2013年中国第三方移动支付市场交易规模达12197.4亿元,同比增速707.0%,而2014年这一市场规模还将增长141.1%。越来越多的不法分子正虎视眈眈着人们的手机。 “不死”木马的传播使得越来越多人的手机存在着巨大隐患。那我们的手机还安全吗?我们还可以继续使用网络支付吗?若一旦遭遇被盗,人们可否得到合理赔偿,有否有人能够承担相应的责任也成为人们日加关心的话题之一。
近一段时间关于移动支付的数据和话题让人眼花缭乱,春节长假里,支付宝手机支付超过1亿笔,京东通过“白条”切入信用支付领域,小米则悄无声息地切入了这一战局。随着移动互联网的发展,手机被赋予了钱包的功能,“手机钱包”取代实体钱包的势头越来越明显,同时,惦记手机钱包的小偷也就多了起来。
“不死”木马恶意骚扰 影响着人们的日常生活
这里是奇虎360公司的安全中心,也是目前国内最大的互联网免费安全平台,几百名工程师在各自的领域忙碌着,看似平静的键盘声背后,实际这里每天都在演绎着惊心动魄的故事,提起两个月前发生的一幕,即使是这些专业级的工程师至今仍心有余悸,2013年12月中旬开始,安全中心陆续接到一些用户反馈,自己的手机页面上莫名其妙多出许多软件。
手机用户:我的手机莫名其妙的会有一些软件装进去,然后我点击把它们删除掉之了之后,就是隔两天它又会安装上了,然后这些软件全都是那种什么,赌钱啊,或者是那种要收费的游戏软件,然后我频繁的删也删不掉。
通常情况下,手机出厂时,部分厂商会在手机里预装一些应用程序,起初360安全中心的工程师还以为用户反馈的是手机系统内的预装程序,并没有引起足够的重视,然而到了2013年底,类似的反馈越来越多,此时用户向安全工程师反馈了一种更为奇怪的现象。
360安全工程师张浩然:用杀毒软件杀毒,能够杀出木马来,但是杀掉之后,重启手机,这个木马又会再出现,然后呢,我们工程师也联系了部分用户,想在他手机里提取样本,包括我们当时也觉得很迷惑,断网的情况下杀毒,包括把用户手机里所有的应用都打包发给我们,我们依然没有发现有什么异样的东西。
事情开始变得蹊跷起来,初步判断,困扰用户和工程师的肯定是一种新病毒,但这新出现的神秘的手机病毒到底藏在哪呢?尴尬的是,由于用户手机储存着大量个人信息,安全团队手上没法拿到病毒手机样本,病毒分析一时陷入了瓶颈。直到2014年1月5日,病毒继续肆虐,分析才有了新的进展。
360安全工程师张浩然:直到1月5日,我们有同事身边的一个朋友的手机也出现这种情况,我们就是联系他那个朋友,把这个手机拿到了我们公司,终于有机会对这个手机进行了一次彻底的体检,我们居然在手机的磁盘引导区发现了这个“不死”木马,英文名字我们管它叫oldboot。
手机感染“不死木马”(oldboot)
oldboot是指可以肆意修改设备的boot分区和启动配置脚本的木马,导致用户手机可能出现大量自己没有安装过的软件,而这些软件通常包含大量广告甚至恶意程序,对用户形成恶意骚扰。
360安全工程师张浩然:这个当时也让我们很震惊,这也是能解释之前为什么我们一直发现不了,因为以往的木马,都是在系统内,以一个应用的形式,在系统内出现,我们只要把这些应用拿过来就能发现了,但是这个木马不一样,它在手机的磁盘引导区,等于是它有极高的系统启动权限,它就在你启动系统的时候,它往你系统里释放些恶意软件,它本身存在于磁盘引导区的,所以我们一直发现不了。
带着既兴奋又忐忑的心情,安全团队着手分析这个“不死”木马的功能和意图,分析出来的结果大大超乎了安全团队的想象。
360安全工程师张浩然:这个木马的行为,实际上我们从分析它的代码来看,它能实现很多行为,有你手机系统的最高权限,它可以拿到的,有你手机最高权限就可以做任何事,基本上我们理解成它可以做任何事,可以去监听你的通话,可以去偷你的短信,可以去盗你的一些账号密码,都是可以实现的。
工程师们说,木马并不罕见,业内称这种被木马接管的手机为“肉机”,但这种“不死”木马功能十分强大,虽然手机在用户手上,但不法分子通过木马可以远程操控用户的手机,对于那些习惯使用手机支付业务的用户,和手机绑定的储户来说存在相当的风险。
360安全工程师张浩然:你看这台手机,是一台已经中了“不死”木马的手机,我们看现在这页有很多色情类的,包括赌博类的软件,都是“不死”木马偷偷地下载下来的,这个手机用户根本没有手动下载这些软件,而且这些软件在正规市场也不可能存在。“不死”木马的行为就是去把这些软件下载到手机,再装上它 ,而且是静默安装的,你不知道,只有它装完了才看见,这儿有这么一个东西。
央视财经《经济半小时》记者:现在我们把它删了,会出现什么情况?
