大家好，我是鵝師傅。

近期，國内某知名手機品牌被爆出通過和其他的公司合作的方式，将木馬程序植入到旗下2000多萬台手機中，進行“拉活”業務28.84億多次，獲利超過2700萬元。

一直以來，木馬都隐藏在黑暗的深處，像這樣明目張膽的“官方木馬”還真不多見。今天，鵝師傅就來跟大家聊聊關于木馬的故事。

1

木馬的故事

“木馬”這個名字來源于希臘神話的《木馬屠城記》，英文是“Trojanhorse”，翻譯過來就是特洛伊木馬。

傳說古希臘有次圍攻特洛伊城，但卻花了很長時間都沒辦法攻下。于是有人就獻計做一隻大木馬，讓士兵藏在木馬裡，軍隊假裝撤退并把木馬遺棄在特洛伊城下。城裡的士兵以為自己戰退敵軍，并把“木馬”作為戰利品拖到城内。當夜裡，全城的軍民放松警惕時，藏在木馬裡的士兵打開秘門遊繩而下，大開城門讓城外潛伏的軍隊乘虛而入，最後成功攻下特洛伊城。

（圖片來源網絡）

而現在黑客程序也借用“木馬”這個名字，以表達這類程序“一經潛入，後患無窮”的意思。

在過去的PC時代裡，鵝師傅最糟心的就是在各類殺毒軟件中發現Trojan，簡直不堪回首。

那木馬和病毒是一回事嗎？

不是。很多人一聽到“木馬”就很自然地跟病毒聯系起來，但實際上木馬并不能稱為“病毒”。

“木馬”本質上是一種遠程管理工具，跟我們平時用的遠程控制軟件有些相似，但是一般來說，遠程控制軟件屬于“善意”且可視的控制，而“木馬”往往都是偷偷地遠程控制，具有很強的隐蔽性。被控制的機器往往被成為“肉雞”。一旦被不法分子利用上，破壞力有時候比病毒還要可怕！

簡單來說，木馬更像是“潛伏者”，往往在暗處偷偷作惡。而病毒則是“暴徒”，正面硬剛，破壞性大，情緒還能相互傳染。

（木馬和病毒的區别）

木馬技術的發展可以說非常迅速，30多年的時間裡就已經進行了6代的更叠。

6代木馬的區分。

最原始的木馬是以簡單的竊取密碼為主，這也是第一代木馬的特點。第二代木馬在技術層面取得了很大的進步，冰河就是其中典型的代表（鵝師傅當年的網紅工具）。到了第三代木馬就開始對數據傳遞技術方面進行了改進，并且增加了殺毒軟件的識别難度。

第四和第五代木馬更主要的是對木馬程序的隐蔽性進行了更新，第四代采用的是内核插入式的嵌入方式，而第五代采用的是驅動級木馬，兩者都很難被查殺到。

随着身份認證和殺毒軟件主動防禦的興起，第六代木馬以黏蟲技術和特殊反顯技術為主來盜取、篡改用戶敏感信息以及用動态口令和硬證書作為攻擊手段。

“暗雲“系列的木馬病毒可以說是近年來最複雜的木馬之一，它可以使用多種複雜技術潛伏于用戶電腦中，而且還會通過不斷變種升級，對廣大用戶造成嚴重的安全影響。

當然了，随着手機等智能設備的普及，木馬程序早已不隻是存在于電腦裡了......

2

一個典型手機木馬的詐騙場景

手機木馬通常會僞裝成合法軟件，偷偷地在後台獲取你的個人信息（包括密碼賬号、通訊秘密、位置信息等）、盜竊财物、監聽攝像頭和麥克風、獲取定位、安裝推廣應用賺錢、手機挖礦......

