揭秘病毒和手机厂商“最爱”权限：偷钱、盗信息、恶意操控手机

信息安全公益宣传，信息安全知识启蒙。

加微信群回复公众号：微信群；QQ群：16004488

加微信群或QQ群可免费索取：学习教程

教程列表见微信公众号底部菜单

安卓应用乱象调查：

它在后台“静静”地安装未知应用

揭秘病毒和手机厂商“最爱”权限

我们常说的“苹果手机越狱”，对应于Android手机的Root。

Root权限是Android手机的最高权限，通常获取手机Root权限后，可以定制系统、卸载预安装软件。如果Root权限被病毒利用，手机犹如公共场所。所以，如果一款应用在安装时声称会读取你的Root权限，你唯一需要做的，就是拒绝安装这款应用。

最近，一个名为“ANDROIDOS_XAVIER.AXM，简称Xavier”的恶意病毒肆虐越南、菲律宾、印尼等国，它潜伏在用户日常使用频率最高的应用，比如铃声转化、视频播放等应用中，且不影响这些应用的核心功能。但这款病毒会轻而易举的获取用户的邮箱地址、SIM卡运营商等信息。如果你的设备已root，Xavier能在后台静默安装app，用户根本无法察觉。

提起“静默安装”，国内曾有人因此获刑。隐私护卫队了解到，2015年10月，北京三中院审结了一起某软件公司通过流氓软件静默安装app，非法获取用户通讯录信息2000条，并在用户不知情的情况下推送广告，非法控制手机终端的案件。最终，10位相关责任人因此获罪，最高者判刑3年。

所谓静默安装，是指不弹出android手机系统的安装界面，在不影响用户任何操作的情况下不知不觉地将程序安装好。这种安装方式，绕过了安装过程中应该展示的权限清单，“剥夺”了用户权衡app权限要求是否过分的权利，并且，如果安装的是恶意软件，可能会直接非法获取手机用户的信息。

“想要实现静默安装，就要获取手机的root权限。”从事android开发的资深程序员郭霖告诉隐私护卫队。root权限是android手机的最高权限。“root之后可以做的事情比较多，比如卸载系统预装软件、直接读取、修改系统相关文件，对系统进行定制化修改。应用层的数据对其来说更是犹如透明。一旦root权限被恶意利用，手机就犹如无人管制的公共场所，病毒木马可以自由进出，个人信息，应用数据都可能遭到盗窃。”一位android安全领域研究者葫芦娃（化名）的告诉隐私护卫队。

去年，一款名为“悍马”的手机病毒肆虐国内外。此款病毒携带18套不同的root方案，一旦感染，病毒即获取系统最高权限，手机将频繁弹出广告，后台会静默安装很多软件甚至是色情软件，即使卸载之后，不久后会被再次被安装。

然而，不仅是病毒瞄准了静默安装功能，国内的手机厂商出于“用户体验更好”的原因也利用了此功能。

郭霖介绍说，google在设计android系统的时候，考虑到安装时弹出权限清单对话框的体验不好，google对自家google play商店中的应用实行静默安装。借鉴google的做法，国内的手机开发商也采用了类似的处理方式，比如小米、华为等手机在自家应用商店中下载应用安装时也不会弹出权限清单对话框。

比如小米手机，当用户从小米应用商店下载一款app，点击安装，手机不会弹出权限清单，而是直接安装在手机上。这和病毒实现静默安装的区别是：下载的过程由用户主导。病毒在实现静默安装的时候从下载到app的成功安装，用户根本无法察觉的，只能看到最后出现在手机界面上的app。

手机安装app时跳出的权限清单

之所以手机开发商能够实现静默安装，“这是因为在定制Android系统中有预留的安装接口提供给自家的程序使用，大部分都是必须要有官方系统签名的APP才可以调用这个接口。”葫芦娃解释道。

