8月2日,一款名为“蝗虫”的超级手机木马疯狂肆虐,一天之内发送500万条带有木马链接的短信:“×××(短信接收者姓名)看这个:http://cdn……××shenqi.apk”,造成超过50万人民币的直接经济损失。仅在木马暴发17个小时之后,制作者李某就被警方抓获,经调查,李某是一名大一的学生,制作手机木马只是觉得很“拉风”。
360手机安全专家万仁国对此分析称,这款蝗虫木马本身技术含量不高,但其传播路径却结合了社会工程学的特点,利用了基于通讯录的社交网络,并利用普通用户在假期普遍防范意识低的心理,“说是中国安卓手机历史上第一次公共安全事件也不为过。”在万仁国看来,这次七夕蝗虫超级木马的突袭,已经预示着PC时代的安全攻防即将在手机时代重现。
万仁国不无担心地说,这个案例在黑产行业能够产生多大的示范效应现在还不得而知,“但类似的‘虫害’,以后还会有。”
“蝗虫”木马七夕暴发
8月2日七夕节一大早,“蝗虫”木马暴发。
如同真实生活中的病毒感染一样,这款安卓手机的“超级木马”来势汹汹。
事实上,早在7月28日360手机安全中心捕获该木马样本,但是并未大范围感染,直至8月2日早上8点,该木马突然呈现出暴发式的传播态势。
经过样本分析,万仁国发现这款大范围传播的手机木马犹如蝗灾一样,只要一台安卓手机中招,手机通讯录中的所有联系人都会成为下一个攻击目标,因此,将这款手机木马命名为“蝗虫”。
“蝗虫”超级手机木马主要有五大危害,首先,会群发带毒短信。手机一旦中招,“蝗虫”木马会读取手机通讯录中的联系人列表,并向所有联系人群发包括木马下载地址的欺诈短信,极具扩散能力。短信中会显示短信接受者的姓名,极具迷惑性。
其次,该木马还能窃取隐私信息。万仁国介绍,感染了“蝗虫”木马后,手机会出现要求用户填写用户名、密码、姓名及身份证号等隐私信息的界面,提交后会发到一个指定的手机号码上。
再次,“蝗虫”手机木马可伪造或删除任何短信内容;转发手机中所有短信到指定的手机号码,包括支付验证码短信。
除此之外,手机安全专家还发现,“蝗虫”木马诱骗用户下载的“××神器”也不简单,在安装时会同时释放具备更多恶意行为的恶意子包,恶意子包一旦安装,会将图标隐藏,即使删除了“××神器”,木马依然可以作恶。
经过统计,仅在8月2日一天,“蝗虫”手机木马就发送了500万条带“毒”短信,按每条0.1元计算,造成了手机用户50万的话费损失,共有约50万人点击短信链接将恶意程序安装到手机中。
2日18时,犯罪嫌疑人李某被捕,3日17时左右,“蝗虫”超级手机木马的传播源被封,至此,传播范围影响全国的超级手机木马不再具有广泛传染性。
木马传播态势迅猛
事后,网络上涌现出大量关于“××神器”“蝗虫”超级手机木马的报道,也有技术爱好者分析被公开的木马代码,指出这款手机木马实际上技术含量并不高。警方对李某调查时,李某也坦言,这款手机木马是他看了一个星期的书写出来的。
纵观整个超级手机木马事件,这次手机木马暴发呈现出四大特征,第一,木马简单但是传播路径结合了社会工程学的特点,利用基于通讯录的社交网络,态势迅猛、烈度高;第二,手机木马作者年龄小,技术“级别”低;第三,虽然木马制作并不成熟,但制作者存在恶意盗刷网银的潜在目的;第四,犯罪嫌疑人在木马爆发24小时之内被抓获。
据了解,犯罪嫌疑人李某仅有19岁,是中南大学软件工程专业大一的学生。据李某供述,制作此款恶意程序的动机就是“为了好玩”“想做一款能够大范围传播的软件以证明自己”。但是,万仁国通过对李某预留在代码中个人账号的分析,指出他曾经在论坛询问过利用木马盗刷银行卡的问题,而通过“蝗虫”窃取隐私也表明他有类似恶意目的。
这不禁让人想到制作“熊猫烧香”的“毒王”李俊。2007年,憨态可掬的熊猫图标占领了无数电脑的屏幕,病毒作者、毕业于一家水泥厂技校的李俊也被黑客江湖追捧为“毒王”。在中国互联网发展历史上留下另类一笔后,时年25岁的李俊迅速被捕入狱。
广东大同律师事务所主任朱永平律师表示,李某的行为涉嫌违反了刑法第286条所规定的破坏计算机信息系统罪,根据相关司法解释,手机是通信设备,也属于计算机系统。按刑法规定,故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,可处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
手机安全需多方保障
经过安全厂商、运营商、安全主管部门以及警方的通力配合,“蝗虫”超级手机木马的恶劣传播态势被迅速控制住。但是,长期以来,我国智能操作终端系统为苹果、谷歌和微软所控制,缺乏自主掌控的智能终端操作系统,数以“十亿”计的智能终端用户信息遭受严重潜在威胁。
目前,安卓智能手机的出货量不断攀高,今年第二季度的市场份额已经达到85%,但安卓系统的开源特征也使得绝大部分手机木马都是针对安卓平台。
360发布的手机安全报告显示,2014年上半安卓平台新增恶意程序样本超过84万个。其中,二季度共截获新增恶意程序样本约62.5万个,较2014年一季度环比大幅增长191%,平均每天截获新增恶意程序样本约6868个。安卓手机系统的安全性面临越来越多的挑战。
“‘蝗虫’超级手机木马暴发时间短、分布广、烈度高、传染性强,可以说是安卓手机木马史上的一次分水岭。”万仁国这样总结,“手机越来越智能,可以读取你的位置、联系人甚至短信,这些功能在为用户提供便捷的同时,也带来了安全隐患。如果说在PC时代,电脑是工具的话,在移动互联网时代,手机已经变成了你的器官。”
360手机安全事业部负责人姚彤认为,整个行业都缺乏安全性知识,开发水平低劣造成的安全漏洞是很大的风险。“蝗虫”手机木马借助短信链接扩散,虽然这款手机木马的结构并不复杂,技术含量和制作成本都比较低,改写一款类似的手机木马往往只需要几分钟的时间,但是借助熟人传播的方式也暴露了社交网络时代安全防护的脆弱性。
手机木马已经形成了黑色产业链,从木马制作者到贩卖者上下游配合,通过预装恶意程序、伪装正版软件等方式,将手机木马植入到安卓手机中,长期潜伏窃取手机用户话费甚至盗刷网银。姚彤表示这类病毒的特点是做一单是一单,每单金额比较大,目前还处于闷声发大财的状况。
而“超级手机木马”大规模暴发,反而证明了木马作者技术不够成熟。姚彤透露,采用云技术拦截这样的手机木马仅需几秒钟时间,但仍然有数十万手机用户感染木马,确实说明手机用户的安全意识有待提升。
正是手机木马黑色产业有利可图、犯罪成本低、手机用户安全防护意识差,才使一个技术含量并不高的手机木马“超级”起来。随着移动互联网的飞速发展和使用群体数量的骤增,如何应对这一领域内产生的新型网络信息安全问题,如何迎战下一波“虫害”,已然迫在眉睫。