對于一個手機(jī)木馬來說，這是最好的時代，也是最壞的時代。

• 說是最好的時代，因為絕大多數(shù)人都擁有至少一部手機(jī)，它們都是木馬的獵物。

• 說是最壞的時代，因為手機(jī)系統(tǒng)的安全系數(shù)正在以指數(shù)級的速度增長。如今木馬想要搞定一部手機(jī)，要付出的艱辛一點兒都不亞于歷史上真實木馬中的希臘戰(zhàn)士攻陷特洛伊。

危險的三道門

迫于“技術(shù)限制”，大多數(shù)木馬不可能為所欲為。在“敲詐木馬界”，一個通用的套路就是“打開三道門”：

第一道門：黑客利用各種渠道發(fā)送釣魚鏈接給受害者，受害者在誘騙之下點擊了鏈接，從而下載了惡意 App。

第二道門：隨后這個惡意 App 會請求用戶安裝，用戶需要同意。

第三道門：在安裝的過程中，它還會向用戶請求諸多權(quán)限，而粗心的用戶可能會不假思索地授權(quán)。

得到授權(quán)之后的惡意 App 可謂如虎添翼，兇相畢露。它會鎖住用戶的手機(jī)，然后向受害者索要比特幣贖金。

可以看到，這樣的敲詐木馬想要最終成功，大概需要和用戶進(jìn)行三次互動。而每一次互動都非?？赡茏屖芎φ呔X。所以就實際情況而言，這種敲詐的成功率比你想象得要低。

【手機(jī)敲詐軟件的勒索信/圖片來自騰訊電腦管家】

漏洞，黑客的解藥

如果一個敲詐木馬需要和用戶互動三次，這大概就像一個小偷去偷東西還要按門鈴。作為一個“有理想”的敲詐木馬，它的目標(biāo)就是干掉和用戶的這三次互動，采用“溜門撬鎖”的方法進(jìn)入核心地帶。

從木馬的角度來看，此時漏洞就是它的解藥。Android 系統(tǒng)可能存在各個層面的漏洞，然而絕大多數(shù)漏洞的目的都集中在兩個點上：“代碼執(zhí)行”和“提權(quán)”。

• 如果想讓用戶在不知不覺中下載惡意木馬，需要依靠“代碼執(zhí)行”漏洞，這就打開了上述的第一道門。

• 如果想實現(xiàn)后臺靜默安裝和取得權(quán)限，則需要“提權(quán)”漏洞，這就打開了上述的第二和第三道門。

事實上，打開這三道門遠(yuǎn)不如說起來這么簡單。首先，這個“代碼執(zhí)行漏洞”必須是質(zhì)量非常高的“遠(yuǎn)程代碼執(zhí)行漏洞”。顧名思義，必須由遠(yuǎn)端的服務(wù)器下發(fā)指令，實現(xiàn)本地手機(jī)上的代碼執(zhí)行。其次，“提權(quán)漏洞”必須把敲詐木馬的權(quán)限提升到 Root 級別，才能實現(xiàn)全程靜默安裝。

這樣的漏洞如同高精尖的武器，昂貴而難以獲得。就算是黑客手上擁有這樣的高質(zhì)量漏洞，它的使用窗口也是有限的。因為 Android 的親爹谷歌并不是吃素的。為了對抗層出不窮的木馬，谷歌每月都會為安卓系統(tǒng)發(fā)布官方更新補(bǔ)丁，封堵黑客們辛苦挖掘出來的漏洞。

然而，有一個悲傷的事實：對于天朝的童鞋來說，出于你懂的和不懂的原因，使用谷歌原生系統(tǒng)的人如鳳毛麟角。大多數(shù)人會使用手機(jī)廠商深度定制的系統(tǒng)，例如 MIUI、Flyme、Smartisan OS，它們的升級頻率和原生 Android 的步調(diào)是脫鉤的。

其實，在世界范圍內(nèi)，這個問題也是相當(dāng)嚴(yán)重。截止到2016年2月1日，Android 的最新版本 6.0 的普及率才剛剛超過1%，而 4.4 版本的安裝率仍然高居35.5%。這意味著，大多數(shù) Android 手機(jī)存在著未被修復(fù)的安全漏洞，暴露在木馬的槍口之下。

