当你关闭了所有APP,但手机的电量、流量还有莫名其妙的损耗时,可能一个木马病毒正悄然在你的手机中默默打开各种 “后门”,为安装它们的主人赚取着广告流量费。12月5日,一则“金立暗中给手机植入木马”的消息将昔日流行的手机品牌金立再次拉入公众视线。根据11月30日公开的一份刑事判决书,金立旗下子公司通过将“拉活木马”植入到金立手机内置APP中,达到在用户不知情的情况下拉活指定APP广告的效果,赚取拉活费用。这件事还牵扯进了魅族。针对相关报道,魅族官方微博发文回应称,“魅族坚持合法经营,未参与相关非法事件。未来我们将继续深耕手机安全业务,保障手机信息安全”。
无独有偶,近日浙江人民检察院也在官方公众平台发布消息称,查处了一个将木马程序植入老人机中,在用户不知情情况下通过接发送验证码谋取利益的团体。
木马程序是如何被植入未出厂手机的?你我的手机是否正有木马程序悄悄运行?梆梆安全资深安全专家孙作成对记者表示,未出厂手机被注入木马病毒的方式主要包括生产厂商直接把木马程序植入主板;山寨手机在售出时被绑定可能含有木马病毒的预置软件;非智能老年机储存卡被写入木马程序三种。而防范手机木马病毒的措施则包括不使用山寨或改装手机,不打开陌生账号发送的信息、链接,不下载、安装来历不明的软件等。
A.金立手机植入木马“拉活”牟利2700多万
“金品质,立天下”的金立手机,在破产两年后,又一次因为丑闻被关注。记者从裁判文书网查询获知,金立控股的深圳市致璞科技有限公司(下称“致璞科技”)与另外4位当事人被指控犯非法控制计算机信息系统罪,致璞科技被处罚金40万元。
工商信息显示,致璞科技的大股东是深圳市金立通信设备有限公司,持股比例为85%,认缴出资额850万元。这份公布于11月30日的判决书显示,据法院审理查明,致璞科技谋合北京佰策公司(另案处理),采用具有“拉活”功能的SDK控制用户手机的方式合作开展“拉活”业务,双方于2018年12月1日正式签订“拉活”协议。
“拉活”是指拉活跃用户,利用木马,在用户不知情的情况下执行对指定APP的拉活,俗称“刷数据”。
双方约定将北京佰策公司开发的“拉活木马”程序集成在金立手机的故事锁屏APP中。装有“拉活”功能SDK的手机在用户不知情的情况下自动更新版本,接收“拉活”指令,并在符合配置条件的情况下执行对指定APP的拉活,从而达到广告拉活的效果,赚取拉活费用。在法院的审判中,有辩护人曾主张致璞科技只是提供了帮助,是从犯。但法院认为,从被告人的供述及证人的证言可知,双方达成在SDK软件工具包升级,增加一个“拉活”功能中作用相当,所得利益按其所起作用均享,本案不宜区分主从犯。
2018年12月到2019年10月,双方合计实施“拉活”(执行成功)28.84亿次,涉及金立牌手机至少2650万台,其中2019年4月以来,每月拉活覆盖设备数均在2000万台以上。致璞科技预计在此期间通过“拉活”收入2785.28万元,案发前,致璞公司从北京佰策结算拉活费用合计840余万元。
法院判决,致璞科技违法所得820万元予以没收,上缴国库,继续追缴致璞科技违法所得22万元,予以没收上缴国库。此外,另一手机公司魅族也被牵涉其中。判决书显示,珠海市魅族科技有限公司等手机商也与北京佰策公司合作开展“拉活”业务。对此,魅族Flyme官方微博于12月5日晚间回应称,魅族坚持合法经营,未参与相关非法事件,“未来我们将继续深耕手机安全业务,保障手机信息安全”。
B.一个“消失”的验证码牵出大案
不少老年人在挑选手机时常常会选用功能简单、价格低廉的老年机。不过也有不法分子盯上了部分缺乏保护的老年机,植入病毒木马,实现远程控制,非法获利。近日,浙江省绍兴市新昌县法院审理认定,犯罪嫌疑人吴某的公司非法控制老年机达330余万台,获取手机验证码500余万条,出售获利竟有790余万元,受害老年人遍布全国。民警透露,不仅是老年机,部分带通信功能的儿童手表也需警惕此类木马。
