數月來，從《恐怖！700元就買到同事行蹤，包括乘機、開房、上網吧等11項記錄》開始，到互聯網黑灰產業鏈調查，南都持續關注公民個人信息、隱私泄露與被盜。

近日，南都記者再次調查發現，手機惡意程序可以做到侵入用戶手機、獲取個人短信、通訊錄等信息，用戶卻毫不知情。

然而，這類惡意程序在QQ群里，淘寶網上肆意售賣。即使不會制作，花費20元，甚至5元就能買到。在這個產業鏈上，還有人專門出售釣魚網站，以供惡意程序傳播。

南都記者花了不到200元，請人制作一個空殼App，以“安裝送話費”掛到網上，短短13天內，就有656次點擊量，更有36人安裝、運行了App.如果此App系惡意程序，恐怕這些人都已中招。

資深“白帽黑客”提醒，手機病毒多發生在安卓平臺，是因為“國內安卓環境太差了，隨便一個應用都要你的聯系人權限，恨不得把所有權限獲取一遍”。而當這些應用的服務器被入侵，公民的個人隱私也將遭泄露。

手機惡意程序悄然傳播

家住貴州的初三學生曾勤績（化名），近來遇到一件煩心事。

去年12月31日開始，他的手機頻繁被扣費，甚至有一次短短10分鐘就收到35條短信，提示他開通了天翼閱讀、口袋問答等16項業務，被扣費156元。

當時他正用手機上網查詢作業答案，突然彈出來一個二級頁面，提示“輸入手機號查看答案”，不料剛填入手機號，35條扣費短信就“轟炸”了過來。曾勤績只好挨個給公司打去電話，要求取消業務。

對此，一家公司的技術人員表示，他們常收到類似的投訴，原因一般是手機用戶下載到了惡意程序。

“這樣的情況，在手機市場上非常普遍。”騰訊手機管家安全專家陳列告訴記者，用戶無緣無故被扣費，這個功能只能算手機惡意程序中的小兒科。

根據《騰訊安全2016年度互聯網安全報告》，2016年中國手機網民有6億多人，惡意程序感染人次卻超過5億。可怕的是，大部分程序都能刪除短信、隱藏圖標。這就意味著，黑客可以發送短信開通業務，用戶卻毫不知情。

“手機惡意程序已經形成一條黑色產業鏈，制作、傳播、詐騙、洗錢，各個環節已近完備。”陳列告訴南都記者。

網店公然銷售惡意程序

南都記者歷時數周調查發現，這條黑色產業鏈門檻并不高，即使看不懂代碼，也有很多人違法進入這個行業。

以危害程度較低的惡意程序———“靜默安裝”為例，淘寶就有大量店鋪出售。

其中一位店主張先生表示，他能修改App的源代碼，偽裝成普通App的模樣，下載安裝后，一時半會看不出異樣。夜里用戶睡著時，這個程序能控制手機，捆綁下載其他App，整個制作過程只需要2000元。而此后要做的，只是誘導用戶下載這款山寨App.

張先生認為，這類程序“沒有惡意”。“捆綁安裝其他App，只是做一個廣告推廣，怎么能說有惡意呢？”

然而，根據工信部《移動互聯網惡意程序監測與處置機制》，存在竊取用戶信息、擅自使用付費業務、發送垃圾信息、推送廣告等行為的，均被認為是“惡意程序”。

南都記者發現，該店鋪同時售賣A pp的源代碼，其中包括某國企的辦公系統。張先生聲稱，這些A pp都是對方公司邀請他參與制作的，未經對方同意便拿來販賣，是他工作之余的“私活”。

像這樣承接“靜默安裝”業務的，在淘寶上另有多人。記者走訪發現，這些賣家均不認為自己的行為有所不當。

像“靜默安裝”這樣的資源消耗類程序，已經占據黑色產業鏈的半壁江山。《騰訊安全2016年度互聯網安全報告》顯示，在去年檢出的6682萬次手機惡意程序中，84%屬于資源消耗類，能控制手機自動聯網、下載、發送短信等。

除了靜默安裝以外，大量淘寶店還公然出售釣魚網站的模板。

這些模板多數偽裝成色情網站，用戶可以看到5-10秒的色情影片，此后網頁跳出提示，“無法繼續播放，因為檢測到你沒有安裝某某播放器。”如果用戶點擊下載，最后可能會發現，自己安裝的是另一款程序。

