我们统计了466款不良APP,它们偷钱、恶意操控⼿机……你可能还在⽤!
⼀款游戏APP,竟会成为⿊产的提款机!
近⽇,⼀个被命名为“DowginCw”的病毒通过插件的形式藏⾝多款热门游戏应⽤——“明星公主换装⼩游戏”、“疯狂⼩宝⽯”等,已偷偷控制了国内⾄少上数⼗万⼿机设备。⽬前,它仍“存活”在多个应⽤商店中,⽇均感染量近万台。如果不慎感染,将带来恶意扣费、破坏系统等问题,还可能会让你的⼿机变成“僵⼫机”。
如果你遇到过以下⼏种情况之⼀:在安装和运⾏了⼀款APP后,设备⾃动捆绑或不停下载其他⽆关恶意应⽤、⼿机频繁卡顿、⼿机刚充值就莫名其妙就⽋费了,那么你的⼿机有可能安装了恶意APP。
恶意APP
根据通信⾏业标准《移动互联⽹恶意程序描述格式》,具有恶意扣费、信息窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈、流氓⾏为等⼋种恶意⾏为之⼀,即可被认定。
⼀经检测发现,这些恶意APP将会出现在⼯信部每个季度公布的应⽤软件⿊名单⾥。
近⽇,南都记者统计近三年⼯信部公布466款不良应⽤软件发现,超过⼋成以上的APP存在强制捆绑推⼴其他应⽤软件的问题,恶意“吸费”和违规收集⽤户信息也合计占⽐16%。
466款应⽤上⿊名单
“”5次登榜
“注意!这些APP太流氓了,赶紧卸载!”
2017年11⽉中旬,⼯信部公布了今年第三季度检测发现问题的应⽤软件名单,其中就包括三款存在恶意“吸费”⾏为的APP:
部落冲突(V1.0.0.2)来⾃XP系统之家
⽣存游戏2(V1.0.0.2)来⾃XP系统之家
球球⼤作战(V3.0.0.7)来⾃PC软件下载站
近⽇,南都记者统计近三年被⼯信部曝光的问题APP,发现共有466个上榜。2015年1季度发现的不良⼿机软件最多,达到82个,最近⼀次是在2017年3季度,共计公布了31款。
近三年⼯信部公布的不良APP所涉问题情况。
从榜单看,有384个APP涉及“强⾏捆绑推⼴其它应⽤软件”的问题,占总数的82%。南都记者对⽐发现,
⼀些名称⾥带有“ROOT”和“Wi-Fi钥匙”的APP频繁出现在“⿊名单”中。
需要当⼼的是,⼿机⼀旦ROOT后,即被获取最⾼权限,就容易被恶意软件破坏,⽽通过⼯具破解Wi-Fi密码,连上不明⽹络,更是泄露个⼈信息的主要途径之⼀。
近三年⼯信部公布的不良APP统计情况。
南都记者发现,⼀款叫“”的APP,从2015年2季度开始,连续4个季度在不同应⽤商店检测都发现这个问题,共被5次点名曝光,涉及5个不同版本。这是⼯信部公布的APP⿊名单中上榜次数最多的⼀款。
此外,还有3款名为“GO桌⾯”、“百度⼿机助⼿”、“胎教⾳乐盒⼦”的APP,3次上榜。其中知名度最⾼的当属“百度⼿机助⼿”。数据显⽰,2015年的⼀季度和下半年,百度⼿机助⼿因为“强制捆绑推⼴其它⽆关应⽤软件”被曝光3次。当中所涉
⼿”。数据显⽰,2015年的⼀季度和下半年,百度⼿机助⼿因为“强制捆绑推⼴其它⽆关应⽤软件”被曝光3次。当中所涉及的版本包括V6.2.0、V6.5.1和V6.7.0,⽽应⽤的来源正是百度官⽹。南都记者注意到,⽬前百度⼿机助⼿可供⽤户下载的最新版本是V8.0,没有出现在⼯信部公布的⿊名单上。
如今,APP过度收集⽤户信息的现象严重,在被曝光的恶意APP中,“未经⽤户同意,收集、使⽤⽤户
个⼈信息”占⽐8%,共有36款。其中多数是通讯类的应⽤软件,⽐如2016年3季度,在安卓商店检测发现问题的“⽹易通省钱电
话”(V1.0.0)和“UU电话”(V3.5.4)。
南都记者统计,在今年前三季度,被曝光存在该类问题的APP就有6款:
