中新網7月25日電 當前，隨著智慧手機的普及，各種形式的手機病毒大量肆虐傳播，手機應用惡意扣費、竊取用戶隱私等行為日益嚴重。

　　今年上半年，手機流氓推廣木馬呈現了氾濫的勢頭，“自動下軟體”、“自己下軟體”，“不停下軟體”成為網絡上廣大手機用戶關注的焦點。在此過程中，一條黑色産業鏈也在悄然形成，更因其數量驚人成為新的黑色暴利産業。

　　用戶手機流量電量“被消耗” 流氓推廣暴利驚人

　　來自網秦“雲安全”監測平臺的數據顯示，在2012年上半年截獲的“遠程控制木馬”類惡意軟體中，超過70%具備接收服務器指令後通過聯網下載、強行推送到用戶手機進行流氓推廣的行為。僅2012年上半年，手機流氓推廣木馬已在全球範圍內直接感染手機521萬部(其中中國大陸地區468萬部)，以其平均日下載2次X單次安裝1元的平均結算價格計算，僅在一天時間內，通過“遠程控制木馬”實施惡意推廣的最高獲利或達936萬元。

　　測試顯示，像“耗電行者”這樣的惡意軟體，平均每日下載3到5次，單個推廣文件體積在3至6MB之間(黑客可通過遠程服務器非常靈活的配置下載頻次和下載內容，對時長等隨意定制)，大量消耗用戶的手機上網流量，平均每天平白耗費20-30MB流量。

　　電量方面，“耗電行者”會啟動大量的CPU數據運算，從而導致大量的手機電量損耗。經測試，正常Android手機在充滿電量情況下，通常待機時間在28至35小時左右，而手機在感染“耗電行者”後，在後台下載、安裝過程中會大量損耗電量。

　　惡意廣告聯盟強行刷機內置應用 蒙蔽廣告主從中謀利

　　目前，手機廣告主為有效推廣自身應用，通常會通過渠道代理來進行廣告投放的方式來增加用戶量，並以實際效果，如下載次數、激活次數與之結算。渠道代理商則會通過在應用商店中做推薦、與終端廠商進行預裝合作等正規形式來為其增加用戶，並於廣告主正常結算。

　　然而，由於受廣告主不菲的結算價格誘惑，一些渠道代理商(惡意推廣聯盟)會不惜通過惡意軟體聯網自動下載、強行刷機內置的流氓推廣的方式來強推應用，並通過一條密集的、連貫的流氓推廣産業鏈來快速達成推廣指標，從而蒙蔽廣告主，與之結算分成，從中謀利。

　　惡意推廣聯盟會直接自製或夥同從事惡意軟體製作的黑客將包含推送這些應用的網址加入到如“炸彈人”、“硬幣海盜”、“財急送”、“京東商城”等熱門應用之中，並通過一些安全認證薄弱的應用商店騙取用戶下載。

　　通過這一方式，用戶手機的流量電量會大量損耗，同時，他們還成為了被利用的對象，惡意推廣聯盟通過分成收益，根據傳播頻次謀取暴利。而廣告主同樣也將因被惡意推廣聯盟蒙蔽而遭受損失，在投入不菲經費後反只獲得低質量用戶，並因産品“被流氓推廣”造成用戶的強烈反感，使品牌嚴重受損。

　　此外，惡意推廣聯盟還會通過不同渠道，採用刷機方式將這些應用強行內置到用戶的手機之中，他們與一些水貨刷機市場合作，將出廠手機中原已內置的應用刪除，再重新內置到新的推廣應用，重新包裝後銷售，此時當消費者購買到手機後，就會在聯網過程中自動返回激活信息，惡意推廣聯盟以此來蒙蔽廣告主試圖騙取收益。

　　流氓推廣木馬可靈活配置下載 誘騙用戶安裝與黑客分成

　　據網秦2012年上半年全球手機安全報告稱，流氓推廣木馬在特徵上也出現了較多的變換，其可對服務器網址進行加密，可靈活配置下載列表，且隱蔽自身特徵，偽裝提示安裝，還可自動判斷手機是否具備ROOT權限等。

　　目前多數手機流氓推廣軟體均對用於推送軟體的服務器地址進行了加密處理，在感染手機後再通過解密指令讀取，從而再讀出其中的服務器列表，推送指令和下載內容。解密完成後，便可讀取服務器地址，其中包含有用於流氓推廣的指令以及黑客配置好的下載列表，而這個下載列表，實際通過服務器端可進行靈活配置。

　　同時，根據指令，在下載、安裝過程中，流氓推廣木馬還可自動檢測當前網絡狀態。設置其延遲時間，若網絡為wifi則立刻下載，若為其他，則每隔若干小時下載一次。而在自動下載完成後，流氓推廣木馬還可通過服務器指令配置彈窗顯示的文字內容，如以“系統更新”為名誘騙用戶點擊安裝，而一旦安裝後則會記錄次數上傳以與黑客分成。

　　目前手機流氓推廣木馬多已具備對ROOT權限這一Android系統的核心權限的判定過程，如針對帶root的手機，樣本會運行命令申請獲得root權限，用戶一旦授予權限，樣本便會在後臺將SD卡的download文件夾下的樣本，靜默安裝在/data/data/路徑下，獲取root權限直接完成安裝。

　　針對未ROOT的用戶，樣本下載後會通過通知欄通知用戶“系統更新，您好，已經獲取最新更新，請點擊安裝”等欺騙性詞彙，誘導用戶安裝下載的軟體。(中新網IT頻道)