给你米、泡椒网恶意篡改热门Android软件
IT时报记者 林斐
Android手机国内大卖,吸费软件也搭上了顺风车,篡改热门Android应用软件,加入恶意扣费代码,此类现象在国内已经呈现蔓延态势。《IT时报》记者调查发现,来自“给你米”广告联盟和泡椒网的恶意扣费代码,已经让不少Android用户中招,被扣掉了不少的话费。
扣费过程用户毫无察觉
国内著名的Android Rom(非官方系统)制作者啊兴也是诸多不幸者之一。他告诉《IT时报》记者,“本来之前就已经听说恶意扣费的事情,但是我以为是由于用户没有关闭手机上网功能而造成的。”但去年12月29日,啊兴却发现自己的话费里突然多了五十多元的增值服务费,这才警觉起来。
紧急核查后,他将目标锁定在一款名为“骷髅塔防”的游戏上,这款软件在安装时会显示需要发送短信的操作权限,而正常情况下,这样的游戏是根本不需要短信功能的。分析后,发现这个软件已经被篡改,加入了恶意扣费代码。
“这段代码每次会随软件正常启动同时运行。运行过程中会在用户毫不察觉的情况下,采集用户手机号、IMSI、ICCID、IMEI等个人隐私信息,然后将这些信息发送到专有服务器上。服务器收到信息后,会返回指令告诉扣费程序发送短信至指定的电话号码,并且偷偷安装指定软件。”啊兴向记者解释,“一般情况下,订阅扣费的增值服务,手机都会收到扣费短信提醒。而这段代码‘高明’的地方在于其内置了防火墙功能,会提前对运营商发送的确认扣费的短信进行拦截,用户手机上也就不会收到任何提示,就这样不知不觉中话费被扣掉了。”
发现了问题的严重性后,啊兴一方面在微博上紧急公布了消息,同时身为Android网站N多网的技术主管,他将情况告诉了自己的老板——N多网创始人陈羽中。
已发现70多款被篡改软件
其实早在2天前,陈羽中 就发现了一件蹊跷事。有家广告联盟网站找上门来,想请N多网帮助付费推广几款软件,不过对方发过来的软件却让陈羽中 很惊讶,分明是N多网汉化后的产品。“为什么我们自己的软件,对方要帮着推广,还要倒给我们钱,这明显不合理。”陈羽中 告诉记者,“我让技术工程师去分析后发现,软件被篡改过了,里面加上了扣费代码。”
经过啊兴和同事分析后发现,恶意扣费代码的来源指向“给你米(geinimi)”广告联盟和泡椒网两家网站。
3天轮班倒的排查,目前N多网上8000多个软件已经清查完毕。N多网的小团队没闲着,还广泛收集国内多家Android论坛上的软件,将被篡改后的软件名称在N多网上公布了出来。截至目前,已经公布了近70款软件,涉及国内目前多款热门游戏和软件。
知名网站上也有扣费软件
根据啊兴提供的病毒样本,记者1月1日选择了一款名为“骷髅塔防”的软件进行安装,果然发现了在安装时权限提示页面有“发送短信”的选项。
随后记者对比检查了篡改软件和原版软件的源代码,果然篡改版本软件中已经添加了发送短信的代码。随后通过搜索引擎,记者又在3家小型的Android软件下载网站上找到了同样的篡改版本软件。
此后记者又在国内几家大型的Android软件网站下载了近10款不同的热门游戏软件,其中在91手机娱乐门户旗下Android中文网上就下载到了一款被“给你米”动过手脚的软件。
8月已起苗头 10%软件存在风险
记者调查后发现,其实早在去年8月,国内众多论坛上已经陆续发现扣费软件。机锋网副总裁徐威特告诉《IT时报》记者,“8月底机锋网就在论坛上检测到了‘给你米’,9月初机锋网在论坛对用户做了预警,开设了专门的举报版块,同时将‘给你米’提交给了各大杀毒软件厂商。”徐威特还表示,在发现“给你米”的同时,他们对自己官方的下载渠道——机锋市场内的近7000个软件进行反复审核。“大部分有短信收费权限的产品,在我们这里都做了重新下架,同时进行人工和技术双重审核。”
截至2010年底,Android的应用程序数量超过20万,累计下载次数达到25亿次。而在中国,Android应用程序开发市场也是日益膨胀,目前第三方应用商店已经有40多家,据徐威特估计,目前国内的Android软件已经超过十万,大约10%的Android应用软件存在各种恶意扣费的程序设置。
对于开发用户上传的机锋网论坛,机锋网也针对上传功能做出了限制。“目前每天都可以排查出一部分恶意上传的文件,都进行了删除处理。”
