企业级的恶意程序拥有强大的开发能力、传播能力，手段更加隐蔽，危害也更大，社会影响更大，企业级恶意开发者正在大显身手，本文将解密他们的运作机制，提出应对策略，打击恶意程序的发展链条，从而给移动应用者一个清平的世界。

　　陈宏伟  360高级手机样本分析师

　　恶意程序开发者，这个定义来源于360移动平台中的恶意开发者数据。从图1可以看出，2013年，恶意程序的开发者数量，个人开发者的数量（2442个）明显要比“企业级”开发者（1496个）多。2014年，个人开发者的量（1579个）有所下降，“企业级”开发者的数量（1292个）下降反而不是那么明显。2015年，个人恶意开发者的数量出现锐减，仅为1114个，反而企业开发者的人数更多一些。

　　我们得出一个结论，基于移动开放平台的恶意个人开发者的数量，是在减少，而“企业级”开发者，它的数量相对稳定，而且还有一个增长的趋势。那么，为什么开发者会演变成为恶意开发者？

　　恶意开发者有几类：第一，使用恶意广告；第二，发布山寨应用，发布低俗色情应用，强制下载第三方应用，无提示扣费。当然这也是其赚钱的方式。第三，窥探用户隐私；第四，提交虚假的身份信息。为什么虚假信息也是恶意开发者的一项？因为在360移动平台提交应用或者上传App，需要做一个开发者信息校验的，而某一些人为了躲避校验就要上传虚假信息，当然他一旦上传虚假信息就被拉黑了。但由此统计出来企业级恶意开发者的数量越来越多。

　　流行的恶意程序类别

　　那么，这些恶意开发者到底做了什么？

　　（1）流量僵尸木马

　　2015年7月，我们发现有90余款游戏被植入了一段恶意代码，这段代码会在用户不知情的情况下联网下载一个模块，这个模块的目的是为给某收费引擎和导航刷流量，于是便会下载另外一个列表，里面含有搜索关键字。其在后台模拟一个完整用户点击的情况下去做一个搜索，而且每次解锁之后都会做一次搜索，从而给用户造成极大的流量损失。该行为是受云端所控制的，如同一个僵尸一样，所以我们命名为流量僵尸。

　　流量僵尸木马第一个模块就是下载恶意模块，其自身不能自动实现，需要动态地从云端获取代码。我们截获了它下载代码的截图，随后拿到了模块，发现其最重要的目标是给搜索引擎带点击量，搜索内容比较丰富，还有分类，包括娱乐、时政、新闻等。其关键词非常精确，之所以这么做的原因就是在模拟一个真实的用户，从而不会被搜索引擎的机制所发现。最后一步是模拟用户做一个搜索的操作。针对流量僵尸这一批样本，我们做了一个完整分析，发现有26%的应用是这样做的。

　　（2）暗扣木马

　　2015年8月，某品牌的用户扩展更新，发现了截图的情况，手机上凭空多了一个应用，关了以后还会打开，删了以后还会出现。有些用户的手机还显示了ROOT。那么到底发生了什么呢？

　　这个木马经过详细的分析以后，发现大概是这样一个执行流程。首先它伪装成某一款正常的软件进入到用户的手机中，自带ROOT模块，进入用户手机就会把这个模块释放出来，在静默的情况下ROOT用户的手机，如果用户ROOT不了，它还会从云端继续ROOT用户的手机。如果ROOT不成功，它就不工作了，如果ROOT成功，它就会ROOT其他模块。手机感染该木马之后还会篡改系统文件，这就是为什么有用户手机出现中了毒删不掉的问题。它有强大的自我保护。

　　随后我们进行了彻底的大排查。我们在一个伪装成游戏的软件，daily racing的变种，在其运行的衍生物中发现了名为ngsteamprf.xml的配置文件。这是fastmotay的文件，也是我们之前所说的最主要的核心病毒程序。在另一个变种的方式中，也发现了。当然不仅是我们发现了，又过几个月，国外FireEye在其博客中也发布了该恶意程序，指出这个恶意程序的作者来自一家中国公司。

　　fastmopay、ngsteam、xinyinhe，它们同隶属于深圳一家公司。通过注册信息，我们知道这家公司是深圳的，实际公司的总部在北京，在北京、上海设有站点，它的核心研发在北京。这家公司员工人数100人左右，技术研发10人左右。这10个人都不是一般人，他们大多数来自互联网跳槽的公司，都是技术高手。这家公司最鼎盛的时候，技术人员有50人左右。其他的人员都是以销售和运营为主。那么，其业务是什么？线上广告推广、应用计费；线下渠道，应用、预装和刷机。他们做的到底是什么？暗扣和流氓广告。流氓广告可能很多人都遇到过，使用安卓系统的手机上都会弹出几个广告，一碰就下载，一碰就扣钱。暗扣与流氓广告的区别是钱从哪里来。流氓广告赚的是广告主的钱，暗扣赚的就是用户的手机话费。

　　暗扣的产业链如图2所示。首先出现的是电信运营商。接下来是软件公司，代理商，渠道商，以及内容提供商。电信运营商作为一个服务，它是一个服务提供者。软件公司，是用正规的应用申请计费代码。我们所说的计费代码都是短信的计费代码，发信息都是付费的，比如发教育类的信息是多少钱，需要付费，就需要向运营商申请一套计费代码。如果软件公司的信息额度用不完，剩下的信息条数就可以卖给代理商，而这个计费代码是嵌在应用程序里面，那么，代理商需要找人把计费代码抠出来，卖给渠道商。知道的人越多越不好，它就会把这个代码封装成SDK，既方便它花钱，也方便它赚钱。渠道商把SDK又卖出去，给了内容提供商，到这里钱就出来了。最终应用会获利，通过扣费。这个钱一步一步往下返。按照行业内部规则，谁有话语权谁就拿得多，大家都很高兴，都拿到了钱。