一位淘寶店主聲稱，他并不使用這些釣魚網站，只是把模板賣給別人。但對于買家用來推廣什么程序，店主則稱“不清楚”。

然而，把惡意程序植入色情釣魚網站，卻是黑色產業鏈的常見做法。一位互聯網安全專家告訴記者，他檢測過網上流傳的所謂“色情播放器”，發現基本都帶有惡意程序。

5塊錢就能買到惡意程序

南都記者臥底發現，另有一款名為“鎖機”的惡意程序，門檻更低，只需20元，甚至5元就能買到。

記者通過檢索，發現大量QQ群販賣鎖機程序。用戶下載鎖機程序后，手機會被鎖定，無法進行其他操作。此時，手機屏幕上會顯現制作者的聯系方式：“解鎖找某某，只需20元。”

甚至還有初中生參與其中。

阿鵬開發出鎖機病毒時，正在上初三。他告訴記者，自己先是中了別人的病毒，花了25元解鎖后，才接觸到這個技術。

去年4月，阿鵬開始學習安卓技術，2個月后，第一個鎖機程序制作完成。此時，阿鵬在網上發布消息，宣稱只要安裝這款程序，就能免費升級QQ會員。用戶中招后，通過阿鵬留下的聯系方式，轉去20元錢，才能順利解鎖。

不過，阿鵬自稱這番敲詐手法給他帶來還不到200塊收益。“大多數用戶聯系我，并不會給錢，而是把我罵一頓，然后去手機店修理。”

阿鵬的鎖機程序，甚至被收錄進某大型公司的年度互聯網安全報告，他也樂于向別人展示這個成果。“我們這個年紀的，都喜歡炫耀。”

阿鵬也被一些別有用心的人盯上。去年6月開始，每天都有10多人找到阿鵬，請他做鎖機程序，讓他傳授鎖機技術。多方利益圍獵，仍未引起他的警覺。別人甚至無需驗證，就能直接添加他為Q Q好友。“能給我的QQ空間漲人氣。”阿鵬引以為豪。

新學期開始，阿鵬已經不再處理生意，理由是“沒有時間”。最后，他也告訴記者，放棄生意的真正原因，是因為不賺錢。“太多人在做了，如果真能賺錢，我會輕易放棄嗎？”

阿鵬告訴記者，6月放暑假時，一個鎖機病毒還能賣到20塊錢，學生們開學后，QQ群里生意冷清，一個病毒只能賣5塊錢。

支付寶短信偷偷被轉走

與鎖機程序同樣低門檻，卻更加危險的程序，叫“攔截馬”（也稱“攔截碼”）。同樣的，也存在大量QQ群，公然售賣這一程序。

南都記者在一個名為“AIDE攔截碼”的QQ群里發布求購消息，立即有5人私聊記者，聲稱“有貨”，開價從20元到50元不等。

最終，記者與“瀟子傲”談好價格，不到3分鐘，記者就收到了這款程序。“只要別人下載安裝，你就可以接到他手機的全部短信。”

記者的同事親身體驗，發現安裝時并不需要任何權限。安裝完成后，屏幕上顯示圖標，同事點擊圖標，卻瞬間閃退，圖標也從屏幕上消失。

此后同事每收到一條短信，都能自動發送到記者手機中，短信資費由同事承擔。

“瀟子傲”又提示記者，只要再轉賬300元，他就能教授制作攔截馬的方法。據悉，攔截馬的制作流程非常簡單，短短幾行代碼，可以免費下載、互相抄襲，只需把自己手機號、郵箱地址填入其中，一個手機病毒就制作完成了。用戶安裝病毒后，短信將發送到制作者的手機、郵箱中，用戶渾然不知。

在“白帽黑客”顧鈺偉（化名）的幫助下，南都記者進入某不法分子的郵箱，發現該郵箱已監控了5人的手機，這5臺手機的短信和通訊錄號碼都被收錄進來。

以其中一名受害者為例，從2015年12月12日起，她一共收到10條支付寶的驗證短信，“支付寶校驗碼：347050，打死都不能告訴別人哦！”這些短信都被收錄進郵箱。犯罪分子可以利用驗證碼，登錄他人支付寶、網銀，實現轉賬、盜刷等目的。

以中國裁判文書網上的《吳振慶破壞計算機信息系統二審刑事裁定書》為例，犯罪嫌疑人利用類似的惡意程序，監控了121臺手機設備，并盜刷他人銀行卡，最終被判有期徒刑5年。裁判文書顯示，犯罪嫌疑人使用的惡意程序，也系網上買來。

