近日，一個被命名為“DowginCw”的病毒通過插件的形式藏身多款熱門游戲應(yīng)用———“明星公主換裝小游戲”、“瘋狂小寶石”等，最近兩月已偷偷控制了國內(nèi)數(shù)十萬手機設(shè)備。目前，它仍“存活”在多個應(yīng)用商店中，日均感染量近萬臺。如果不慎感染，將帶來惡意扣費、破壞系統(tǒng)等問題，還可能讓你的手機變成“僵尸機”。

　　如果你遇到過以下幾種情況之一：在安裝和運行了一款A(yù)PP后，設(shè)備自動捆綁或不停下載其他惡意應(yīng)用、手機頻繁卡頓、手機剛充值就莫名其妙欠費了，那么你的手機有可能安裝了惡意APP。

　　根據(jù)通信行業(yè)標(biāo)準(zhǔn)《移動互聯(lián)網(wǎng)惡意程序描述格式》，具有惡意扣費、信息竊取、遠程控制、惡意傳播、資費消耗、系統(tǒng)破壞、誘騙欺詐、流氓行為等八種惡意行為之一，即被認定為惡意APP。一經(jīng)檢測發(fā)現(xiàn)，這些惡意APP將會出現(xiàn)在工信部每個季度公布的應(yīng)用軟件黑名單里。近日，南都記者統(tǒng)計近三年工信部公布的466款不良應(yīng)用軟件發(fā)現(xiàn)，超過八成的APP存在強制捆綁推廣其他應(yīng)用軟件的問題，惡意吸費和違規(guī)收集用戶信息的合計占比約16%。

　　“風(fēng)云直播”三年內(nèi)5登黑榜

　　“注意!這些APP太流氓了，趕緊卸載!”

　　2017年11月中旬，工信部公布了今年第三季度檢測發(fā)現(xiàn)問題的不良應(yīng)用軟件名單，其中就包括三款存在惡意吸費行為的APP，分別是在XP系統(tǒng)之家上線的“部落沖突”(V1.0.0.2)和生存游戲2(V1.0.0.2)，以及PC軟件下載站提供的“球球大作戰(zhàn)”(V3.0.0.7)。

　　據(jù)南都記者了解，工信部定期會對手機應(yīng)用商店的APP進行技術(shù)檢測，并公布每個季度的黑名單。

　　近日，南都記者統(tǒng)計近三年被曝光的不良APP，發(fā)現(xiàn)共有466款上榜。2015年一季度發(fā)現(xiàn)的不良應(yīng)用軟件最多，達到82個，最近一次是2017年三季度，共計公布了31款不良應(yīng)用軟件。

　　從榜單看，有384個APP涉及“強行捆綁推廣其它應(yīng)用軟件”的問題，占總數(shù)的82%.APP的這一“流氓行為”給用戶帶來的直觀感受是，比如剛下載一個用來錄音的APP，安裝后發(fā)現(xiàn)多出三四個游戲APP.而這些不明下載而來的APP又可能存在新的安全隱患。

　　在這些因捆綁其它應(yīng)用而被曝光的APP中，所涉及的類型眾多，包括系統(tǒng)工具、游戲娛樂和教育文化類。南都記者對比發(fā)現(xiàn)，一些名稱里帶有“ROOT”和“Wi-Fi鑰匙”的APP頻繁出現(xiàn)在黑名單中。需要當(dāng)心的是，手機一旦ROOT后，即被獲取最高權(quán)限，就容易被惡意軟件破壞，而通過工具破解Wi-Fi密碼，連上不明網(wǎng)絡(luò)，更是泄露個人信息的主要途徑之一。

　　南都記者統(tǒng)計發(fā)現(xiàn)，一款叫“風(fēng)云直播”的APP，從2015年二季度開始，連續(xù)4個季度在不同應(yīng)用商店檢測中都發(fā)現(xiàn)這個問題，共被5次點名曝光，涉及5個不同版本。是工信部公布的APP黑名單中上榜次數(shù)最多的一款。