因此，如果一款应用在安装时跳出列表，声称会读取你的Root权限，你唯一需要做的，就是立即拒绝安装这款应用。

不良APP：

发现偷钱、盗信息、恶意操控手机

安卓应用乱象

一款游戏APP，竟会成为黑产的提款机！

近日，一个被命名为“DowginCw”的病毒通过插件的形式藏身多款热门游戏应用——“明星公主换装小游戏”、“疯狂小宝石”等，已偷偷控制了国内至少上数十万手机设备。目前，它仍“存活”在多个应用商店中，日均感染量近万台。如果不慎感染，将带来恶意扣费、破坏系统等问题，还可能会让你的手机变成“僵尸机”。

如果你遇到过以下几种情况之一：在安装和运行了一款APP后，设备自动捆绑或不停下载其他无关恶意应用、手机频繁卡顿、手机刚充值就莫名其妙就欠费了，那么你的手机有可能安装了恶意APP。

根据通信行业标准《移动互联网恶意程序描述格式》，具有恶意扣费、信息窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈、流氓行为等八种恶意行为之一，即被认定为恶意APP。

一经检测发现，这些恶意APP将会出现在工信部每个季度公布的应用软件黑名单里。近日，南都记者统计近三年工信部公布466款不良应用软件发现，超过八成以上的APP存在强制捆绑推广其他应用软件的问题，恶意“吸费”和违规收集用户信息也合计占比16%。

 “风云直播”三年内5登黑榜

“注意！这些APP太流氓了，赶紧卸载！”

2017年11月中旬，工信部公布了今年第三季度检测发现问题的应用软件名单，其中就包括三款存在恶意“吸费”行为的APP，分别在XP系统之家上线的“部落冲突”（V1.0.0.2）和生存游戏2（V1.0.0.2），以及PC软件下载站提供的“球球大作战”（V3.0.0.7）。

据南都记者了解，工信部定期都会对手机应用商店的APP进行技术检测，并公布每个季度发现的“黑名单”。

近日，南都记者统计近三年被曝光的问题APP，发现共有466个上榜。2015年1季度发现的不良手机软件最多，达到82个，最近一次是在2017年3季度，共计公布了31款。

近三年工信部公布的不良APP所涉问题情况

从榜单看，有384个APP涉及“强行捆绑推广其它应用软件”的问题，占总数的82%。APP的这一“流氓行为”给用户带来直观感受是，比如你刚下载一个用来录音的APP，安装后，发现多出了三四个游戏APP。而这些不明下载而来的APP又可能存在新的安全隐患。

在这些因捆绑无关应用而被曝光的APP中，所涉及的类型众多，包括系统工具、游戏娱乐和教育文化类。南都记者对比发现，一些名称里带有“ROOT”和“Wi-Fi钥匙”的APP频繁出现在“黑名单”中。需要当心的是，手机一旦ROOT后，即被获取最高权限，就容易被恶意软件破坏，而通过工具破解Wi-Fi密码，连上不明网络，更是泄露个人信息的主要途径之一。

南都记者统计发现，一款叫“风云直播”的APP，从2015年2季度开始，连续4个季度在不同应用商店检测都发现这个问题，共被5次点名曝光，涉及5个不同版本。这是工信部公布的APP黑名单中上榜次数最多的一款。

此外，还有3款名为“GO桌面”、“百度手机助手”、“胎教音乐盒子”的APP，3次上榜。其中知名度最高的当属“百度手机助手”。数据显示，2015年的一季度和下半年，百度手机助手因为“强制捆绑推广其它无关应用软件”被曝光3次。当中所涉及的版本包括V6.2.0、V6.5.1和V6.7.0，而应用的来源正是百度官网。南都记者注意到，目前百度手机助手可供用户下载的最新版本是V8.0，没有出现在工信部公布的黑名单上。

如今，APP过度收集用户信息的现象严重，在被曝光的恶意APP中，“未经用户同意，收集、使用用户个人信息”占比8%，共有36款。其中多数是通讯类的应用软件，比如2016年3季度，在安卓商店检测发现问题的“网易通省钱电话”（V1.0.0）和“UU电话”（V3.5.4）。