2017年被检测发现存在违规收集⽤户信息APP名单。
“偷钱”、“盗信息”、恶意操控⼿机
APP的流氓⾏为超乎想象
如果说“强制捆绑⽆关应⽤”和“未经⽤户同意收集使⽤⽤户信息”较为常见的话,那么在⽤户不知情的情况下,操控⽤户⼿机则让⼈难以想象。
⾃动和恶意操控⽤户⼿机名单。
南都记者注意到,有7款APP,因会在“⽤户不知情的情况下,⾃动向外”⽽上⿊名单。
此前,有细⼼的⽹友曾在某论坛上发帖称,新买的⼿机只打了⼀个电话测试,从未发送过短信,但当
晚在运营商的⽹上营业厅查费时,竟发现有短信费⽤⽀出。
类似的案例并不少见,南都记者今年3⽉曾报道过,⼀名初三学⽣的⼿机频繁被扣费,有⼀次短短10分钟就收到35条短信,称他开通了16项通信业务,共计被扣费156元。
⼀名技术专家向南都记者分析,⼿机⾃动发短信⼀般是为了订阅⽆线增值业务(⼜称作SP业务),所以会造成⽤户⼿机被扣费。
此外,国家互联⽹应急中⼼⾼级⼯程师何能强告诉南都记者,静默下载也是强制捆绑的⼀种形式。通过屏蔽⼆次确认短信的恶意游戏APP会导致恶意扣费。也就是说,即便在未收到短信提⽰的情况,⽤户也可能被“偷钱”。
数据显⽰,在⼯信部公布的违规APP总量中,“恶意吸费”的应⽤软件占⽐达到8%。在因恶意“吸费”⽽被曝光的35款违规APP中,基本上都是游戏软件。⼀款名为“开⼼连连看”的APP在2015年下半年曾三次上榜,分别在优亿市场、应⽤酷和苏宁易购应⽤商店检测出V2.6、V1.5.0及V3.1版本存在这⼀问题。
⽐较特别的是,今年⼀、⼆季度,⼯信部公布的两款APP甚⾄存在“恶意操控⽤户⼿机”的问题:“千寻免流”(V3.1.3)来⾃IT猫扑⽹
“开⼼连连看”(V1.6.0)来⾃⾦⼭⼿机助⼿
2015年1季度,另有移动应⽤商场的两款APP:“匆匆那年”和“撒娇⼥⼈最好命”,被指收费后⽆法获取视频内容。
有⽹络安全⼯程师告诉南都记者,⼿机被恶意操控后,好⽐在你家的地下室打了⼀个通道,有⼈可以通过远程发送指令,将你⼿机⾥的数据发送⾄服务器。如果⼿机因为系统漏洞被攻击,获取root权限,那你家⾥的每个房间都能被访问了。
代价低廉
恶意APP“横⾏”
恶意APP“横⾏”
据南都记者了解,⼀旦检测发现存在问题,相关的APP都会被责令下架。然⽽,恶意APP仍屡禁不⽌。
⼀款APP被下架后,经过⼀番包装可能再次上线。⽽要制作⼀个APP并⾮难事,所需要花费的成本更是低廉。在APP产业链上,分布着开发者、渠道商、⼴告商、⼿机商和运营商等⾓⾊。⼀款恶意APP背后,上述每个环节都可能存在问题。
今年4⽉,南都调查⼿机“植⼊病毒”利益链,实测发现⼀款恶意程序5元可以买到,花200元可制作⼀款空壳APP,挂到⽹上后13天内就有600多次点击量,36⼈中招。
在电商平台上,声称能够提供APP开发、推⼴和在应⽤商店上线服务的店家并不少。其中⼀名店家告诉南都记者,他可以修改APP的源代码,伪装成普通APP的模样,下载安装后,难以察觉异样。夜⾥⽤户睡着时,这个程序能控制⼿机,捆绑下载其他APP,整个制作过程只需要2000元。
▶据从事APP定制开发3年的张珂(化名)介绍:
APP在开发上线后都需要获取⽤户,因⽽就有推⼴需求。很多APP内部有推荐位,⼀般选择在⽤户容易“点击”的位置,推荐下载成功后可收取费⽤。按照推⼴APP类型的不同,通常平均⼀个下载激活费⽤在10-50元之间,有些现⾦贷类应⽤号称⼀个真实⽤户价格在100元以上。还有些APP开发者为了推⼴⾃家的其它产品,减少通过其他付费下载渠道的成本⽀出,也会进⾏捆绑下载。
另据南都记者采访了解,部分APP开发商为了推⼴,还会选择贿赂⼩型的⼿机⽣产商,在⼿机硬件中预装或⾃动下载恶意程序。
