一款恶意代码每年可吸走话费5000万元，专家惊叹其利润超过贩毒

恶意代码会把应用软件变成“吸费软件”，全国21万部手机被偷偷扣费

提醒：应该选择正规渠道下载应用软件，应养成经常查询话费的良好习惯

■藏在哪？智能手机下载的体积较大的应用程序和游戏里

百吉历、功能计算器、打地鼠、扫雷等软件都可能被利用

■咋防范？

普通用户很难察觉，最好常查话费详单

手机通话频率并没有什么明显的变化，为什么话费却增加了不少？

河北省石家庄市的赵小姐发现自己没打多少电话，但是最近2个月手机话费却增加了不少；北京的李先生表示：“上个星期刚充的一百块钱，不到三天就用完了，而且什么提示都收不到，搞得我稀里糊涂的。”

北京一家手机安全公司的专业技术人员对赵小姐和李先生的手机做了仔细检查后发现，他们手机里的应用软件中，都暗藏着一个极其隐蔽的小插件，而这个小插件，其实是一种手机恶意代码，这种恶意代码会把应用软件变成别有用意的恶意软件——即“吸血软件”。

代码植入热门软件一个月偷她50元

“以前手机话费每个月在50块钱左右，但是从（2011年）12月开始，我话费一般都在100块钱以上，平常很少打电话，包月的上网流量也够，一般很少定制什么服务。”赵小姐说，联系运营商后，对方提醒她检查是否手机中有病毒或有软件在自动扣费。

手机安全公司技术人员说：“这种恶意软件是做暗扣的，也就是偷偷地扣除用户话费，我们公司在2月6号已经将这种含恶意（代码的）软件命名为‘食人鱼恶意软件’。”

技术人员说，赵小姐手机里的恶意代码躲在百吉历应用软件中，而李先生手机里的恶意代码则藏身在打地鼠手机游戏中。这种嵌在手机应用软件中暗扣用户话费的恶意代码，有很强的欺骗性。

而手机安全专家介绍，这种恶意代码的最大特点是隐蔽性极强，它是一段数字编码，体积很小，被嵌入在体积比较大的手机应用和手机游戏里面，普通用户往往很难察觉，一旦被安装之后，它会在手机后台运行，随时能偷偷地让用户的手机自动联网，到服务器去获取远程的扣费指令，进行恶意扣费。

而且这类扣费软件采取多次小额扣费的方式，每次只扣两块钱到五块钱，然后每隔一段时间重复扣费。如果用户不打出话费详单仔细核查的话根本不知道被暗扣了。

据一家国内知名的手机安全公司的监测平台数据，截至2012年3月10日，这类暗扣话费的恶意代码已经利用过100多款安卓（Android）手机应用软件，潜伏在用户手机里，伺机悄悄扣费。手机百吉历、功能计算器等常用的应用软件以及贪吃蛇、扫雷、打地鼠、魔法棋、仙魔劫、象棋争霸、愤怒的小球等手机游戏，都可能是恶意代码的藏身处。

黑客随时远程控制手机通过后台联网

专业机构发现，这类恶意代码的传播机制主要是通过嵌入正常手机应用软件的方式，来诱骗用户下载安装。用户很难区分出

来，使用专业的分析工具后才发现嵌入了恶意代码的包比正常的软件要大一些。

据北京邮电大学网络信息安全中心的研究，手机应用软件隐藏的恶意代码，有2%至3%的比例是应用软件作者自己所为，而大多数都是手机应用软件在软件应用商店、网站论坛上推广的时候，才被人做了手脚，嵌进了暗扣话费的恶意代码。

手机安全专家分析赵小姐手机中的恶意代码后发现：它能在用户毫不知情的情况下在后台偷偷联网后，会跳转到www.yangruiling.com、IP地址为61.191.55.43的一个网站。

据中国科学院计算技术研究所高级工程师罗海勇分析，这个IP地址是托管在安徽电信的服务器，远程控制这个服务器的黑客可以随时控制（含恶意代码的）手机软件，让它进行扣费。

奇怪的是，www.yangruiling.com这个网站却是不可登录的。按常理，网络地址显示不可登录，就意味着，这个网站服务器已经被关闭或者不存在。然而，手机安全专家用技术手段进行了长时间跟踪监测后却发现，这个貌似不存在的网站，其实另有玄机。

“只有当他的恶意代码运行的时候，手机才会在后台联网，我们普通用户登录网站是无法打开的；那么即使有人发现了这个网址，发现打不开，也就不会再去调查它了。”手机安全公司技术人员如此解释。

据调查，工信部网站域名备案信息系统里的备案信息显示，这个网站是一个名叫吴江的人在2011年1月28日登记备案的，但备案信息里的15878965400这部手机其实是空号。

软件缺乏安全验证利于吸血代码传播

由于互联网是一个开放的环境，大量的网站以及网络论坛等网上空间都可以随意上传或下载手机应用软件。只要懂点电脑知识的人，就能轻易地将恶意代码嵌入手机应用软件，并放到网上供人下载，要想揪出制造传播恶意代码的元凶，极其不容易。