360安全工程师张浩然:你如果把它都删掉的话,然后可能过段时间,他还能偷偷给你下下来,他是可以控制什么时候下什么软件的。
央视财经《经济半小时》记者:软件还不是这一种?
360安全工程师张浩然:不是一种,这个木马的作者,是赚推广的钱。提供了一个渠道。你给我钱我就装你的,他给我钱我就装他的。
全方位监测显示,木马早期的表现就是在后台偷偷下软件耗费用户的手机流量,随后就会一步步接管用户的手机。
360工程师张浩然:因为这个木马的它的功能非常多,而且它的权限很高,基本上就是等于你的手机虽然在你手里,但是别人其实可以远程操控它,可以让它做很多事,下软件啊,发短信啊,收短信啊,都能做。
虽然安全团队研究清楚了“不死”木马存在的位置和意图,但是要彻底清除这些木马,安全团队却遇到了前所未有的困难。
360工程师张浩然:我给你打个比方,比如在你盖房子的时候,它在你的地基那就给你放了一个监听的设备,靠平常的扫除,你是找不到它,是清除不掉它的,要想把它找到,你得拆房子,这个木马也是,它在手机的磁盘引导区,把它理解为是一个手机想启动时候必须读的一个重要的文件,如果我们想要把它清除掉,我们要用正确的文件把它替换掉,但是因为安卓手机的机型特别特别多,如果我们想把它替换掉,极有可能发生的是,如果他这个型号和我们认为的文件不匹配,手机就变砖了,就没法用了,这个风险太大了。
经过多方考虑,并保证中“不死”木马的手机,用户可以正常使用,安全团队选取了一个折中方案。
360工程师张浩然:最后我们终于出了一个没有机型适配问题的一个方案,就是把这个“不死”木马给锁住,把它关起来,它没法作恶,就和它没有是一样的,我们可以这么理解,它也不会再被激活,我们把它灭活,你可以理解为把它锁住了,它是这些下载的行为,包括监听,包括它盗你号,都实现不了了。
360 工程师试图破解“不死”木马病毒
虽然最后的结果在安全团队看来还不完美,但安全团队将这次直面手机“不死”木马的经历形成报告后,在全球手机安全领域引起轩然大波。
360工程师张浩然:我给你讲一下,就这个木马,我们把英文报告放到国外之后,在全球范围都引起反响了,因为手机从来没有出现这种木马,居然在我面前看到了,而且是一个迷惑了我们很久的难题,既兴奋又震惊,这个木马确实是前所未有的,而且从这个木马以后可以预见到,这种攻击方式的木马会越来越多,利用这种攻击方式,就是以后的手机传病毒的事件,(查杀)也会比原来更困难。
360安全工程师张浩然:用户上报以后我们经过一段时间的检测和分析,发现”不死”木马的一个很明显的特征,只要只要在这个目录下,系统文件目录下,存在这个文件,还有这个文件,还有这个文件,就存在“不死”木马。
虽然对技术领域完全是外行,但是在了解“不死”木马病毒的强悍后,我们的央视财经《经济半小时》记者还是禁不住震惊。在发现这一超级病毒后,检测显示,全国范围内”“不死”木马“感染手机量至少已经超过50万部,并且大量的手机因为没有安装任何安全软件,无法检测,” “不死”木马感染的总量还是未知数。那么利用这些木马程序,不法分子又能做到哪些,普通用户又该如何防范呢,广告之后,继续我们的调查。
面对日益火爆的移动支付市场,各种威胁也接踵而至,网络安全工程师们发现的“不死”木马就是其中一种,在不法分子口中,这些感染“不死”木马的手机已经成了“肉机”,换句话说,手机虽然在用户手中,但是不法分子通过远程操控可以实现所有他做的勾当。这些中了毒的手机有哪些隐患,人们又该如何防范呢?
