也讓我們很震驚，這也是能解釋之前為什么我們一直發(fā)現(xiàn)不了，因為以往的木馬，都是在系統(tǒng)內，以一個應用的形式，在系統(tǒng)內出現(xiàn)，我們只要把這些應用拿過來就能發(fā)現(xiàn)了，但是這個木馬不一樣，它在手機的磁盤引導區(qū)，等于是它有極高的系統(tǒng)啟動權限，它就在你啟動系統(tǒng)的時候，它往你系統(tǒng)里釋放些惡意軟件，它本身存在于磁盤引導區(qū)的，所以我們一直發(fā)現(xiàn)不了。

帶著既興奮又忐忑的心情，安全團隊著手分析這個“不死”木馬的功能和意圖，分析出來的結果大大超乎了安全團隊的想象。

360安全工程師張浩然：這個木馬的行為，實際上我們從分析它的代碼來看，它能實現(xiàn)很多行為，有你手機系統(tǒng)的最高權限，它可以拿到的，有你手機最高權限就可以做任何事，基本上我們理解成它可以做任何事，可以去監(jiān)聽你的通話，可以去偷你的短信，可以去盜你的一些賬號密碼，都是可以實現(xiàn)的。

工程師們說，木馬并不罕見，業(yè)內稱這種被木馬接管的手機為“肉機”，但這種“不死”木馬功能十分強大，雖然手機在用戶手上，但不法分子通過木馬可以遠程操控用戶的手機，對于那些習慣使用手機支付業(yè)務的用戶，和手機綁定的儲戶來說存在相當?shù)娘L險。

360安全工程師張浩然：你看這臺手機，是一臺已經中了“不死”木馬的手機，我們看現(xiàn)在這頁有很多色情類的，包括賭博類的軟件，都是“不死”木馬偷偷地下載下來的，這個手機用戶根本沒有手動下載這些軟件，而且這些軟件在正規(guī)市場也不可能存在。“不死”木馬的行為就是去把這些軟件下載到手機，再裝上它 ，而且是靜默安裝的，你不知道，只有它裝完了才看見，這兒有這么一個東西。

央視財經《經濟半小時》記者：現(xiàn)在我們把它刪了，會出現(xiàn)什么情況?

360安全工程師張浩然：你如果把它都刪掉的話，然后可能過段時間，他還能偷偷給你下下來，他是可以控制什么時候下什么軟件的。

央視財經《經濟半小時》記者：軟件還不是這一種?

360安全工程師張浩然：不是一種，這個木馬的作者，是賺推廣的錢。提供了一個渠道。你給我錢我就裝你的，他給我錢我就裝他的。

全方位監(jiān)測顯示，木馬早期的表現(xiàn)就是在后臺偷偷下軟件耗費用戶的手機流量，隨后就會一步步接管用戶的手機。

360工程師張浩然：因為這個木馬的它的功能非常多，而且它的權限很高，基本上就是等于你的手機雖然在你手里，但是別人其實可以遠程操控它，可以讓它做很多事，下軟件啊，發(fā)短信啊，收短信啊，都能做。

雖然安全團隊研究清楚了“不死”木馬存在的位置和意圖，但是要徹底清除這些木馬，安全團隊卻遇到了前所未有的困難。

360工程師張浩然：我給你打個比方，比如在你蓋房子的時候，它在你的地基那就給你放了一個監(jiān)聽的設備，靠平常的掃除，你是找不到它，是清除不掉它的，要想把它找到，你得拆房子，這個木馬也是，它在手機的磁盤引導區(qū)，把它理解為是一個手機想啟動時候必須讀的一個重要的文件，如果我們想要把它清除掉，我們要用正確的文件把它替換掉，但是因為安卓手機的機型特別特別多，如果我們想把它替換掉，極有可能發(fā)生的是，如果他這個型號和我們認為的文件不匹配，手機就變磚了，就沒法用了，這個風險太大了。

經過多方考慮，并保證中“不死”木馬的手機，用戶可以正常使用，安全團隊選取了一個折中方案。

360工程師張浩然：最后我們終于出了一個沒有機型適配問題的一個方案，就是把這個“不死”木馬給鎖住，把它關起來，它沒法作惡，就和它沒有是一樣的，我們可以這么理解，它也不會再被激活，我們把它滅活，你可以理解為把它鎖住了，它是這些下載的行為，包括監(jiān)聽,包括它盜你號，都實現(xiàn)不了了。