（典型木馬作惡情景示例）

舉個栗子，一個經典的木馬詐騙場景，主要分為以下五個步驟：

1、短信鍊接

不法分子會利用僞基站來批量地發送含有木馬鍊接的短信到我們的手機上，類似于最近很火的新冠疫苗預約詐騙短信。

沒錯，騙子總能緊跟時事熱點，把騙術與時俱進地翻新。

2、安裝木馬

當你收到這類帶有釣魚鍊接的短信後，一旦點擊進去，這些網站通常會誘導你去下載某個軟件，或者是點擊鍊接後直接進行下載。

一般情況下，手機系統會詢問你是否要下載這個應用軟件，如果你點了“否”，那麼下載就會被終止，木馬程序也不會植入到手機裡。

但如果你沒有拒絕，真的把這個含有木馬程序的軟件下載并安裝到手機裡，那麼你就在騙子的引導下，完成了引狼入室的環節。

3、監控手機

當你手機被木馬程序入侵後，入侵者會在你不知道的情況下，監控着你在手機上的一舉一動，甚至可以秘密打開手機的麥克風和攝像頭來進行遠程監聽、錄像、拍照等功能。

4、獲取信息

一部手機從被入侵的那一刻起，手機裡的所有個人信息，包括短信、照片、通訊記錄、聊天記錄、移動支付信息等，都有可能被犯罪團夥竊取。

2019年，江蘇南京警方在“淨網2019”行動中，就曾偵破一起用手機軟件竊取個人隐私信息的案件。

由于不法分子通過技術手段把軟件的圖标隐藏了起來，一旦安裝了這款軟件，受害者是很難察覺的，而且手機裡的實時位置信息、聊天内容、通話記錄、短信等等都可以實時傳送到不法分子的手機中。

5、盜竊财物

對于不法分子來說，監控和盜取信息隻是過程，謀财才是最終目的。

2017年，溫州警方發現一起利用木馬程序盜刷銀行卡的案件。不法分子通過短信信息誘導手機用戶下載一款名為“和校園”的軟件（實際上是木馬程序）。

這款軟件安裝之後，不法分子通過攔截受害者的銀行短信、驗證碼等信息，對受害者銀行賬戶裡的資金進行轉移。由于無法收到通知信息，當受害者發現的時候已經損失了大量錢财。

那安卓系統和IOS系統，到底哪個風險更高？

IOS系統（此處并沒有廣告費）。對于手機木馬而言，IOS系統的手機要比Android系統更為安全一點。

由于安卓系統的開源性，各大軟件廠商可以在這裡“百花齊放”，這也導緻了其系統的安全性更為脆弱。而IOS系統處于一個相對封閉的環境中，對于外來的不知名軟件一般是無法安裝的，所有軟件都必須通過官方的應用商城下載，這在一定程度上保證了系統的安全性。

但所有的安全都是相對的，即使是封閉的IOS也不能保證絕對的安全。

總之，别打開來曆不明的鍊接，别下載來曆不明的軟件，才能最大程度地保障你的手機安全。

3

手機木馬的常見問題

手機木馬其實一直都有存在，從釣魚鍊接到惡意軟件再到硬件層面上的木馬程序，它的隐蔽性和攻擊性也在不斷升級。

幾個大家關心的問題：

打開網頁、掃描二維碼到底會不會感染木馬？

打開來路不明的app就一定會感染木馬嗎？

手機會感染其他系統的木馬嗎？

除了手機，智能手表、充電寶等也可能感染木馬？

……

下面鵝師傅來回答下，并講講目前手機木馬的幾個真實情況。

1、打開網頁、掃描二維碼到底會不會感染木馬？

随着二維碼的普及，木馬程序不僅僅以鍊接的形式出現，有時候也會以二維碼的形式登場。

其實二維碼的本質就是鍊接，如果隻是打開鍊接或是掃描二維碼，幾乎不可能感染到木馬，因為網絡上的信息或js腳本是無法獲取手機權限。

一般來說，釣魚鍊接是用來誘導你填寫你的個人信息或者下載某個含有木馬病毒的軟件，并不會直接讓你手機感染到木馬病毒，除非你點擊鍊接後進行了其他後續操作。

2、打開來路不明的app就一定會感染木馬嗎？

當你下載并安裝了來路不明的APP，有一定概率會感染到木馬。

要知道，APP是可以獲取我們手機權限的，而大部分受害者因為沒注意到那個木馬軟件涉及的隐私權限授權就直接進行安裝導緻手機系統的“淪陷”。

比如，前幾年一款名為“法老木馬”的手機病毒，它通過僞裝成“附近号碼”等APP查詢工具，表面上為用戶提供查詢手機号碼、車牌号碼等服務，實質上偷偷自動下載Root工具，獲取手機系統的最高權限。黑客通過這個手機木馬病毒可以遠程控制手機随意下載各種軟件，竊取用戶存儲在手機的重要隐私等等。