　　此外，還有3款名為“GO桌面”、“百度手機助手”、“胎教音樂盒子”的APP，3次上榜。其中知名度最高的當(dāng)屬“百度手機助手”。數(shù)據(jù)顯示，2015年的一季度和下半年，“百度手機助手”因為“強制捆綁推廣其它應(yīng)用軟件”被曝光3次。所涉及的版本包括V6.2.0、V6.5.1和V6.7.0，而應(yīng)用的來源正是百度官網(wǎng)。南都記者注意到，目前“百度手機助手”可供用戶下載的最新版本是V8.0，沒有出現(xiàn)在工信部公布的黑名單上。

　　此外，APP過度收集用戶信息的現(xiàn)象嚴(yán)重，在被曝光的不良APP中，“未經(jīng)用戶同意，收集、使用用戶個人信息”占比8%，共有36款。其中多數(shù)是通訊類的應(yīng)用軟件，比如2016年三季度，在安卓商店檢測中發(fā)現(xiàn)問題的“網(wǎng)易通省錢電話”(V1.0.0)和“UU電話”(V3.5.4)。

　　南都記者統(tǒng)計，在今年前三季度，被曝光存在該類問題的APP就有6款，其中3款來自游迅網(wǎng)，分別是八分音符醬(V1.0.0.4)、暴力戰(zhàn)車(V5.0.0.9)、狂野飆車(V1.0.0.3)，均是游戲產(chǎn)品。剩下的3款則是在機鋒網(wǎng)上架的“野途”(V2.8.2)、九號安卓頻道提供的“我的世界”(V1.0.0.4)，以及應(yīng)用匯的互伴(V2.1.6)。

　　通過屏蔽二次確認短信“偷錢”

　　如果說“強制捆綁其它應(yīng)用”和“未經(jīng)用戶同意收集使用用戶信息”較為常見的話，那么在用戶不知情的情況下，操控用戶手機則讓人難以想象。

　　南都記者注意到，有7款A(yù)PP，因會在“用戶不知情的情況下，自動向外發(fā)送短信”而上黑名單。

　　此前，有細心的網(wǎng)友曾在某論壇上發(fā)帖稱，新買的手機只打了一個電話測試，從未發(fā)送過短信，但當(dāng)晚在運營商的網(wǎng)上營業(yè)廳查費時，竟發(fā)現(xiàn)有短信費用支出。

　　類似的案例并不少見，南都記者今年3月曾報道過，一名初三學(xué)生的手機頻繁被扣費，有一次短短10分鐘就收到35條短信，稱他開通了16項通信業(yè)務(wù)，共計被扣費156元。

　　一名技術(shù)專家向南都記者分析，手機自動發(fā)短信一般是為了訂閱無線增值業(yè)務(wù)(又稱作SP業(yè)務(wù))，所以會造成用戶手機被扣費。

　　此外，國家互聯(lián)網(wǎng)應(yīng)急中心高級工程師何能強告訴南都記者，靜默下載也是強制捆綁的一種形式。通過屏蔽二次確認短信的惡意游戲APP會導(dǎo)致惡意扣費。也就是說，即便在未收到短信提示的情況，用戶也可能被“偷錢”。

　　數(shù)據(jù)顯示，在工信部公布的違規(guī)APP總量中，惡意吸費的應(yīng)用軟件占比達到8%.在因惡意吸費而被曝光的35款違規(guī)APP中，基本上是游戲軟件。一款名為“開心連連看”的APP在2015年下半年曾三次上榜，分別在優(yōu)億市場、應(yīng)用酷和蘇寧易購應(yīng)用商店檢測出V2.6、V1.5.0及V3.1版本存在這一問題。

　　比較特別的是，今年一、二季度，工信部公布的兩款A(yù)PP甚至存在“惡意操控用戶手機”的問題，分別是IT貓撲網(wǎng)的“千尋免流”(V3.1.3)和金山手機助手的“開心連連看”(V1.6.0)。另外，2015年一季度有移動應(yīng)用商場的兩款A(yù)PP———“匆匆那年”和“撒嬌女人最好命”，被指收費后無法獲取視頻內(nèi)容。