他分析认为,做恶意扣费代码也就几个公司,“他们本身没有开发受用户欢迎热门软件的能力,所以专找热门软件篡改下手,甚至包括了QQ。我们论坛封了至少几十个IP地址,但是对方目前已开始使用动态IP了。而且我们曝光后还有人故意给机锋网自己的软件加恶意代码,栽赃我们。”
原创开发者很无奈
被“给你米”盯上的热门应用开发者也很无奈,国内热门的Andorid软件“365日历”就曾遭遇过一场风波。
去年12月中旬,在一家Android论坛上有用户投诉365日历私自扣费。365日历的开发者很重视,立刻核查后发现,该用户在论坛上下载安装的软件版本和官方版本不一致,里面被加入了恶意扣费代码。365日历随后在论坛公开了情况说明,同时提醒用户不要随便安装论坛中不明身份用户共享的软件,最好到官网或谷歌官方电子市场下载。
365日历官方群的管理员小龙告诉记者,目前他们只查到一个被篡改的版本,当时很多网站都有,同样是“给你米”干的,“但我们也没有能力继续追查下去。”
恶意代码已出现变种
美国移动安全公司Lookout Mobile Security近日在自己网站上公布了“给你米”恶意代码的分析情况。该公司直接把“给你米”定义成木马程序,整个运行机制和啊兴的分析完全一致。同样,该公司也表示“给你米”的作者显示出了高超的程序代码混淆技术,增加了安全工作人员的工作难度,同时Lookout还判断“给你米”很快就会出现变种病毒。
Lookout的预测从国内安全厂商网秦处得到了印证,据网秦“云安全”分析中心得到的数据显示,在不到2个月的时间内,“给你米”变种已超过10个。
N多网目前已经开发了手机和PC版检测软件,帮助用户查找恶意扣费软件,盛大Android技术经理何晓杰得知消息后,花了2天时间,也开发出了针对这次暴露出来的恶意扣费代码的手机版权限检测软件。
域名注册人矢口否认
Lookout分析时提到了“给你米”恶意扣费时用了五个域名。据《IT时报》记者调查,这些域名注册人信息均指向居住在上海闵行的刘某某。记者电话联系上了刘先生,在交谈中,他承认这五个网站均是自己注册的,同时也坦言自己与“给你米”广告联盟有关系,但他否认了“给你米”在做扣费软件。
目前这5个域名均无法访问,而早前所查出的“给你米”官方网站也已经无法访问。
不过另外一家恶意扣费代码的源头——泡椒网则不一样了,这家网站在国内移动互联网行业名气不小。据公开资料显示,成立于2006年的泡椒网,目前是国内知名的手机软件下载网站,曾先后被多家杂志和产业联盟评选为国内100强移动网站,还是网易、天涯和OPERA等多家网站的软件频道代理运营商。遗憾的是,到记者发稿时为止,尚未联系上泡椒网人士。
但是陈羽中 告诉记者,曾经有泡椒网的工作人员托关系向他打招呼,希望他能够删除微博有关泡椒网的相应发言,“我希望泡椒网能够就这件事情有一个公开说明,但他们至今没有反应。”
幕后黑手仍然是SP
何晓杰对《IT时报》记者表示,他曾经非常看好泡椒网,但是事情出来后,他只能长叹一声“人心不古”。
Android业者,eoe开发者社区CEO靳岩告诉记者,类似恶意扣费的情况最早是从山寨手机开始的,后来蔓延到Symbian智能手机平台,现在转到Android平台上。而现在Android恶意代码事件,明显就是恶意软件开发者和SP相勾结,一起来欺骗用户。
何晓杰告诉记者,恶意软件的表现目前来看主要有以下几种:短信业务扣费、联网扣费、拨打电话扣费、收集用户隐私信息等,而短信扣费是目前被用得最多的一种。“目前SP行业,除了几个名声在外并且信用过关的企业外,大部分SP都是恶意的,这个行业反正已经毁了”。
徐威特向记者透露,目前他们查出的参与此次恶意扣费的SP有好几家,主要集中在深圳和泉州,都是投诉大户。他向记者表示,“运营商应该更严格的管理SP,发现一次恶意扣费,直接封杀”。
靳岩也认为对于运营商而言,除非关闭所有的计费通道,否则很难从根本上杜绝。“建议运营商做适当的监控,并采取一些措施。在向SP释放权限时也要更严格审核。”
靳岩给用户提供了一些建议,“安装Android软件时,请务必看仔细软件权限提示,如明明不需要发送短信的,却要求用户认可开发短信或彩信功能,那这软件就有可能是吸费软件。”