鎖機、攔截馬程序，正以一種傳銷式的方式在推廣。制作者一般會加入QQ群，付錢購買病毒、學會技術，然后自己創建QQ群，進行二次售賣。“瀟子傲”宣稱，他有一個700人的QQ群，其中300人買過他的程序。“放心，都沒有被抓。”

記者發現，在一個名為“攔截碼”的貼吧中，制作者爭先恐后拋出廣告，天天頂帖。購買者求碼心切，“找合作，利潤評分，我知道有個賬戶有20萬。”

App傳播渠道亂象叢生

手機惡意程序制作完成后，不法分子可以利用多種途徑進行傳播。

其一是投放釣魚網站。南都記者發現，這類釣魚網站非常泛濫，一般打著色情的旗號，引誘手機用戶下載“專用播放器”，以觀看色情影片。

騰訊手機管家安全專家陳列告訴記者，釣魚網站需要頻繁更換域名、服務器等，操作比較麻煩，往往需要專門的人來制作、維護網站，他們也是靠產業鏈養活的一員。

另一種傳播途徑，是群發短信鏈接。

記者進入的不法分子郵箱顯示，3月12日18時，犯罪分子控制某受害者的手機，給通訊錄好友群發了短信，內容為“某某，你看一下，spmdd.com/you.”如果有人點開鏈接，同樣將中攔截馬病毒。

病毒推廣的背后，還有一些“廣告聯盟”在推波助瀾。與淘寶刷單類似，廣告聯盟旗下有眾多員工，專門下載、安裝App，提升該App的人氣。

記者以App開發商的名義，聯系上一家名為“1717金融團隊”的廣告聯盟。一位負責人表示，他可以幫記者的A pp實現刷單和注冊，每單3.5元。記者了解到，每下載一次App，普通員工一般只能賺到1元錢。這意味著，剩下的2.5元都進入了廣告聯盟老板的腰包。

更不可思議的是，當記者說明自己的App系山寨貨，可能涉嫌侵權，該負責人卻宣稱，“我們推廣的山寨A pp太多了。”而當記者明確表示App帶有惡意程序、能監控短信后，該負責人依然愿意提供服務。“這個我們不管，出了事你負責，我們也不用承擔責任。”

“現在大部分的中小型廣告聯盟，管理都很混亂。”陳列告訴記者，廣告聯盟推廣的App魚龍混雜，是惡意A pp傳播的途徑之一。

甚至連刷機也有可能出現風險。

早在2013年，就有刷機愛好者在論壇發布消息，指責某款ROM（刷機素材）預裝的App，非但沒有圖標，反而私自發送、監控短信。據悉，該ROM是一位網友自發制作、分享。

對此，機鋒論壇的知名RO M制作者馬超表示，App開發商與ROM制作者之間存在利益交換，早已成為行業潛規則。

馬超告訴記者，此前有多個開發商找到他，要求在ROM中預裝App.“一般我不亂接，沒聽過的一律回絕或無視掉了。”

馬超自稱，他預裝的A pp，都來自360、騰訊等知名公司，在發布RO M之前，他也會在自己的手機上試運行，檢測是否有毒。

馬超表示，預裝A pp是民間RO M制作者唯一的收入，按運行次數付費，“一臺機器首次運行才計算（一次）”。

惡意程序也在走出國門。樂蛙科技有限公司的海外業務負責人周先生稱，部分A pp開發商為了推廣，會選擇賄賂手機生產商，在手機硬件中預裝惡意程序。周先生介紹說，印度市場上的手機，部分是國內代工的，就出現過這種情況。

200元做App13天36人中招

然而，在顧鈺偉看來，市面上流行的大部分手機惡意程序，都是“小學生做的東西”。“一般我們不會去注意寫鎖機的人，太弱了。”

顧鈺偉是在校大學生，每天課程結束后，便會坐在電腦前，檢測各網站漏洞，為網友講解手機病毒的原理。與鉆漏洞謀利的“黑帽黑客”不同，他是一名“白帽”，專門尋找漏洞、及時匯報。

顧鈺偉告訴記者，App之所以能控制手機，是因為獲取了足夠的權限。“鎖機A pp打的標題，可能是‘秒領20元紅包’、‘王者榮耀輔助’等，正是這些很有誘惑力的字眼，促使用戶一路綠燈，開放權限。”

顧鈺偉與這些病毒的作者打過交道，此前他們是互通技術的朋友。“最初大家都是黑客，但黑客也是人，也有好人、壞人，所以一部分開始給企業找漏洞，報告給他們，成為白帽，一部分販賣漏洞，成為黑帽。”