　　有網(wǎng)絡(luò)安全工程師告訴南都記者，手機被惡意操控后，好比在你家的地下室打了一個通道，有人可以通過遠程發(fā)送指令，將你手機里的數(shù)據(jù)發(fā)送至服務(wù)器。如果手機因為系統(tǒng)漏洞被攻擊，獲取ROOT權(quán)限，那你家里的每個房間都能被訪問了。

　　觀察

　　成本低廉、審核漏洞　不良APP可改頭換面

　　據(jù)南都記者了解，一旦檢測發(fā)現(xiàn)存在問題，相關(guān)的APP都會被責(zé)令下架。根據(jù)工信部今年發(fā)布的《關(guān)于電信服務(wù)質(zhì)量通告》，通過聯(lián)合應(yīng)用商店、安全檢測廠商，已對其中存在問題的2494款不良手機應(yīng)用進行了下架處理。

　　然而，南都記者發(fā)現(xiàn)，不良APP仍屢禁不止。

　　惡意程序5元可以買到

　　一款不良APP被下架后，經(jīng)過一番包裝可能再次上線。而要制作一個APP并非難事，所需要花費的成本更是低廉。在APP產(chǎn)業(yè)鏈上，分布著開發(fā)者、渠道商、廣告商、手機商和運營商等角色。一款不良APP背后，上述每個環(huán)節(jié)都可能存在問題。

　　今年4月，南都調(diào)查手機“植入病毒”利益鏈，實測發(fā)現(xiàn)一款惡意程序5元可以買到，花200元可制作一款空殼APP，掛到網(wǎng)上后13天內(nèi)就有600多次點擊量，36人中招。

　　騰訊手機管家安全專家楊啟波告訴南都記者，惡意捆綁下載APP會導(dǎo)致用戶消耗流量，占據(jù)用戶手機內(nèi)存，造成手機卡頓變慢等問題。一般惡意推廣類APP還會偷偷下載安裝第三方軟件，安裝到用戶手機，賺取廣告費用。

　　“現(xiàn)在互聯(lián)網(wǎng)流量倒流已形成灰色產(chǎn)業(yè)鏈。”上海市信息安全行業(yè)協(xié)會專委會副主任張威說，一款熱門游戲在坐擁大量玩家后，游戲平臺可把流量轉(zhuǎn)賣給他人，比如通過升級應(yīng)用的版本加入插件，在用戶訪問APP的時候彈出廣告，讓用戶點擊直接跳轉(zhuǎn)到下載頁面。

　　據(jù)從事APP定制開發(fā)3年的張珂(化名)介紹，APP在開發(fā)上線后都需要獲取用戶，因而就有推廣需求。很多APP內(nèi)部有推薦位，一般選擇在用戶容易“點擊”的位置，推薦下載成功后可收取費用。按照推廣APP類型的不同，通常平均一個下載激活費用在10-50元，有些現(xiàn)金貸類應(yīng)用號稱一個真實用戶價格在100元以上。

　　另據(jù)南都記者采訪了解，部分APP開發(fā)商為了推廣，還會選擇賄賂小型的手機生產(chǎn)商，在手機硬件中預(yù)裝或自動下載惡意程序。

　　部分應(yīng)用商店不做檢測

　　大多數(shù)APP開發(fā)后都會提交到應(yīng)用商店發(fā)布，這樣能夠借應(yīng)用商店獲取更多的用戶，而上線一般需要經(jīng)過機器和人工的審核。

　　360手機助手運營總監(jiān)王佳增告訴南都記者，每款A(yù)PP上線之前都會經(jīng)過嚴(yán)格的檢測程序，一般分為資質(zhì)審核、安全檢測、實機測試、上線、關(guān)注反饋、定時回查。

　　據(jù)張珂介紹，國內(nèi)知名的第三方應(yīng)用商店和手機廠商的應(yīng)用商店，包括應(yīng)用寶、360手機助手、百度手機助手，以及小米、華為等。在開發(fā)者將APP上傳到這些應(yīng)用商店后都會自動進行病毒、安全性等掃描分析，發(fā)現(xiàn)問題應(yīng)用就無法上線。