360 工程師試圖破解“不死”木馬病毒

雖然最后的結果在安全團隊看來還不完美，但安全團隊將這次直面手機“不死”木馬的經歷形成報告后，在全球手機安全領域引起軒然大波。

360工程師張浩然：我給你講一下，就這個木馬，我們把英文報告放到國外之后，在全球范圍都引起反響了，因為手機從來沒有出現(xiàn)這種木馬，居然在我面前看到了，而且是一個迷惑了我們很久的難題，既興奮又震驚，這個木馬確實是前所未有的，而且從這個木馬以后可以預見到，這種攻擊方式的木馬會越來越多，利用這種攻擊方式，就是以后的手機傳病毒的事件，(查殺)也會比原來更困難。

360安全工程師張浩然：用戶上報以后我們經過一段時間的檢測和分析，發(fā)現(xiàn)”不死”木馬的一個很明顯的特征，只要只要在這個目錄下，系統(tǒng)文件目錄下，存在這個文件，還有這個文件，還有這個文件，就存在“不死”木馬。

雖然對技術領域完全是外行，但是在了解“不死”木馬病毒的強悍后，我們的央視財經《經濟半小時》記者還是禁不住震驚。在發(fā)現(xiàn)這一超級病毒后，檢測顯示，全國范圍內”“不死”木馬“感染手機量至少已經超過50萬部，并且大量的手機因為沒有安裝任何安全軟件，無法檢測，” “不死”木馬感染的總量還是未知數(shù)。那么利用這些木馬程序，不法分子又能做到哪些，普通用戶又該如何防范呢，廣告之后，繼續(xù)我們的調查。

面對日益火爆的移動支付市場，各種威脅也接踵而至，網絡安全工程師們發(fā)現(xiàn)的“不死”木馬就是其中一種，在不法分子口中，這些感染“不死”木馬的手機已經成了“肉機”，換句話說，手機雖然在用戶手中，但是不法分子通過遠程操控可以實現(xiàn)所有他做的勾當。這些中了毒的手機有哪些隱患，人們又該如何防范呢?

電子支付風起云涌手機病毒瘋狂傳播

2013年移動支付出現(xiàn)爆發(fā)式增長。央行2月中旬公布的《2013年支付體系運行總體情況》顯示，移動支付的筆數(shù)和金額同比增幅雙雙超過200%，是2013年電子支付筆數(shù)和金額中增速最快的一塊。來自市場研究機構的統(tǒng)計數(shù)據(jù)稱，2013年中國第三方移動支付市場交易規(guī)模達12197.4億元，同比增速707.0%，而2014年這一市場規(guī)模還將增長141.1%。伴隨終端的普及，新的支付場景也在不斷創(chuàng)新，金融理財、繳納水電費、借款還款、吃飯AA買單、一起游戲等功能正在不斷被開發(fā)。與之形成鮮明對比的是，2013年全年360互聯(lián)網安全中心共截獲安卓平臺新增惡意程序樣本67.1萬個，較2012年全年的12.4萬個增長了4.4倍，平均每天截獲新增惡意程序樣本近1838個。在成功攔截這一病毒后，網絡安全工程師們并沒有興奮，相反，很多工程師覺得心情越發(fā)沉重。

機的錢包功能受到嚴重威脅

360安全工程師張浩然：這個木馬在手機木馬史上算是一個里程碑式的木馬，其實業(yè)內大家一直都覺得這種木馬會發(fā)生，因為在個人電腦端是有這種木馬形式存在，但是在手機上一直沒有，居然在我們中國發(fā)現(xiàn)了，這個事也很震驚，也算挺悲哀的，這個證明我們中國刷機的產業(yè)鏈，包括手機整個銷售的產業(yè)鏈，包括全國手機市場，確實得有大量這種(植入木馬)市場，才有利益驅動，有人造這個木馬。

這位工程師所說的刷機指的是通過一定的方法更改或替換手機中原本存在的一些語言、圖片、鈴聲、軟件或者操作系統(tǒng)。通俗來講，刷機就是給手機重裝系統(tǒng)。

360安全工程師張浩然：經過我們分析這個木馬，它必須得人手把它刷進磁盤引導區(qū)，最后買到手機，有這個木馬就證明了這個手機在從出廠，到你手中某個環(huán)節(jié)，被人手工地刷進這個木馬。

這位工程師告訴《經濟半小時》記者，手動植入木馬有若干途徑，除了購買到預裝有“不死”木馬的手機外，“不死”木馬傳播途徑還存在于手機維修中，部分手機維修店會在刷機的過程中做手腳，從而獲取利益，那么事實是否如此呢，央視財經《經濟半小時》記者隨同工程技術人員在北京一些手機市場進行了暗訪。

