本報記者 陳時俊 上海報道

　　作為集通訊、支付、社交多功能於一體的新型信息交互工具，一個移動智能終端(手機及平板電腦等)往往能裝載一個現代人大部分的隱私與賬戶信息。也正因此，許多不法分子會以APP(應用程序)為掩護、“黑”進一部手機從而獲取隱私信息與金錢財產。

　　中國移動官方新公布的警惕名單中，“s.spread.backup.a(僵屍相冊)、s.system.ChaosEngine.a(混沌機器)、s.payment.pluginserver.a(偽諾基亞扣費補丁)”等惡意手機軟件都榜上有名。

　　以“僵屍相冊”為例，這類軟件會通過短信鏈接進行傳播，向用戶發送短信“你有一條未讀彩信相片，請免費下載安裝彩信相冊查看”，誘騙用戶下載安裝;安裝後惡意軟件隔一段時間就與後台聯網並自動向某批號碼發送短信。

　　這類軟件安裝後會自動運行，並在開機後自啟。它們隱瞞用戶發送短信，在不知不覺中消耗手機資費，最終影響手機的正常使用。

　　其中，水貨品牌與中小雜牌是惡意APP的重災區。“現階段我國存在眾多小品牌手機甚至山寨手機，這些終端出廠時安裝的軟件很難保證。即便是一些大牌的手機商有時也防不勝防，部分員工會通過隱蔽手段把一些惡意APP裝上去。”手機中國聯盟秘書長王豔輝告訴21世紀經濟報道記者。

　　惡意扣費何時休

　　作為監管部門授予的國內首批應用自律白名單企業，中國移動總結列舉了多個“吸血”APP的運行特點。

　　為操作系統為Symbian 6.0第三版、第五版的手機終端用戶“量身訂作”的“吸血”APP，便是通過網絡下載進行傳播。惡意軟件偽裝成功能軟件誘騙用戶下載，用戶下載安裝後不顯示圖標，安裝完成後在後台聯網。一旦使用了這一APP，智能手機將會自動屏蔽10086短信，用戶手機無法正常看到收到的10086短信。同時，這類軟件會在消費者毫不知情的情況下通過手機後台自動聯網，從而消耗客戶網絡漫遊的資費。

　　此外，一些惡意廣告APP會保持手機處理器後台長時間喚醒，用於上傳和下載廣告數據。這也造成有些用戶手機的電量即便在待機狀態也迅速消耗。有統計數據顯示：每款惡意廣告應用平均每天要消耗電量 630 mAh，相當於普通手機電池總容量的35%。

　　更有甚者，一些“惡意扣費”軟件會自動撥打一些固定號碼，並自動連接部分鏈接，從而在用戶渾然不知時就產生一大筆費用。

　　這些APP之所以如此神通廣大，是因為其在手機內置了一些SP收費(移動信息費，多為增值服務收費)代碼，這些代碼從一開始就以APP為掩護內置或下載到用戶的手機中。對於非法獲得利益，這些APP的設計者會與相關利益獲得方進行分成。

　　中國互聯網協會12321網絡不良與垃圾信息舉報受理中心副主任曾明發指出，智能手機一個很大的特點就是繳費渠道眾多、收費方便。隨著用戶在手機中存留的信息越來越多，很多不法分子動了邪念，開發一些惡意代碼、程序換取利益。惡意軟件在手機終端中很容易進行扣費或竊取信息。

　　要命的是，對這些惡意扣費的軟件，發現察覺都存在難度。曾明發說，手機惡意扣費主要是憑借在用戶毫不知情的情況下內嵌軟件，並在規定的時間發送一些代碼和信息，對用戶進行扣費。運營商對用戶的二次確認信息也會被屏蔽，從而使整個過程不被察覺，再加上不少用戶對日常手機費用的帳單不太關注，因而使其實施犯罪更為隱蔽。

　　彈窗鏈接暗藏陷阱

　　王豔輝告訴記者，在上遊有專門的第三方公司提供惡意APP包，將一系列軟件打包後一同裝進去。而在下遊的一些“專業”公司如今已可以做到出廠裝機時在不開手機的情況下就把惡意APP裝進去，並躲過廠家的出廠檢驗。如此裏應外合，可謂防不勝防。

　　除通過APP產生上網流量與短信費用之外，竊取並多次販賣手機使用者信息的做法也日漸猖獗。手機用戶的金融賬戶、銀行密碼都暴露在高風險之下。

　　紮根於眾多博彩、遊戲APP中的廣告彩頁與彈窗廣告常攜帶聲色犬馬的不良信息，部分用戶被其吸引、點擊相關頁面後，便會被軟件自動誘使下載插件或提供個人信息。前者往往帶來難以根除的頑固軟件和手機病毒，後者則有可能被不法分子使用作為日後竊取財務賬戶的依據。

　　此前美國電子安全公司“偵查牆”(snoopwall)對外宣稱：手機APP庫中非常受歡迎的手電筒軟件就可能存在這樣的“暗門”。一旦上述軟件被運行，就可能盜取用戶的隱私，比如通訊錄、手機定位、信息內容，這些信息轉而就被偷偷發送給市場調研公司或廣告公司。

　　而在竊取賬戶密碼方面，據360公司公開的數據：2013年其互聯網安全中心共截獲手機支付及購物類惡意程序2962個。這些惡意程序可以盜取用戶在智能終端上的支付帳號和密碼，攔截並轉發銀行發來的短信，或直接洗劫支付賬戶中的資金餘額。

　　在監管部門和大型廠商持續打擊之下，各類APP“吸血”事件正轉而變得愈發隱蔽和多樣化。記者發現，今年高考期間，智能手機APP庫中的高考真題測評軟件便十分走俏，而在這些APP中不乏借高考名義惡意捆綁廣告和彈窗的軟件。

　　據悉，這些APP大多偽裝成“高中文科理科彙”、“高考必備知識大全”等熱門關鍵詞，吸引用戶下載並瀏覽。據360手機安全中心數據顯示，今年高考前夕共有142款此類手機惡意軟件出現。考生一旦安裝，就將面臨隱私被竊取、廣告彈窗、手機後台私自下載軟件、惡意扣費等多種風險。

　　在各類APP陷阱面前，專家勸告用戶，必須提高警惕避免上當。曾明發表示，依靠現有技術，在Wifi環境下竊取用戶信息已相對容易，這也使得一些專門阻擊惡意手機軟件的程序也應運而生。