“因为IP地址是可以随便变的，他可以去伪造身份。”北京邮电大学网络信息安全中心博导徐国爱教授说。

据专家介绍，目前第三方软件应用商店、手机论坛等渠道对软件安全验证力度小，甚至根本就不进行安全验证，暗扣话费的一些恶意代码、病毒等软件插件，传播很简便，往往选择潜伏在市场知名度大、应用广泛的一些手机软件中，很容易蒙骗用户。不仅如此，藏有恶意代码的软件发起攻击时的技术隐藏手段也很高明，它会对运营商的业务短信号段进行屏蔽，也就是说，它会让手机用户根本看不到电信运营商要用户确认是否要定制付费增值服务的短信提示。

“在运营商看来就是你这个手机跟他交易，实际上也是这个手机跟他做交易，只不过是用户自己没参与，那个恶意软件替代了用户在参与这个事情。”徐国爱说。更防不胜防的是，这种暗扣用户话费的恶意代码会在不同的时间段，用不同SP电信增值业务提供商计费代码，暗扣用户话费。

服务商转租代码是根源专家建议加大惩处力度

专家表示，SP增值业务服务商提供的服务，极大地满足了手机用户的需求，促进了电信业的繁荣。近年来，中国移动、中国电信、中国联通等电信运营商对SP增值业务服务商的计费代码管理，也越来越严格，甚至采取了用户一次投诉，就立即彻查的铁腕措施，然而，一些乱象仍然难以遏制。

罗海勇表示，“我国的运营商对手机应用软件等增值业务提供商计费代码管理，有着比较严格的规定，不允许转租，渠道外包，以杜绝推广中的失控现象；但是很多服务提供商为了扩大业务，有的时候就把计费代码转租出去，为恶意代码提供了生存的土壤。”

据相关手机安全公司获悉的数据显示，截至今年3月10日，我国已经有超过21万部手机感染了暗扣用户话费的恶意代码；其中，感染某“吸血代码”的手机，平均每部手机每个月至少被直接扣费20元，这就意味着，仅这一款暗扣话费的恶意代码，每年直接偷偷暗扣手机用户的话费就超过5000万元。

针对手机恶意代码肆虐的形势，受工信部通信保障局委托，国家互联网应急中心近期组织通信行业首次开展了移动互联网恶意程序专项治理行动。截至2月10日，国家互联网应急中心共鉴定恶意程序445个，其中危害较大的有212个。有关部门已经对其中与手机病毒关联的100多个控制端进行了有效处置，使这些控制端无法直接危害已经感染恶意代码等手机病毒的受控手机用户。

手机安全专家建议，要想有效地遏制手机恶意代码等病毒的传播，一方面需要电信运营商加大重视程度、加大技术投入，而另一方面更需要有关监管部门加大监管力度，尤其是要加大惩处力度，提高手机话费恶意代码等手机病毒的制作者和传播者的违法成本，能够起到更加有效的惩戒和警示的作用。只有这样才有可能遏制手机病毒的传播，营造良好的手机安全环境。

综合央视等

提醒

少“刷机”多查询

手机厂商和软件开发商都有可能成为手机“吸费”的推手，因此消费者在购买、使用智能手机时，要学会给自己的手机“把好关”，这样才能看住手机卡内的话费。

某品牌手机客服人员提醒，消费者购买了新手机后，最好在手机销售人员的指导下熟悉功能表内的各个菜单按键，哪些按键是“安全”的，哪些按键有可能收费，销售人员最清楚，并会及时提醒顾客。手机在使用过程中，应该选择正规渠道下载应用软件，最好事先上网查看所下载软件的口碑。值得指出的是，刷机风险较大，尤其是使用第三方自制的系统软件进行刷机更是随时有可能让手机中毒，因此应谨慎对待。智能手机用户还应该养成经常查询话费的良好习惯，至少半个月至一个月查询一次，当发现可疑收费项目，立即拨打通信商和手机厂家客服电话确认收费来源，以堵住软件恶意扣费的漏洞，避免遭受更大的话费损失。

21万

截至今年3月10日，我国已经有超过21万部手机感染了暗扣用户话费的恶意代码；其中，感染某“吸血代码”的手机，平均每部手机每个月至少被直接扣费20元，这就意味着，仅这一款暗扣话费的恶意代码，每年直接偷偷暗扣手机用户的话费就超过5000万元。

#8212;—国内一家知名反手机病毒公司

7%

超过40%的手机恶意代码来自于手机应用（软件）商店和手机论坛，部分的手机应用商店里面含有恶意代码的应用软件超过了7%，也就是说，将近十分之一。

#8212;—手机安全专家、博士邹仕洪

几千万

恶意代码投入很少，租用一个服务器一年才几千块钱，可是利用恶意代码进行扣费，收入一年几千万，这个利润比贩毒的利润都高。

#8212;—中国科学院计算技术研究所高级工程师罗海勇

70%

一般一条SP业务的定制短信的费用2块钱，由于运营商这边可以收到确认定制增值服务的短信，所以说，按照规定，运营商可以提取30%的费用，即0.6元，剩下70%的费用，有10%由SP计费代码公司获得，也就是1毛4分钱，而剩下的90%，也就是一块两毛六，由恶意代码制作者来获得。

而在实际运行中，SP增值业务提供商一般也不会去监测渠道推广方对手机应用软件的推广方式。因此，用恶意代码方式牟利，每感染一个手机用户，就意味着增加一个长期吸血扣费的对象。

#8212;—曾接触过手机恶意代码业务的业内人士