給你米、泡椒網(wǎng)惡意篡改熱門Android軟件
IT時報記者 林斐
Android手機國內(nèi)大賣,吸費軟件也搭上了順風(fēng)車,篡改熱門Android應(yīng)用軟件,加入惡意扣費代碼,此類現(xiàn)象在國內(nèi)已經(jīng)呈現(xiàn)蔓延態(tài)勢!禝T時報》記者調(diào)查發(fā)現(xiàn),來自“給你米”廣告聯(lián)盟和泡椒網(wǎng)的惡意扣費代碼,已經(jīng)讓不少Android用戶中招,被扣掉了不少的話費。
扣費過程用戶毫無察覺
國內(nèi)著名的Android Rom(非官方系統(tǒng))制作者啊興也是諸多不幸者之一。他告訴《IT時報》記者,“本來之前就已經(jīng)聽說惡意扣費的事情,但是我以為是由于用戶沒有關(guān)閉手機上網(wǎng)功能而造成的!钡ツ12月29日,啊興卻發(fā)現(xiàn)自己的話費里突然多了五十多元的增值服務(wù)費,這才警覺起來。
緊急核查后,他將目標(biāo)鎖定在一款名為“骷髏塔防”的游戲上,這款軟件在安裝時會顯示需要發(fā)送短信的操作權(quán)限,而正常情況下,這樣的游戲是根本不需要短信功能的。分析后,發(fā)現(xiàn)這個軟件已經(jīng)被篡改,加入了惡意扣費代碼。
“這段代碼每次會隨軟件正常啟動同時運行。運行過程中會在用戶毫不察覺的情況下,采集用戶手機號、IMSI、ICCID、IMEI等個人隱私信息,然后將這些信息發(fā)送到專有服務(wù)器上。服務(wù)器收到信息后,會返回指令告訴扣費程序發(fā)送短信至指定的電話號碼,并且偷偷安裝指定軟件!卑∨d向記者解釋,“一般情況下,訂閱扣費的增值服務(wù),手機都會收到扣費短信提醒。而這段代碼‘高明’的地方在于其內(nèi)置了防火墻功能,會提前對運營商發(fā)送的確認(rèn)扣費的短信進行攔截,用戶手機上也就不會收到任何提示,就這樣不知不覺中話費被扣掉了。”
發(fā)現(xiàn)了問題的嚴(yán)重性后,啊興一方面在微博上緊急公布了消息,同時身為Android網(wǎng)站N多網(wǎng)的技術(shù)主管,他將情況告訴了自己的老板——N多網(wǎng)創(chuàng)始人陳羽中。
已發(fā)現(xiàn)70多款被篡改軟件
其實早在2天前,陳羽中 就發(fā)現(xiàn)了一件蹊蹺事。有家廣告聯(lián)盟網(wǎng)站找上門來,想請N多網(wǎng)幫助付費推廣幾款軟件,不過對方發(fā)過來的軟件卻讓陳羽中 很驚訝,分明是N多網(wǎng)漢化后的產(chǎn)品!盀槭裁次覀冏约旱能浖,對方要幫著推廣,還要倒給我們錢,這明顯不合理。”陳羽中 告訴記者,“我讓技術(shù)工程師去分析后發(fā)現(xiàn),軟件被篡改過了,里面加上了扣費代碼!