　　然而，一些應(yīng)用商店的審核管理并不嚴(yán)格，部分缺乏安全檢測能力和運營技術(shù)支持的應(yīng)用商店甚至不做檢測，就直接上架問題APP供用戶下載。

　　南都記者統(tǒng)計上述被曝光的不良APP發(fā)現(xiàn)，它們出自93個手機應(yīng)用商店，其中百度手機助手、應(yīng)用酷、安卓網(wǎng)和蘇寧易購應(yīng)用商店被曝光的不良APP最多，均在20款以上。這也在一定程度上反映了，即便是知名的大型應(yīng)用商店也可能因為把關(guān)不嚴(yán)而讓不良APP上架。

　　被曝光的不良APP不僅可以在其它應(yīng)用商店下載，而且未被下架的其它版本還可能存在問題。南都記者發(fā)現(xiàn)，2016年厲害季度，“胎教音樂盒子”(V4.06)在百度手機助手上被檢測發(fā)現(xiàn)強行捆綁其它無關(guān)應(yīng)用。此前，它已經(jīng)分別在“琵琶網(wǎng)”和“3533手機世界”因同樣的問題被曝光。

　　12月12日，南都記者實測發(fā)現(xiàn)，這款A(yù)PP4.05版本在百度手機助手仍可下載。頁面相關(guān)信息顯示，“胎教音樂盒子”的下載次數(shù)達到378萬，并被應(yīng)用商店檢測出含廣告的問題。

　　聲音

　　專家：平臺方也需要承擔(dān)責(zé)任

　　一款不良APP背后，因為開發(fā)者惡意“植毒”，渠道商和廣告商的捆綁操作，應(yīng)用商店的審核不嚴(yán)，以及第三方網(wǎng)址鏈接的惡意傳播，都可能會令用戶最終中招。

　　針對不良APP的問題，南都記者注意到，2013年，工信部聯(lián)合其他部門推出《信息安全技術(shù)公共及商用服務(wù)信息個人信息保護指南》，明確了一些APP應(yīng)當(dāng)遵循的基本原則，包括目的明確、最少夠用、公開告知、個人同意等。

　　去年6月，網(wǎng)信辦發(fā)布的《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》也指出，移動互聯(lián)網(wǎng)應(yīng)用程序提供者應(yīng)當(dāng)保障用戶在安裝或使用過程中的知情權(quán)和選擇權(quán)。未向用戶明示并經(jīng)用戶同意，不得開啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能，不得開啟與服務(wù)無關(guān)的功能，不得捆綁安裝無關(guān)應(yīng)用程序。

　　上海市信息安全行業(yè)協(xié)會專委會副主任張威建議應(yīng)加大對不良APP的整治力度，同時對APP收集信息進行規(guī)范。他告訴南都記者，實際上，不少應(yīng)用商店對APP的審核管理還是較弱。但根據(jù)今年6月正式施行的《網(wǎng)絡(luò)安全法》要求，如果在某個應(yīng)用商店發(fā)現(xiàn)不良APP，那么平臺方也需要承擔(dān)責(zé)任。

　　張珂則指出，不僅要明確應(yīng)用商店的責(zé)任，還包括開發(fā)者、手機廠商。在他看來，讓手機廠商來做安全防范是避免安裝不良APP的重要方式之一。因為用戶安裝一款安卓APP，需要先下載安裝包。這時手機廠商可對此進行安全檢查，如發(fā)現(xiàn)不良APP能及時處理或給用戶風(fēng)險提示。

　　而從用戶角度看，騰訊手機管家安全專家楊啟波建議應(yīng)避免在小型電子市場下載APP，也不要通過不明網(wǎng)址直接安裝，應(yīng)該選擇大型安全的電子市場，或者直接到APP的官方網(wǎng)站下載，同時安裝專業(yè)的手機安全軟件，幫助識別各類風(fēng)險應(yīng)用或惡意軟件。

　　張威進一步強調(diào)，用戶應(yīng)該養(yǎng)成“盡量給最小授權(quán)”的習(xí)慣。“你開放的權(quán)限越多，相當(dāng)于送出了越大的禮包。”