維修店工作人員：裝一個軟件一兩塊錢，裝一次激活一次兩塊錢。

360安全工程師張浩然：這個“不死”木馬牽出的產業(yè)鏈是非常可怕的，一個專門往手機里刷木馬的，刷到50萬臺，最起碼是一個成規(guī)模的東西在存在，而且為什么他能刷出這么多東西，就包括之前也有過一些調研，隨便你去中關村的一個攤位上，你讓老板幫你往里刷個什么軟件，給他錢了就給你刷，基本你只要錢給到，都會給你刷，不管你是惡意軟件，還是其它木馬，他都不管，直接往里刷。

而在安全工程師萬仁國看來，預裝的“不死”木馬雖然可怕，但第三方應用市場及論壇才是惡意程序傳播的主要途徑，占比超過60%。其次的傳播途徑才是手機預裝和惡意網址。

360安全工程師萬仁國：比如說常見的釣魚里面，都會獲取我們的電商平臺的賬號，包括支付密碼，包括身份證號，以及銀行卡，當他們一旦將這些信息獲取到之后，他就可以再通過比如獲取手機短信驗證碼，就能實施攻擊了。

接下來，安全工程師向央視財經《經濟半小時》記者展示了通過二維碼下載的捆綁在游戲里的木馬。

安全工程師萬仁國：這個軟件是從一個論壇上下載到的，當我們安裝好它之后，我們去點擊運行它的時候，它會去提示我們安裝一個所謂的資源。

央視財經《經濟半小時》記者：軟件需要安裝資源包。

安全工程師萬仁國：這個時候我們點取消是沒有用的，我們點了取消之后，它沒過一會兒還會彈，必須你去裝。

央視財經《經濟半小時》記者發(fā)現(xiàn)如果想玩這款游戲，必須得安裝一個資源包，安裝完資源包后游戲恢復正常。

體驗360 軟件  恢復被感染”木馬“病毒的手機

可《經濟半小時》記者并沒有發(fā)現(xiàn)手機有任何的異常現(xiàn)象，隨后安全工程師道出了其中的秘密。

安全工程師萬仁國：這個軟件，當我們激活之后，貌似我們現(xiàn)在系統(tǒng)很正常，但實際上這個時候，我們的手機已經植入了木馬，它可以干什么呢，比如大家手機里面可能會裝上工行的一些應用，或者其它銀行的應用，一瞬間，就切到了一個說要求我的手機號，以及注冊卡的賬號，以及比如銀行的姓名，卡的賬號，還有密碼等等，實際上這就是一個假的界面，當我們在頁面里面，把所有信息都輸入之后，它獲取到了，然后再調真的工行。

事實是否如這位安全工程師所說呢，采訪中，安全工程師提到了一個細節(jié)讓央視財經《經濟半小時》記者恍然大悟。

安全工程師萬仁國：所以我們在點開這個建設銀行，跟剛才已經不一樣了，剛才我們可以看到，打開一個首頁，會有很多的介紹，就是在這個地方，我們看，點擊的話都是沒有反應的。

安全工程師介紹，通過二維碼傳播惡意程序的比例在2013年增長迅速，一方面是由于二維碼應用越來越廣泛，掃二維碼已經成為許多用戶的日常習慣，另一方面也是由于多數(shù)二維碼掃碼工具并不具有識別惡意網址的能力。只是簡單講二維碼反應成網站地址。這就給惡意程序通過二維碼傳播創(chuàng)造了更為有利的條件。但安全工程師表示，在所有惡意程序中，虛假電商的客戶端是最具欺騙性的。隨后安全工程師向《經濟半小時》記者展示了虛假淘寶app的運作手法，在這個桌面上放著3部手機，尾號為0820的央視財經《經濟半小時》記者手機，尾號為0922的中毒手機，尾號為5464的收號手機，隨后《經濟半小時》記者在紙上隨意寫上“淘寶賬號”、“密碼”、“身份證號”，安全工程師為《經濟半小時》記者展示了不法分子如何通過木馬截取用戶信息。首先，拿出尾號為0922的中毒手機，在頁面上顯示了一個淘寶app，看上去和正規(guī)的淘寶app并無差異。

安全工程師萬仁國：我給大家運行一下，這個界面是跟正常淘寶客戶端是一模一樣的，但實際上這里面是，它是能夠將我們這一塊輸入的帳戶信息給截取走，然后我就按照這個《經濟半小時》記者的要求，輸入這個相應的帳戶名和密碼。