去年8月,为了方便照顾已经80多岁却一人独居的外婆,浙江新昌县的小朱在网上给外婆买了一台价格便宜的功能机。所谓的功能机就是人们常说的老年机,仅仅具备接听电话、收发短信等基础功能。然而小朱在给手机换套餐时,却发现其他人发送的短信可以正常接收,但验证码却无法接收。将电话卡装到自己的手机里,验证码又能正常接收,他怀疑是外婆的老年机被装了木马,随即报警。新昌县公安局网警大队副大队长陈懿介绍,老年机查询话费的功能是能够正常查询、正常接收,一旦碰到银行验证码或其他验证码就接收不到。“可以确定,肯定是手机里面某个程序把验证码劫持了,进行屏蔽。”
民警对相同品牌老年机的网上销售情况展开调查,对新昌县本地购买同款手机的25人进行走访,发现其中短信收发不正常的手机有15台。同时,民警也对手机里的木马程序进行了司法鉴定。陈懿说:鉴定的意见是这个木马具有对手机里所有的短消息进行识别和获取的功能,能够根据关键词进行屏蔽,最后能将所需的短消息上传到服务器。
C.触目惊心!330万台老年机被植入木马
绍兴、新昌两级公安机关成立了由网安部门牵头的“8·12”侵犯公民个人信息专案组,在查明了整个犯罪团伙的组织架构后,赶赴深圳控制了这家科技公司的所有涉案人员。新昌县公安局刑侦支队办案民警李赟赟表示,警方从调取后台服务数据显示,其数据库存量达到500多万的手机号码,信息量总共达到将近5000万。
经查,以吴某为总经理的这家公司制作了可以控制手机识别拦截短信的木马程序,并与主板生产商合作,将木马程序植入到手机主板中,这些植入木马程序的主板又进入到手机生产厂商,最终销售给老年人群体。统计来看,被植入木马程序激活的手机号码有330多万台,涉及功能机型号4500多种,受害者遍布全国31个省、直辖市、自治区。
办案民警李赟赟说:“这个功能机一旦被老年人插卡使用,便会主动将手机号码发送给吴某团伙,吴某团伙向下游进行输入号码,下游一旦拿到号码之后点击收取验证码,下游群体就是通过手机号码跟验证码去电商平台‘薅羊毛’的。”
吴某的公司除了使用少量非法获取的手机号码和验证码自行进行App注册、刷量获利以外,绝大部分都出售给了像“番薯”平台这样的公民个人信息“批发商”。这些平台是这条黑色产业链里的重要一环,在“行业”里被称为“接码平台”,他们从吴某这样的公司低价购入个人信息,通过QQ群、微信群加价出售给“薅羊毛”的团伙和个人,从中赚取差价牟利,公民的个人信息就这样进入了黑市场,再被层层买卖,形成一个庞大的犯罪网。犯罪嫌疑人戚某表示,一件商品获取两三元钱的利润,想赚钱就要量大,所以才注册这么多手机号,模式就是倒卖、赚差价。
2020年6月,新昌县检察院以吴某等70余人分别涉嫌非法控制计算机信息系统罪、侵犯公民个人信息罪、诈骗罪,陆续向新昌县法院依法提起公诉。
■重要提醒
如何预防手机被植入木马?这7点可以注意
那么,有什么迹象能够表明手机被植入木马,普通用户如何防止自己的手机被植入木马呢?梆梆安全资深安全专家孙作成告诉记者,手机出现以下状况要当心是否中了木马病毒:
1.未使用手机的情况下机身温度经常过热;
2.手机话费突然变少甚至欠费;
3.无大耗电量操作的情况下手机电量骤减;
4.手机系统或者手机应用软件无法更新升级;
5.手机自动下载大量软件或者推送大量广告等垃圾信息;
6.手机无法接收短信验证码。
而防范手机木马病毒的措施则包括如下7点:
1.不使用山寨或改装手机;
2.不打开陌生账号发送的信息、链接;
3.不下载、安装来历不明的软件;
4.数据传输或者网盘文件下载时注意防止病毒感染;
5.非必要时隐藏或关闭手机蓝牙和定位功能;
6.安装杀毒软件;
7.发现手机病毒及时将手机刷机恢复出厂设置或者进入安全模式。
本版图文综合《南方都市报》《新京报》、央视新闻