▶腾讯⼿机管家安全专家杨启波表⽰:
恶意APP屡禁不⽌还是因为利益驱动。除了捆绑其它APP可获取推⼴费⽤外,未经⽤户允许被收集的
隐私信息,可能被不法分⼦⽤于⽹络或者直接窃取⽤户的资⾦,⽽内置恶意扣费代码,可以给开发者赚取直接的现⾦流收⼊。
⿊名单APP其他版本
仍可下载仍含⼴告
⼤多数APP开发后都会提交到应⽤商店发布,这样能够借⽤应⽤商店获取更多的⽤户,⽽上线⼀般需要经过机器和⼈⼯的审核。
▶张珂介绍:
因为技术检测能⼒和相关机制等差异,各家应⽤商店审核情况不同,快的话1天内即可上线,慢的话则需要3-5天。
国内知名的第三⽅应⽤商店和⼿机⼚商的应⽤商店,包括应⽤宝、360⼿机助⼿、百度⼿机助⼿,⼩⽶、华为等。在开发者将APP上传到这些应⽤商店后都会⾃动进⾏病毒、安全性等扫描分析,发现问题应⽤就⽆法上线。
▶ 360⼿机助⼿运营总监王佳增表⽰:
如果⼀个恶意代码已被安全软件识别并提取特征,就算‘改头换⾯’也会被发现。
然⽽,⼀些应⽤商店的审核管理并不严格,部分缺乏安全检测能⼒和运营技术⽀持的应⽤商店甚⾄不做检测,就直接上架问题APP供⽤户下载。
南都记者统计上述被曝光的不良APP发现,它们出⾃93个⼿机应⽤商店,其中百度⼿机助⼿、应⽤酷、安卓⽹和苏宁易购应⽤商店被曝光的违规APP最多,均在20款以上。这也在⼀定程度上反映了,即便是知名的⼤型应⽤商店也可能因为把关不严⽽让问题APP上架。
此外,另有20款APP⾄少上榜了两次,它们往往出⾃不同应⽤商店,在不同时段被公布。⽐如2015年的第⼀和第三季度,⼀款名为“反正”的同⼀个APP版本V1.1.1,分别在移动应⽤商场、华为应⽤市场、新浪应⽤中⼼被检测发现存在“未
度,⼀款名为“反正”的同⼀个APP版本V1.1.1,分别在移动应⽤商场、华为应⽤市场、新浪应⽤中⼼被检测发现存在“未经⽤户同意,收集、使⽤⽤户个⼈信息”的问题。
被曝光的违规APP不仅可以在其它应⽤商店可下载,⽽且未被下架的其他版本还可能存在问题。南都记者发现,2016年4季度,“胎教⾳乐盒⼦”(V4.06)在百度⼿机助⼿上,被检测发现强⾏捆绑其它⽆关应⽤。此前,它已经分别在“琵琶⽹”和“3533⼿机世界”因同样的问题被曝光。
胎教⾳乐盒⼦的V4.05可下载,且检测出含⼴告。
12⽉12⽇,南都记者实测发现,这款APP另⼀版本4.05在百度⼿机助⼿仍可下载。页⾯相关信息显⽰,“胎教⾳乐盒⼦”的下载次数达到378万,并被应⽤商店检测出含⼴告的问题。
页⾯显⽰应⽤的来源“胎教⾳乐盒⼦”。
南都记者点击下载,⼀安装后该APP,⽴刻弹出喜马拉雅FM的⼴告。即便点击关闭选项,这则⼴告在该应⽤页⾯的右上⾓仍有相关标识可链接。⽽当⽤户点击⼴告后,则会出现喜马拉雅FM的下载页⾯,并显⽰应⽤来源“胎教⾳乐盒⼦”。值得⼀提的是,南都记者并未在这款⾃称“育⼉神器”的APP上到相关的⽤户协议,对此进⾏说明。安装应用商店
▶张珂告诉南都记者:
另外⽐较常见的是在通过⼿机浏览⽹站时弹出⼀些带有诱惑性图⽚和⽂字的⼴告,这些⼴告所附带的APP往往含有恶意代码和病毒。有些病毒甚⾄会恶意拦截提⽰扣费的短信,使你在不知不觉中被“偷钱”。
APP过多获取个⼈信息
投诉量不断上升
⼀款恶意APP背后,因为开发者恶意“植毒”,渠道商和⼴告商的捆绑操作,应⽤商店的审核不严,以及第三⽅⽹址链接的恶意传播,都可能会⽤户最终中招。
▶据张珂介绍:
如果⽤户的姓名、⼿机号、房产、车辆等信息泄露,很有可能被专门⼤批量收集⽤户信息的⿊中介获取并进⾏销售,或流⼊个⼈信息买卖⿊市。