今年被检测存在违规收集用户信息APP名单

南都记者统计，在今年前三季度，被曝光存在该类问题的APP就有6款，其中3款来自游迅网，分别是八分音符酱（V1.0.0.4）、暴力战车(V5.0.0.9)、狂野飙车（V1.0.0.3），均是游戏产品。剩下的3款则是在机锋网上架的“野途”（V2.8.2）、九号安卓频道提供的“我的世界”（V1.0.0.4）、以及应用汇的互伴（V2.1.6）。

通过屏蔽二次确认短信“偷钱”

如果说“强制捆绑无关应用”和“未经用户同意收集使用用户信息”较为常见的话，那么在用户不知情的情况下，操控用户手机则让人难以想象。

自动发送短信和恶意操控用户手机名单

南都记者注意到，有7款APP，因会在“用户不知情的情况下，自动向外发送短信”而上黑名单。 

此前，有细心的网友曾在某论坛上发帖称，新买的手机只打了一个电话测试，从未发送过短信，但当晚在运营商的网上营业厅查费时，竟发现有短信费用支出。

类似的案例并不少见，南都记者今年3月曾报道过，一名初三学生的手机频繁被扣费，有一次短短10分钟就收到35条短信，称他开通了16项通信业务，共计被扣费156元。

一名技术专家向南都记者分析，手机自动发短信一般是为了订阅无线增值业务（又称作SP业务），所以会造成用户手机被扣费。

此外，国家互联网应急中心高级工程师何能强告诉南都记者，静默下载也是强制捆绑的一种形式。通过屏蔽二次确认短信的恶意游戏APP会导致恶意扣费。也就是说，即便在未收到短信提示的情况，用户也可能被“偷钱”。

数据显示，在工信部公布的违规APP总量中，“恶意吸费”的应用软件占比达到8%。在因恶意“吸费”而被曝光的35款违规APP中，基本上都是游戏软件。一款名为“开心连连看”的APP在2015年下半年曾三次上榜，分别在优亿市场、应用酷和苏宁易购应用商店检测出V2.6、V1.5.0及V3.1版本存在这一问题。

比较特别的是，今年一、二季度，工信部公布的两款APP甚至存在“恶意操控用户手机”的问题，分别是IT猫扑网的“千寻免流”（V3.1.3）和金山手机助手的“开心连连看”（V1.6.0）。2015年1季度，另有移动应用商场的两款APP——“匆匆那年”和“撒娇女人最好命”，被指收费后无法获取视频内容。

有网络安全工程师告诉南都记者，手机被恶意操控后，好比在你家的地下室打了一个通道，有人可以通过远程发送指令，将你手机里的数据发送至服务器。如果手机因为系统漏洞被攻击，获取root权限，那你家里的每个房间都能被访问了。

成本低廉  不良APP“改头换面”

据南都记者了解，一旦检测发现存在问题，相关的APP都会被责令下架。

其实，这些年被打击的恶意APP远不止这些。包括工信部、国家互联网应急中心、各地公安部门以及应用商店均会定期检测。根据工信部今年发布的《关于电信服务质量通告》，通过联合应用商店、安全检测厂商，已对其中存在问题的2494款不良手机应用进行了下架处理。

然而，南都记者发现，恶意APP仍屡禁不止。

一款APP被下架后，经过一番包装可能再次上线。而要制作一个APP并非难事，所需要花费的成本更是低廉。在APP产业链上，分布着开发者、渠道商、广告商、手机商和运营商等角色。一款恶意APP背后，上述每个环节都可能存在问题。

今年4月，南都调查手机“植入病毒”利益链，实测发现一款恶意程序5元可以买到，花200元可制作一款空壳APP，挂到网上后13天内就有600多次点击量，36人中招。

在电商平台上，声称能够提供APP开发、推广和在应用商店上线服务的店家并不少。其中一名店家告诉南都记者，他可以修改App的源代码，伪装成普通App的模样，下载安装后，难以察觉异样。夜里用户睡着时，这个程序能控制手机，捆绑下载其他App，整个制作过程只需要2000元。