电子支付风起云涌手机病毒疯狂传播
2013年移动支付出现爆发式增长。央行2月中旬公布的《2013年支付体系运行总体情况》显示,移动支付的笔数和金额同比增幅双双超过200%,是2013年电子支付笔数和金额中增速最快的一块。来自市场研究机构的统计数据称,2013年中国第三方移动支付市场交易规模达12197.4亿元,同比增速707.0%,而2014年这一市场规模还将增长141.1%。伴随终端的普及,新的支付场景也在不断创新,金融理财、缴纳水电费、借款还款、吃饭AA买单、一起游戏等功能正在不断被开发。与之形成鲜明对比的是,2013年全年360互联网安全中心共截获安卓平台新增恶意程序样本67.1万个,较2012年全年的12.4万个增长了4.4倍,平均每天截获新增恶意程序样本近1838个。在成功拦截这一病毒后,网络安全工程师们并没有兴奋,相反,很多工程师觉得心情越发沉重。
机的钱包功能受到严重威胁
360安全工程师张浩然:这个木马在手机木马史上算是一个里程碑式的木马,其实业内大家一直都觉得这种木马会发生,因为在个人电脑端是有这种木马形式存在,但是在手机上一直没有,居然在我们中国发现了,这个事也很震惊,也算挺悲哀的,这个证明我们中国刷机的产业链,包括手机整个销售的产业链,包括全国手机市场,确实得有大量这种(植入木马)市场,才有利益驱动,有人造这个木马。
这位工程师所说的刷机指的是通过一定的方法更改或替换手机中原本存在的一些语言、图片、铃声、软件或者操作系统。通俗来讲,刷机就是给手机重装系统。
360安全工程师张浩然:经过我们分析这个木马,它必须得人手把它刷进磁盘引导区,最后买到手机,有这个木马就证明了这个手机在从出厂,到你手中某个环节,被人手工地刷进这个木马。
这位工程师告诉《经济半小时》记者,手动植入木马有若干途径,除了购买到预装有“不死”木马的手机外,“不死”木马传播途径还存在于手机维修中,部分手机维修店会在刷机的过程中做手脚,从而获取利益,那么事实是否如此呢,央视财经《经济半小时》记者随同工程技术人员在北京一些手机市场进行了暗访。
维修店工作人员:装一个软件一两块钱,装一次激活一次两块钱。
360安全工程师张浩然:这个“不死”木马牵出的产业链是非常可怕的,一个专门往手机里刷木马的,刷到50万台,最起码是一个成规模的东西在存在,而且为什么他能刷出这么多东西,就包括之前也有过一些调研,随便你去中关村的一个摊位上,你让老板帮你往里刷个什么软件,给他钱了就给你刷,基本你只要钱给到,都会给你刷,不管你是恶意软件,还是其它木马,他都不管,直接往里刷。
而在安全工程师万仁国看来,预装的“不死”木马虽然可怕,但第三方应用市场及论坛才是恶意程序传播的主要途径,占比超过60%。其次的传播途径才是手机预装和恶意网址。
360安全工程师万仁国:比如说常见的钓鱼里面,都会获取我们的电商平台的账号,包括支付密码,包括身份证号,以及银行卡,当他们一旦将这些信息获取到之后,他就可以再通过比如获取手机短信验证码,就能实施攻击了。
接下来,安全工程师向央视财经《经济半小时》记者展示了通过二维码下载的捆绑在游戏里的木马。
安全工程师万仁国:这个软件是从一个论坛上下载到的,当我们安装好它之后,我们去点击运行它的时候,它会去提示我们安装一个所谓的资源。
央视财经《经济半小时》记者:软件需要安装资源包。
安全工程师万仁国:这个时候我们点取消是没有用的,我们点了取消之后,它没过一会儿还会弹,必须你去装。
央视财经《经济半小时》记者发现如果想玩这款游戏,必须得安装一个资源包,安装完资源包后游戏恢复正常。
体验360 软件 恢复被感染”木马“病毒的手机
可《经济半小时》记者并没有发现手机有任何的异常现象,随后安全工程师道出了其中的秘密。
安全工程师万仁国:这个软件,当我们激活之后,貌似我们现在系统很正常,但实际上这个时候,我们的手机已经植入了木马,它可以干什么呢,比如大家手机里面可能会装上工行的一些应用,或者其它银行的应用,一瞬间,就切到了一个说要求我的手机号,以及注册卡的账号,以及比如银行的姓名,卡的账号,还有密码等等,实际上这就是一个假的界面,当我们在页面里面,把所有信息都输入之后,它获取到了,然后再调真的工行。
事实是否如这位安全工程师所说呢,采访中,安全工程师提到了一个细节让央视财经《经济半小时》记者恍然大悟。
安全工程师万仁国:所以我们在点开这个建设银行,跟刚才已经不一样了,刚才我们可以看到,打开一个首页,会有很多的介绍,就是在这个地方,我们看,点击的话都是没有反应的。
