近期，國內(nèi)某知名手機品牌被爆出通過和其他的公司合作的方式，將木馬程序植入到旗下2000多萬臺手機中，進行“拉活”業(yè)務28.84億多次，獲利超過2700萬元。

　　一直以來，木馬都隱藏在黑暗的深處，像這樣明目張膽的“官方木馬”還真不多見。今天，鵝師傅就來跟大家聊聊關于木馬的故事。

　　1 木馬的故事

　　“木馬”這個名字來源于希臘神話的《木馬屠城記》，英文是“Trojanhorse”，翻譯過來就是特洛伊木馬。

　　傳說古希臘有次圍攻特洛伊城，但卻花了很長時間都沒辦法攻下。于是有人就獻計做一只大木馬，讓士兵藏在木馬里，軍隊假裝撤退并把木馬遺棄在特洛伊城下。城里的士兵以為自己戰(zhàn)退敵軍，并把“木馬”作為戰(zhàn)利品拖到城內(nèi)。當夜里，全城的軍民放松警惕時，藏在木馬里的士兵打開秘門游繩而下，大開城門讓城外潛伏的軍隊乘虛而入，最后成功攻下特洛伊城。

　?。▓D片來源網(wǎng)絡）

　　而現(xiàn)在黑客程序也借用“木馬”這個名字，以表達這類程序“一經(jīng)潛入，后患無窮”的意思。

　　在過去的PC時代里，鵝師傅最糟心的就是在各類殺毒軟件中發(fā)現(xiàn)Trojan，簡直不堪回首。

　　那木馬和病毒是一回事嗎？

　　不是。很多人一聽到“木馬”就很自然地跟病毒聯(lián)系起來，但實際上木馬并不能稱為“病毒”。

　　“木馬”本質(zhì)上是一種遠程管理工具，跟我們平時用的遠程控制軟件有些相似，但是一般來說，遠程控制軟件屬于“善意”且可視的控制，而“木馬”往往都是偷偷地遠程控制，具有很強的隱蔽性。被控制的機器往往被成為“肉雞”。一旦被不法分子利用上，破壞力有時候比病毒還要可怕！

　　簡單來說，木馬更像是“潛伏者”，往往在暗處偷偷作惡。而病毒則是“暴徒”，正面硬剛，破壞性大，情緒還能相互傳染。

　　（木馬和病毒的區(qū)別）

　　木馬技術的發(fā)展可以說非常迅速，30多年的時間里就已經(jīng)進行了6代的更迭。

　　6代木馬的區(qū)分。

　　最原始的木馬是以簡單的竊取密碼為主，這也是第一代木馬的特點。第二代木馬在技術層面取得了很大的進步，冰河就是其中典型的代表（鵝師傅當年的網(wǎng)紅工具）。到了第三代木馬就開始對數(shù)據(jù)傳遞技術方面進行了改進，并且增加了殺毒軟件的識別難度。

　　第四和第五代木馬更主要的是對木馬程序的隱蔽性進行了更新，第四代采用的是內(nèi)核插入式的嵌入方式，而第五代采用的是驅(qū)動級木馬，兩者都很難被查殺到。

　　隨著身份認證和殺毒軟件主動防御的興起，第六代木馬以黏蟲技術和特殊反顯技術為主來盜取、篡改用戶敏感信息以及用動態(tài)口令和硬證書作為攻擊手段。

　　“暗云”系列的木馬病毒可以說是近年來最復雜的木馬之一，它可以使用多種復雜技術潛伏于用戶電腦中，而且還會通過不斷變種升級，對廣大用戶造成嚴重的安全影響。

　　當然了，隨著手機等智能設備的普及，木馬程序早已不只是存在于電腦里了……

　　2 一個典型手機木馬的詐騙場景

　　手機木馬通常會偽裝成合法軟件，偷偷地在后臺獲取你的個人信息（包括密碼賬號、通訊秘密、位置信息等）、盜竊財物、監(jiān)聽攝像頭和麥克風、獲取定位、安裝推廣應用賺錢、手機挖礦……