3、手機會感染其他系統的木馬嗎？

木馬本質上是一種遠程管理軟件，而且它有特定的針對性。就像Windows系統的軟件無法直接在IOS系統上安裝一樣，針對Windows系統編寫的木馬不會感染手機，IOS手機裡木馬也不會感染到安卓手機。所以，手機木馬都會有專門的系統針對性。

4、除了手機，智能手表、充電寶等硬件也可能感染木馬？

智能硬件，是感染木馬病毒的重災區。而手機木馬是目前最普遍存在的一種情況。

例如，有些SDK被不法分子制作内嵌了木馬，在應用開發者不知情的情況下，通過他們所開發的正規應用，偷偷潛入用戶的手機，大量地刷廣告曝光量和點擊量，賺取巨額廣告費用。

還有，像某品牌手機被曝出的“木馬拉活”行為讓用戶莫名地會彈出不明的廣告或者默默下載了一些自己不想下載的app，對用戶來說雖然造成真實的損失比較少，但還是增加了一些麻煩。

手機之外的其他木馬們。

相較之下，另外幾種植入木馬的行為就更為惡心。有些老年機的廠商，将帶有木馬程序的移植包植入到手機主闆中，一旦老年手機中插入電話卡，木馬程序就能獲取手機号碼等信息，還能自動攔截驗證碼，傳輸至後台數據庫。

而這些通過非法手段獲取到的手機号碼和驗證碼會被賣給黑産下遊，用來注冊各類網絡賬戶進行“薅羊毛”、刷量等。

除了老年機，黑産們已經開始“進軍”共享充電寶、兒童電話手表等設備。

近日，公安部網安局發布了一則重要提醒：警惕身邊的共享充電寶陷阱。警方表示，我們常使用的共享充電寶可能被植入木馬程序，一旦插入手機，很可能就會盜取個人信息。

4

木馬們該當何罪！

鵝師傅對近年來有關“手機木馬”的案件進行統計和分析，實踐中常見的罪名有：

對于上遊制作木馬向他人提供的行為人來說，木馬具有避開或者突破安全保護措施，未經授權獲取數據、實施控制的功能，屬于專門用于侵入、非法控制計算機信息系統的程序、工具，一般并不具備正常的使用場景，隻能是用于非法用途，因而提供木馬的行為無疑構成提供侵入、非法控制計算機信息系統程序、工具罪。

對于使用木馬作惡的中遊黑産分子，根據其行為方式的不同，往往構成不同的罪名。木馬通常是為了控制對方手機或獲取其中的數據，可能構成非法獲取計算機信息系統數據、非法控制計算機信息系統罪，但同時也可能構成破壞計算機信息系統罪。對于這一行為的兩罪區分，近日最高院發布的第145号指導案例“張竣傑等非法控制計算機信息系統案”給出了參考，兩罪區分的關鍵在于是否對該信息系統内有價值的數據進行增加、删改，是否造成信息系統功能實質性的破壞或不能正常運行。若是，則構成破壞計算機信息系統罪；若否，則應認定為非法控制計算機信息系統罪等罪名。

同時，利用木馬獲取的手機數據也有可能是涉及公民個人信息，屬于非法獲取公民個人信息，屬于一行為同時觸犯兩罪名，同時成立侵犯公民個人信息罪。

而對于下遊的黑産分子，費盡心思植入木馬，獲取信息，最終目的往往都是為了獲取财物。如通過木馬獲取他人信用卡信息資料進而使用的，構成信用卡詐騙罪，通過木馬盜取他人的電子賬戶中财物的，則涉嫌構成盜竊罪。

關于木馬，你還有什麼想告訴鵝師傅的，歡迎留言分享！

來源： 騰訊安全戰略研究

責任編輯：藍色海

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!