安全工程师介绍,通过二维码传播恶意程序的比例在2013年增长迅速,一方面是由于二维码应用越来越广泛,扫二维码已经成为许多用户的日常习惯,另一方面也是由于多数二维码扫码工具并不具有识别恶意网址的能力。只是简单讲二维码反应成网站地址。这就给恶意程序通过二维码传播创造了更为有利的条件。但安全工程师表示,在所有恶意程序中,虚假电商的客户端是最具欺骗性的。随后安全工程师向《经济半小时》记者展示了虚假淘宝app的运作手法,在这个桌面上放着3部手机,尾号为0820的央视财经《经济半小时》记者手机,尾号为0922的中毒手机,尾号为5464的收号手机,随后《经济半小时》记者在纸上随意写上“淘宝账号”、“密码”、“身份证号”,安全工程师为《经济半小时》记者展示了不法分子如何通过木马截取用户信息。首先,拿出尾号为0922的中毒手机,在页面上显示了一个淘宝app,看上去和正规的淘宝app并无差异。
安全工程师万仁国:我给大家运行一下,这个界面是跟正常淘宝客户端是一模一样的,但实际上这里面是,它是能够将我们这一块输入的帐户信息给截取走,然后我就按照这个《经济半小时》记者的要求,输入这个相应的帐户名和密码。
安全工程师在尾号为0922的中毒手机中输入《经济半小时》记者随机编写的淘宝账号和密码。
安全工程师万仁国:密码0123456123,对吧?我点登录,这个时候就会发送一条短信出去了,那么在这个手机里面,就会收到这条短信。
央视财经《经济半小时》记者:等会,不着急。我们看一眼啊。用户、密码,就相当于把这个手机的信息,直接发送到。
安全工程师:黑客指定的这个手机上。
央视财经《经济半小时》记者发现,在尾号0922手机上填写的任何账号和密码信息,都会以短信的形式送到尾号为5464的手机中。安全工程师表示,这还没有结束,如果此时用户还没有察觉,虚假客户端会继续骗取用户的身份证号。
安全工程师:名和密码已经发送到这个指定手机上了,接下来我们可以看,它还会骗取我们的身份证信息,接下来我们点提交,这时候这个假的客户端,就是这个木马客户端,它就直接退出了,实际上它是没有任何功能的,不起任何作用,但是它关键核心点就是用来获取用户名,密码还有个人的身份证号这种隐私信息。这时候我们看到,这个身份证信息,也已经发送到指定的手机上来了。
除了这些,安全工程师表示,事实上虚假客户端能做的远比这些要多得多。他用尾号为0820的央视财经《经济半小时》记者手机向尾号为0922的中毒手机发送了一条信息,此时出现了让央视财经《经济半小时》记者吃惊的一幕。
记者手机,中毒手机和负责收号手机的工作图
360安全工程师:从央视财经《经济半小时》记者的手机上,像这个植入木马的手机,发送了一条叫验证码1234的短信,我们看到这个短信已经自动转发到这台设定的手机上了。
从尾号为0820的央视财经《经济半小时》记者手机发出的验证码,通过中毒手机,准确无误的传到了尾号为5464的收信手机中,不发分子只要设置好收信手机,就可以随时随地的接受用户的个人信息。而对这些,用户绝大多数难以察觉,根据中国反网络病毒联盟的分类标准,手机恶意程序分为资费消耗、恶意扣费、隐私窃取、诱骗欺诈、流氓行为、破坏系统、远程控制和恶意传播这8个主要类别,在有些人眼中,手机似乎变成了手雷。面对这些恶意的病毒,用户们真的只能束手待毙吗?在发现了“不死”木马的工程师们看来,当手机用户在急于奔向移动支付、手机钱包的过程中,最重要的是,对于风险要有预判。
现在移动支付已经成为一种趋势,很多的商家,包括消费者本身,也都在追逐这个潮流,其实我们很多的普通用户,他对手机上的安全威胁,包括移动支付的风险,并没有一个足够的认知,他对这个可能带来的损失,也没有做好准备就进入。
业内人士指出,除了这些外,面对近乎爆发的市场,网络公司和电商光做好自己的平台安全是远远不够的。
我们把安全比喻为一个木桶,而这个木桶所能盛装的水的多少,取决最短的那块板,而在安全里面,我们可以把比如用户的个人信息,包括用户的使用习惯,以及电商平台,等比做为这个木桶中的一块木板,最短的木板就决定了这个木桶所能承装的水,也就是我们的用户的安全性。
【半小时观察】
今天,对于我们很多人来说,出门三大件已经从钥匙、钱包、交通卡变成了手机、平板、充电宝。一个小小的手机在一步步影响我们的生活,同时暗中一双双 “黑手”也伸向我们的手机钱包。我们的手机还安全么?相信每个人看完节目后都会有这样的疑问,如何让我们的手机变得安全,面对疑问,能够做出解答的也只有技术和管理部门。特别是互联网企业及银行作为终极受益者,更应该及时加强技术监管,在努力发展业务的同时,帮助用户管理好钱包。从互联网企业方面来讲,在用户遭受诈骗时,可合理赔偿用户损失,承担相应的的责任。从银行方面来讲,需加强监控,实时监控,主动构筑起防火墙。只有守护好用户的手机钱包,才能守护好欣欣向荣的移动支付产业。