經(jīng)過啊興和同事分析后發(fā)現(xiàn),惡意扣費代碼的來源指向“給你米(geinimi)”廣告聯(lián)盟和泡椒網(wǎng)兩家網(wǎng)站。
3天輪班倒的排查,目前N多網(wǎng)上8000多個軟件已經(jīng)清查完畢。N多網(wǎng)的小團隊沒閑著,還廣泛收集國內(nèi)多家Android論壇上的軟件,將被篡改后的軟件名稱在N多網(wǎng)上公布了出來。截至目前,已經(jīng)公布了近70款軟件,涉及國內(nèi)目前多款熱門游戲和軟件。
知名網(wǎng)站上也有扣費軟件
根據(jù)啊興提供的病毒樣本,記者1月1日選擇了一款名為“骷髏塔防”的軟件進行安裝,果然發(fā)現(xiàn)了在安裝時權(quán)限提示頁面有“發(fā)送短信”的選項。
隨后記者對比檢查了篡改軟件和原版軟件的源代碼,果然篡改版本軟件中已經(jīng)添加了發(fā)送短信的代碼。隨后通過搜索引擎,記者又在3家小型的Android軟件下載網(wǎng)站上找到了同樣的篡改版本軟件。
此后記者又在國內(nèi)幾家大型的Android軟件網(wǎng)站下載了近10款不同的熱門游戲軟件,其中在91手機娛樂門戶旗下Android中文網(wǎng)上就下載到了一款被“給你米”動過手腳的軟件。
8月已起苗頭 10%軟件存在風(fēng)險
記者調(diào)查后發(fā)現(xiàn),其實早在去年8月,國內(nèi)眾多論壇上已經(jīng)陸續(xù)發(fā)現(xiàn)扣費軟件。機鋒網(wǎng)副總裁徐威特告訴《IT時報》記者,“8月底機鋒網(wǎng)就在論壇上檢測到了‘給你米’,9月初機鋒網(wǎng)在論壇對用戶做了預(yù)警,開設(shè)了專門的舉報版塊,同時將‘給你米’提交給了各大殺毒軟件廠商!毙焱剡表示,在發(fā)現(xiàn)“給你米”的同時,他們對自己官方的下載渠道——機鋒市場內(nèi)的近7000個軟件進行反復(fù)審核!按蟛糠钟卸绦攀召M權(quán)限的產(chǎn)品,在我們這里都做了重新下架,同時進行人工和技術(shù)雙重審核!
截至2010年底,Android的應(yīng)用程序數(shù)量超過20萬,累計下載次數(shù)達(dá)到25億次。而在中國,Android應(yīng)用程序開發(fā)市場也是日益膨脹,目前第三方應(yīng)用商店已經(jīng)有40多家,據(jù)徐威特估計,目前國內(nèi)的Android軟件已經(jīng)超過十萬,大約10%的Android應(yīng)用軟件存在各種惡意扣費的程序設(shè)置。
對于開發(fā)用戶上傳的機鋒網(wǎng)論壇,機鋒網(wǎng)也針對上傳功能做出了限制!澳壳懊刻於伎梢耘挪槌鲆徊糠謵阂馍蟼鞯奈募,都進行了刪除處理。”
他分析認(rèn)為,做惡意扣費代碼也就幾個公司,“他們本身沒有開發(fā)受用戶歡迎熱門軟件的能力,所以專找熱門軟件篡改下手,甚至包括了QQ。我們論壇封了至少幾十個IP地址,但是對方目前已開始使用動態(tài)IP了。而且我們曝光后還有人故意給機鋒網(wǎng)自己的軟件加惡意代碼,栽贓我們。”
原創(chuàng)開發(fā)者很無奈
被“給你米”盯上的熱門應(yīng)用開發(fā)者也很無奈,國內(nèi)熱門的Andorid軟件“365日歷”就曾遭遇過一場風(fēng)波。
去年12月中旬,在一家Android論壇上有用戶投訴365日歷私自扣費。365日歷的開發(fā)者很重視,立刻核查后發(fā)現(xiàn),該用戶在論壇上下載安裝的軟件版本和官方版本不一致,里面被加入了惡意扣費代碼。365日歷隨后在論壇公開了情況說明,同時提醒用戶不要隨便安裝論壇中不明身份用戶共享的軟件,最好到官網(wǎng)或谷歌官方電子市場下載。
365日歷官方群的管理員小龍告訴記者,目前他們只查到一個被篡改的版本,當(dāng)時很多網(wǎng)站都有,同樣是“給你米”干的,“但我們也沒有能力繼續(xù)追查下去!