安全工程師在尾號為0922的中毒手機中輸入《經濟半小時》記者隨機編寫的淘寶賬號和密碼。

安全工程師萬仁國：密碼0123456123，對吧?我點登錄，這個時候就會發(fā)送一條短信出去了，那么在這個手機里面，就會收到這條短信。

央視財經《經濟半小時》記者：等會，不著急。我們看一眼啊。用戶、密碼，就相當于把這個手機的信息，直接發(fā)送到。

安全工程師：黑客指定的這個手機上。

央視財經《經濟半小時》記者發(fā)現(xiàn)，在尾號0922手機上填寫的任何賬號和密碼信息，都會以短信的形式送到尾號為5464的手機中。安全工程師表示，這還沒有結束，如果此時用戶還沒有察覺，虛假客戶端會繼續(xù)騙取用戶的身份證號。

安全工程師：名和密碼已經發(fā)送到這個指定手機上了，接下來我們可以看，它還會騙取我們的身份證信息，接下來我們點提交，這時候這個假的客戶端，就是這個木馬客戶端，它就直接退出了，實際上它是沒有任何功能的，不起任何作用，但是它關鍵核心點就是用來獲取用戶名，密碼還有個人的身份證號這種隱私信息。這時候我們看到，這個身份證信息，也已經發(fā)送到指定的手機上來了。

除了這些，安全工程師表示，事實上虛假客戶端能做的遠比這些要多得多。他用尾號為0820的央視財經《經濟半小時》記者手機向尾號為0922的中毒手機發(fā)送了一條信息，此時出現(xiàn)了讓央視財經《經濟半小時》記者吃驚的一幕。

記者手機，中毒手機和負責收號手機的工作圖

360安全工程師：從央視財經《經濟半小時》記者的手機上，像這個植入木馬的手機，發(fā)送了一條叫驗證碼1234的短信，我們看到這個短信已經自動轉發(fā)到這臺設定的手機上了。

從尾號為0820的央視財經《經濟半小時》記者手機發(fā)出的驗證碼，通過中毒手機，準確無誤的傳到了尾號為5464的收信手機中，不發(fā)分子只要設置好收信手機，就可以隨時隨地的接受用戶的個人信息。而對這些，用戶絕大多數(shù)難以察覺，根據(jù)中國反網絡病毒聯(lián)盟的分類標準，手機惡意程序分為資費消耗、惡意扣費、隱私竊取、誘騙欺詐、流氓行為、破壞系統(tǒng)、遠程控制和惡意傳播這8個主要類別，在有些人眼中，手機似乎變成了手雷。面對這些惡意的病毒，用戶們真的只能束手待斃嗎?在發(fā)現(xiàn)了“不死”木馬的工程師們看來，當手機用戶在急于奔向移動支付、手機錢包的過程中，最重要的是，對于風險要有預判。

現(xiàn)在移動支付已經成為一種趨勢，很多的商家，包括消費者本身，也都在追逐這個潮流，其實我們很多的普通用戶，他對手機上的安全威脅，包括移動支付的風險，并沒有一個足夠的認知，他對這個可能帶來的損失，也沒有做好準備就進入。

業(yè)內人士指出，除了這些外，面對近乎爆發(fā)的市場，網絡公司和電商光做好自己的平臺安全是遠遠不夠的。

我們把安全比喻為一個木桶，而這個木桶所能盛裝的水的多少，取決最短的那塊板，而在安全里面，我們可以把比如用戶的個人信息，包括用戶的使用習慣，以及電商平臺，等比做為這個木桶中的一塊木板，最短的木板就決定了這個木桶所能承裝的水，也就是我們的用戶的安全性。

【半小時觀察】

今天，對于我們很多人來說，出門三大件已經從鑰匙、錢包、交通卡變成了手機、平板、充電寶。一個小小的手機在一步步影響我們的生活，同時暗中一雙雙 “黑手”也伸向我們的手機錢包。我們的手機還安全么?相信每個人看完節(jié)目后都會有這樣的疑問，如何讓我們的手機變得安全，面對疑問，能夠做出解答的也只有技術和管理部門。特別是互聯(lián)網企業(yè)及銀行作為終極受益者，更應該及時加強技術監(jiān)管，在努力發(fā)展業(yè)務的同時，幫助用戶管理好錢包。從互聯(lián)網企業(yè)方面來講，在用戶遭受詐騙時，可合理賠償用戶損失，承擔相應的的責任。從銀行方面來講，需加強監(jiān)控，實時監(jiān)控，主動構筑起防火墻。只有守護好用戶的手機錢包，才能守護好欣欣向榮的移動支付產業(yè)。