　?。ǖ湫湍抉R作惡情景示例）

　　舉個栗子，一個經(jīng)典的木馬詐騙場景，主要分為以下五個步驟：

　　短信鏈接

　　運行木馬

　　監(jiān)控手機

　　獲取信息

　　盜竊財物

　　1、短信鏈接

　　不法分子會利用偽基站來批量地發(fā)送含有木馬鏈接的短信到我們的手機上，類似于最近很火的新冠疫苗預約詐騙短信。

　　沒錯，騙子總能緊跟時事熱點，把騙術與時俱進地翻新。

　　2、安裝木馬

　　當你收到這類帶有釣魚鏈接的短信后，一旦點擊進去，這些網(wǎng)站通常會誘導你去下載某個軟件，或者是點擊鏈接后直接進行下載。

　　一般情況下，手機系統(tǒng)會詢問你是否要下載這個應用軟件，如果你點了“否”，那么下載就會被終止，木馬程序也不會植入到手機里。

　　但如果你沒有拒絕，真的把這個含有木馬程序的軟件下載并安裝到手機里，那么你就在騙子的引導下，完成了引狼入室的環(huán)節(jié)。

　　3、監(jiān)控手機

　　當你手機被木馬程序入侵后，入侵者會在你不知道的情況下，監(jiān)控著你在手機上的一舉一動，甚至可以秘密打開手機的麥克風和攝像頭來進行遠程監(jiān)聽、錄像、拍照等功能。

　　4、獲取信息

　　一部手機從被入侵的那一刻起，手機里的所有個人信息，包括短信、照片、通訊記錄、聊天記錄、移動支付信息等，都有可能被犯罪團伙竊取。

　　2019年，江蘇南京警方在“凈網(wǎng)2019”行動中，就曾偵破一起用手機軟件竊取個人隱私信息的案件。

　　由于不法分子通過技術手段把軟件的圖標隱藏了起來，一旦安裝了這款軟件，受害者是很難察覺的，而且手機里的實時位置信息、聊天內(nèi)容、通話記錄、短信等等都可以實時傳送到不法分子的手機中。

　　5、盜竊財物

　　對于不法分子來說，監(jiān)控和盜取信息只是過程，謀財才是最終目的。

　　2017年，溫州警方發(fā)現(xiàn)一起利用木馬程序盜刷銀行卡的案件。不法分子通過短信信息誘導手機用戶下載一款名為“和校園”的軟件（實際上是木馬程序）。

　　這款軟件安裝之后，不法分子通過攔截受害者的銀行短信、驗證碼等信息，對受害者銀行賬戶里的資金進行轉(zhuǎn)移。由于無法收到通知信息，當受害者發(fā)現(xiàn)的時候已經(jīng)損失了大量錢財。

　　那安卓系統(tǒng)和IOS系統(tǒng)，到底哪個風險更高？

　　IOS系統(tǒng)（此處并沒有廣告費）。對于手機木馬而言，IOS系統(tǒng)的手機要比Android系統(tǒng)更為安全一點。

　　由于安卓系統(tǒng)的開源性，各大軟件廠商可以在這里“百花齊放”，這也導致了其系統(tǒng)的安全性更為脆弱。而IOS系統(tǒng)處于一個相對封閉的環(huán)境中，對于外來的不知名軟件一般是無法安裝的，所有軟件都必須通過官方的應用商城下載，這在一定程度上保證了系統(tǒng)的安全性。

　　但所有的安全都是相對的，即使是封閉的IOS也不能保證絕對的安全。

　　總之，別打開來歷不明的鏈接，別下載來歷不明的軟件，才能最大程度地保障你的手機安全。

　　3 手機木馬的常見問題

　　手機木馬其實一直都有存在，從釣魚鏈接到惡意軟件再到硬件層面上的木馬程序，它的隱蔽性和攻擊性也在不斷升級。

　　幾個大家關心的問題：

　　打開網(wǎng)頁、掃描二維碼到底會不會感染木馬？

　　打開來路不明的app就一定會感染木馬嗎？

　　手機會感染其他系統(tǒng)的木馬嗎？

　　除了手機，智能手表、充電寶等也可能感染木馬？

　　……

　　下面鵝師傅來回答下，并講講目前手機木馬的幾個真實情況。

　　1、打開網(wǎng)頁、掃描二維碼到底會不會感染木馬？

　　隨著二維碼的普及，木馬程序不僅僅以鏈接的形式出現(xiàn)，有時候也會以二維碼的形式登場。

　　其實二維碼的本質(zhì)就是鏈接，如果只是打開鏈接或是掃描二維碼，幾乎不可能感染到木馬，因為網(wǎng)絡上的信息或js腳本是無法獲取手機權限。

　　一般來說，釣魚鏈接是用來誘導你填寫你的個人信息或者下載某個含有木馬病毒的軟件，并不會直接讓你手機感染到木馬病毒，除非你點擊鏈接后進行了其他后續(xù)操作。

　　2、打開來路不明的app就一定會感染木馬嗎？

　　當你下載并安裝了來路不明的APP，有一定概率會感染到木馬。

　　要知道，APP是可以獲取我們手機權限的，而大部分受害者因為沒注意到那個木馬軟件涉及的隱私權限授權就直接進行安裝導致手機系統(tǒng)的“淪陷”。

　　比如，前幾年一款名為“法老木馬”的手機病毒，它通過偽裝成“附近號碼”等APP查詢工具，表面上為用戶提供查詢手機號碼、車牌號碼等服務，實質(zhì)上偷偷自動下載Root工具，獲取手機系統(tǒng)的最高權限。黑客通過這個手機木馬病毒可以遠程控制手機隨意下載各種軟件，竊取用戶存儲在手機的重要隱私等等。