發現朋友在做不正當生意后，顧鈺偉與他們斷交。據顧鈺偉介紹，這批人目前已潛逃東南亞，遠程操作國內互聯網市場。

目前，東南亞已經成為手機病毒的重要來源地。病毒竊取用戶個人信息后，能控制論壇賬號，發送網絡賭博的廣告。這些網絡賭博公司，都設立在賭博合法化的東南亞國家。

近日，公安部破獲了一起特大竊取出售個人信息案，涉及被竊信息50多億條，就與網絡賭博有關。

雖然相關部門正積極打擊，但仍無法阻止犯罪分子繼續違法。一個名叫“攔截馬”的貼吧已經被封，而另外一些名叫“攔截碼”、“中國攔截馬”、“短信攔截馬”的貼吧得以建立。

一個原名為“AIDE攔截碼”的QQ群，數天前改名為“我愛騰訊、騰訊愛我”，群管理員告訴記者，騰訊正在嚴查QQ群。16日，該群名重新改回“AIDE攔截碼”。

手機病毒泛濫成災，正是因為有市場存在。

南都記者制作了一個空殼A pp和下載鏈接，模擬手機惡意程序的流通過程，由深圳市非凡之星網絡科技有限公司免費提供技術支持。

在傳播下載鏈接時，南都記者加上“安裝送話費”、“免費看美女圖片”等理由，短短13天內，就有656次點擊量，更有36人安裝、運行了App.如果該App系惡意程序，這36人都將中招。整套流程走下來，南都記者購買服務器及域名只花了不到200元。

如何防范

病毒多發生在安卓平臺

“白帽黑客”顧鈺偉認為，手機病毒多發生于安卓平臺，是因為“國內安卓環境太差了，隨便一個應用都要你的聯系人權限，恨不得把所有權限獲取一遍”。而當這些應用的服務器被入侵，公民的個人隱私也將遭泄露。

iOS更加封閉、更加安全

“相比安卓系統，iOS更加安全。”深圳市非凡之星網絡科技有限公司的研發經理朱鵬說，iOS的App開發商，需要向蘋果公司申請賬號，共有企業、公司、個人三種類型的賬號。除了企業賬號可以使用獨立服務器、供人下載外，公司、個人賬號制作的App，都需要上傳至蘋果的官方應用市場，審核嚴格。“對于資質齊全、效益良好的企業來說，一般又不會制作惡意程序，因此iOS設備較少中毒。”

朱鵬也介紹，安卓手機安全隱患更大，根本原因不在于系統本身，而是安卓的開放性所導致的，程序能夠獲取的權限較多。

然而谷歌公司仍宣稱將堅持開源政策。在美國時間3月10日的谷歌云大會上，谷歌副總裁Vint Cerf稱，互聯網本身就有開源的屬性，沒有開源就沒有互聯網，沒有互聯網就沒有谷歌公司。

與此同時，蘋果公司正變得更加“封閉”。3月8日，iOS系統的App開發者收到郵件，主要內容是，禁止在App里進行某些技術的熱更新。這意味著，一些App的更新將無法在應用內直接進行，而是必須移步官方應用市場重新下載。

“蘋果公司的這一政策，意味著iOS將更加封閉、更加安全。”朱鵬告訴記者，官方應用市場下載的App可能剛開始無毒，卻能通過熱更新植入病毒。

防病毒安裝殺毒軟件

那么該如何防范日益猖獗的手機病毒呢？

“給一個安全專家都會給的建議，安裝一款殺毒軟件。”顧鈺偉說。

“不要隨意掃描二維碼、或通過第三方鏈接下載文件，應前往正規應用市場下載。”朱鵬建議。

可惡意程序早已做好應對工作。在一些QQ群內，已經有多人宣稱，他們販賣的攔截馬可以“反殺”，殺毒軟件檢測不到。更嚴重的是，即使在應用市場，也可能下載到山寨App.

相關數據顯示，App的仿冒問題非常嚴重，平均每個App的山寨版本達到34個，57%的山寨應用有隱私竊取、盜費等惡意行為。

與此同時，大多手機用戶似乎還沒有注意到，手機惡意程序的兇猛發展態勢。“這些白帽就是搞安全的，當然會把安全問題說得很夸張。”前述淘寶店主張先生表示，自己就是從事軟件開發的，從來沒有安裝過殺毒軟件。“換句話說，就算你的短信泄露了，又能怎么樣呢？”

現實卻是，哪怕是一個初中生，也有多種渠道傳播惡意程序，并利用多種方式變現，這值得手機用戶提高警惕。