惡意代碼已出現(xiàn)變種
美國移動安全公司Lookout Mobile Security近日在自己網(wǎng)站上公布了“給你米”惡意代碼的分析情況。該公司直接把“給你米”定義成木馬程序,整個運行機制和啊興的分析完全一致。同樣,該公司也表示“給你米”的作者顯示出了高超的程序代碼混淆技術(shù),增加了安全工作人員的工作難度,同時Lookout還判斷“給你米”很快就會出現(xiàn)變種病毒。
Lookout的預(yù)測從國內(nèi)安全廠商網(wǎng)秦處得到了印證,據(jù)網(wǎng)秦“云安全”分析中心得到的數(shù)據(jù)顯示,在不到2個月的時間內(nèi),“給你米”變種已超過10個。
N多網(wǎng)目前已經(jīng)開發(fā)了手機和PC版檢測軟件,幫助用戶查找惡意扣費軟件,盛大Android技術(shù)經(jīng)理何曉杰得知消息后,花了2天時間,也開發(fā)出了針對這次暴露出來的惡意扣費代碼的手機版權(quán)限檢測軟件。
域名注冊人矢口否認(rèn)
Lookout分析時提到了“給你米”惡意扣費時用了五個域名。據(jù)《IT時報》記者調(diào)查,這些域名注冊人信息均指向居住在上海閔行的劉某某。記者電話聯(lián)系上了劉先生,在交談中,他承認(rèn)這五個網(wǎng)站均是自己注冊的,同時也坦言自己與“給你米”廣告聯(lián)盟有關(guān)系,但他否認(rèn)了“給你米”在做扣費軟件。
目前這5個域名均無法訪問,而早前所查出的“給你米”官方網(wǎng)站也已經(jīng)無法訪問。
不過另外一家惡意扣費代碼的源頭——泡椒網(wǎng)則不一樣了,這家網(wǎng)站在國內(nèi)移動互聯(lián)網(wǎng)行業(yè)名氣不小。據(jù)公開資料顯示,成立于2006年的泡椒網(wǎng),目前是國內(nèi)知名的手機軟件下載網(wǎng)站,曾先后被多家雜志和產(chǎn)業(yè)聯(lián)盟評選為國內(nèi)100強移動網(wǎng)站,還是網(wǎng)易、天涯和OPERA等多家網(wǎng)站的軟件頻道代理運營商。遺憾的是,到記者發(fā)稿時為止,尚未聯(lián)系上泡椒網(wǎng)人士。
但是陳羽中 告訴記者,曾經(jīng)有泡椒網(wǎng)的工作人員托關(guān)系向他打招呼,希望他能夠刪除微博有關(guān)泡椒網(wǎng)的相應(yīng)發(fā)言,“我希望泡椒網(wǎng)能夠就這件事情有一個公開說明,但他們至今沒有反應(yīng)!
幕后黑手仍然是SP
何曉杰對《IT時報》記者表示,他曾經(jīng)非?春门萁肪W(wǎng),但是事情出來后,他只能長嘆一聲“人心不古”。
Android業(yè)者,eoe開發(fā)者社區(qū)CEO靳巖告訴記者,類似惡意扣費的情況最早是從山寨手機開始的,后來蔓延到Symbian智能手機平臺,現(xiàn)在轉(zhuǎn)到Android平臺上。而現(xiàn)在Android惡意代碼事件,明顯就是惡意軟件開發(fā)者和SP相勾結(jié),一起來欺騙用戶。
何曉杰告訴記者,惡意軟件的表現(xiàn)目前來看主要有以下幾種:短信業(yè)務(wù)扣費、聯(lián)網(wǎng)扣費、撥打電話扣費、收集用戶隱私信息等,而短信扣費是目前被用得最多的一種!澳壳癝P行業(yè),除了幾個名聲在外并且信用過關(guān)的企業(yè)外,大部分SP都是惡意的,這個行業(yè)反正已經(jīng)毀了”。
徐威特向記者透露,目前他們查出的參與此次惡意扣費的SP有好幾家,主要集中在深圳和泉州,都是投訴大戶。他向記者表示,“運營商應(yīng)該更嚴(yán)格的管理SP,發(fā)現(xiàn)一次惡意扣費,直接封殺”。
靳巖也認(rèn)為對于運營商而言,除非關(guān)閉所有的計費通道,否則很難從根本上杜絕。“建議運營商做適當(dāng)?shù)谋O(jiān)控,并采取一些措施。在向SP釋放權(quán)限時也要更嚴(yán)格審核!
靳巖給用戶提供了一些建議,“安裝Android軟件時,請務(wù)必看仔細(xì)軟件權(quán)限提示,如明明不需要發(fā)送短信的,卻要求用戶認(rèn)可開發(fā)短信或彩信功能,那這軟件就有可能是吸費軟件!