　　3、手機會感染其他系統(tǒng)的木馬嗎？

　　木馬本質(zhì)上是一種遠程管理軟件，而且它有特定的針對性。就像Windows系統(tǒng)的軟件無法直接在IOS系統(tǒng)上安裝一樣，針對Windows系統(tǒng)編寫的木馬不會感染手機，IOS手機里木馬也不會感染到安卓手機。所以，手機木馬都會有專門的系統(tǒng)針對性。

　　4、除了手機，智能手表、充電寶等硬件也可能感染木馬？

　　智能硬件，是感染木馬病毒的重災區(qū)。而手機木馬是目前最普遍存在的一種情況。

　　例如，有些SDK被不法分子制作內(nèi)嵌了木馬，在應用開發(fā)者不知情的情況下，通過他們所開發(fā)的正規(guī)應用，偷偷潛入用戶的手機，大量地刷廣告曝光量和點擊量，賺取巨額廣告費用。

　　還有，像某品牌手機被曝出的“木馬拉活”行為讓用戶莫名地會彈出不明的廣告或者默默下載了一些自己不想下載的app，對用戶來說雖然造成真實的損失比較少，但還是增加了一些麻煩。

　　手機之外的其他木馬們。

　　相較之下，另外幾種植入木馬的行為就更為惡心。有些老年機的廠商，將帶有木馬程序的移植包植入到手機主板中，一旦老年手機中插入電話卡，木馬程序就能獲取手機號碼等信息，還能自動攔截驗證碼，傳輸至后臺數(shù)據(jù)庫。

　　而這些通過非法手段獲取到的手機號碼和驗證碼會被賣給黑產(chǎn)下游，用來注冊各類網(wǎng)絡賬戶進行“薅羊毛”、刷量等。

　　除了老年機，黑產(chǎn)們已經(jīng)開始“進軍”共享充電寶、兒童電話手表等設備。

　　近日，公安部網(wǎng)安局發(fā)布了一則重要提醒：警惕身邊的共享充電寶陷阱。警方表示，我們常使用的共享充電寶可能被植入木馬程序，一旦插入手機，很可能就會盜取個人信息。

　　4 木馬們該當何罪！

　　鵝師傅對近年來有關“手機木馬”的案件進行統(tǒng)計和分析，實踐中常見的罪名有：

　　對于上游制作木馬向他人提供的行為人來說，木馬具有避開或者突破安全保護措施，未經(jīng)授權獲取數(shù)據(jù)、實施控制的功能，屬于專門用于侵入、非法控制計算機信息系統(tǒng)的程序、工具，一般并不具備正常的使用場景，只能是用于非法用途，因而提供木馬的行為無疑構(gòu)成提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪。

　　對于使用木馬作惡的中游黑產(chǎn)分子，根據(jù)其行為方式的不同，往往構(gòu)成不同的罪名。木馬通常是為了控制對方手機或獲取其中的數(shù)據(jù)，可能構(gòu)成非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪，但同時也可能構(gòu)成破壞計算機信息系統(tǒng)罪。對于這一行為的兩罪區(qū)分，近日最高院發(fā)布的第145號指導案例“張竣杰等非法控制計算機信息系統(tǒng)案”給出了參考，兩罪區(qū)分的關鍵在于是否對該信息系統(tǒng)內(nèi)有價值的數(shù)據(jù)進行增加、刪改，是否造成信息系統(tǒng)功能實質(zhì)性的破壞或不能正常運行。若是，則構(gòu)成破壞計算機信息系統(tǒng)罪；若否，則應認定為非法控制計算機信息系統(tǒng)罪等罪名。

　　同時，利用木馬獲取的手機數(shù)據(jù)也有可能是涉及公民個人信息，屬于非法獲取公民個人信息，屬于一行為同時觸犯兩罪名，同時成立侵犯公民個人信息罪。

　　而對于下游的黑產(chǎn)分子，費盡心思植入木馬，獲取信息，最終目的往往都是為了獲取財物。如通過木馬獲取他人信用卡信息資料進而使用的，構(gòu)成信用卡詐騙罪，通過木馬盜取他人的電子賬戶中財物的，則涉嫌構(gòu)成盜竊罪。