▶南都记者注意到,2013年,⼯信部联合其他部门推出《信息安全技术公共及商⽤服务信息个⼈信息保护指南》:明确了⼀些APP应当遵循的基本原则,包括⽬的明确、最少够⽤、公开告知、个⼈同意等。
▶ 2016年6⽉,⽹信办发布的《移动互联⽹应⽤程序信息服务管理规定》:
移动互联⽹应⽤程序提供者应当保障⽤户在安装或使⽤过程中的知情权和选择权。未向⽤户明⽰并经⽤户同意,不得开启收集地理位置、读取通讯录、使⽤摄像头、启⽤录⾳等功能,不得开启与服务⽆关的功能,不得捆绑安装⽆关应⽤程序。
▶上海市信息安全⾏业协会专委会副主任张威:
建议应加⼤对恶意APP的整治⼒度,同时对APP收集信息进⾏规范。
实际上,不少应⽤商店对APP的审核管理还是较弱。并且,平台还可能以该APP是别⼈开发的,⼀般很难追踪等理由推卸责任。但根据今年6⽉正式施⾏的《⽹络安全法》要求,如果在某个应⽤商店发现问题APP,那么平台⽅也需要承担责任。
不仅要明确应⽤商店的责任,还包括开发者、⼿机⼚商。在他看来,让⼿机⼚商来做安全防范是避免安装恶意APP
不仅要明确应⽤商店的责任,还包括开发者、⼿机⼚商。在他看来,让⼿机⼚商来做安全防范是避免安装恶意APP 的重要⽅式之⼀。因为⽤户安装⼀款安卓APP,需要先下载安装包。这时⼿机⼚商可对此进⾏安全检查,如发现恶意APP能及时处理或给⽤户风险提⽰。
可以设⽴恶意APP信息库,公布信息包括开发者、渠道商等,让⽤户在⽹上可实时查询。
从⽹上下载APP,⼿机系统弹出的提⽰。
个⼈可以如何防范下载恶意APP?
▶杨启波表⽰:
⽤户应避免在⼩型电⼦市场下载APP,也不要通过不明⽹址直接安装,应该选择⼤型安全的电⼦市场,
或者直接到APP的官⽅⽹站下载,同时安装专业的⼿机安全软件,帮助识别各类风险应⽤或恶意软件。
▶王佳增也提醒⽤户:
不要轻易点击社交软件⾥分享出来的破解版、版软件,这些多数是加了恶意风险代码。
▶张威进⼀步强调:
⽤户应该养成“尽量给最⼩授权”的习惯。很多⽤户在下载安装APP时,经常会忽略查看其可能会获取的权限。如果⼀款地图应⽤要求开放短信权限,⼀个新闻类应⽤要求开启地理位置和读取通讯录,则需要警惕。 “你开放的权限越多,相当于送出了越⼤的礼包。”
我们为什么要倡议APP不再读取⽤户的短信
你是否有这样的困惑:
1、安装APP时跳出的权限选择框我从来都不看,看也看不懂。
2、“读取⼿机通讯录”、“读取短信”、“获取精确地理位置”…… 需要读取我这么多信息吗?
3、我选了“不同意”,结果APP就不能安装了,⽆法使⽤了,我能怎么办?
你需要知道的事实:
1、我们在过去的⼀个⽉中通过采访与测试弄清了⼀件事情:⼀些隐私信息,你允许应⽤商获取后,对⾃⼰、对应⽤商都没有太多好处,反⽽风险多多。
2、其中,以“读取短信”的权限最为典型。
3、“读取短信”的权限,通俗地说,就是应⽤开发⽅能够读取你的每⼀条短信内容。
4、“读取短信”的主要作⽤是:当你懒得填写短信中的验证码时,应⽤会读取你的验证码并⾃动帮你填写。除此之外,甚少有APP的服务功能必须通过读取⽤户短信实现。
5、但是,对于不规范的应⽤商来说,通过逐条阅读你的短信,可获知你的银⾏卡余额,你的消费习惯,甚⾄能够详细列出你每天的消费清单。
6、如果应⽤商染指⿊产或应⽤存在漏洞,你的上述信息将很快传遍⽹络,以极低的价格被交易买卖,你就会轻易成为犯罪的⽬标。
7、对商家来说,尽管获取客户信息有利于形成⽤户画像,进⾏精准营销,但隐私类信息与普通信息不同,它意味着更⼤的法律风险。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。