看一眼就懷孕的“網(wǎng)絡(luò)警察”

最近安全研究員們發(fā)現(xiàn)了一種名為網(wǎng)絡(luò)警察（Cyber.Police）的木馬變種，它的表現(xiàn)可謂讓人“印象深刻”。

這個木馬會隱藏在網(wǎng)頁的廣告代碼之中。它的可怕之處在于，用戶根本不需要進(jìn)行下載這個動作。當(dāng)你看到這條廣告的時候，木馬已經(jīng)通過遠(yuǎn)程漏洞將一段代碼下載到你的手機(jī)上，并且自動執(zhí)行了。

這段代碼的核心來自著名暴力 Root 軟件“Towelroot”，它可以在后臺悄無聲息地拿到系統(tǒng)的 Root 權(quán)限。一旦拿到 Root 權(quán)限，就相當(dāng)于買通了你的大管家，小偷從此可以自由出入你的豪華別野了。

接下來你的手機(jī)會被靜默安裝敲詐 App，這個 App 會在你的手機(jī)上置頂一張圖片，顯示你如果想要解鎖，需要為黑客買兩張價值100美金的 iTunes 禮品卡。（當(dāng)然，你也可以選擇買四張50美金的禮品卡。。。）此時你無論點擊什么位置，都將無效。

【手機(jī)被鎖定界面】

在“網(wǎng)絡(luò)警察”整個的勒索過程中，用戶完全不知情，直到木馬完成鎖定，受害者才恍然大悟。

360安全專家卞松山告訴雷鋒網(wǎng)，

之所以“網(wǎng)絡(luò)警察”能夠做得這么干凈利落，是因為他們使用了一個非常有殺傷力的遠(yuǎn)程代碼執(zhí)行漏洞，這些漏洞很早就被大名鼎鼎的網(wǎng)絡(luò)軍火商“Hacking Team”使用，2015年7月份隨著 HackingTeam數(shù)據(jù)泄露，被大眾所知。自那時開始，這些漏洞的分析和漏洞利用代碼，很容易就可以在Internet被訪問到。

在著名漏洞平臺烏云上，雷鋒網(wǎng)找到了對于這個漏洞利用的詳細(xì)技術(shù)分析（感興趣的童鞋戳這里）。通過這個分析可以看出，黑客連木馬的名字都沒有改動，就直接加以利用。

卞松山說，

這個木馬比較新鮮的地方是利用這些已公開的技術(shù)做出了新的攻擊手法，在用戶完全不知道的情況下，自動下載木馬并安裝。

雖然在漏洞泄露之后，谷歌在第一時間封堵了這個漏洞。但是，正因為 Android 系統(tǒng)碎片化極其嚴(yán)重，這個漏洞在 Android 4.0.3-4.4.4 上依然完美奏效。

這意味著，全球有一半的 Android 手機(jī)可以被這個木馬攻擊。

美國安全公司 Blue Coat 的專家表示，

如果不幸中招，其實并沒有必要按照黑客的要求支付贖金。通過刷機(jī)模式把手機(jī)恢復(fù)出廠設(shè)置就是一個很好的解決方案。當(dāng)然，在刷機(jī)之前不要忘記連接電腦備份你的重要資料。

需要注意的是，如果直接通過電腦把手機(jī)升級系統(tǒng)到 Android 4.4.4 以上是不奏效的，因為敲詐 App 對系統(tǒng)的鎖定已經(jīng)完成，而升級系統(tǒng)是不會對 App 造成影響的。

目前這個木馬的攻擊以歐美國家為主，卞松山告訴雷鋒網(wǎng)：

雖然在中國也存在這種類似功能的木馬，但是就木馬傳播的方式而言，在國內(nèi)暫時還沒有發(fā)現(xiàn)類似的案例。

實際上，網(wǎng)絡(luò)警察所使用的提權(quán)漏洞，對天朝的童鞋來說并不陌生。你還記得困擾你多時的全家桶嗎？你安裝了一個 App，在沒有進(jìn)行任何授權(quán)的情況下， 卻發(fā)現(xiàn)手機(jī)里多了同一家族的諸多 App。沒錯，這些全家桶廠商所利用的技術(shù)，和敲詐木馬基本一致。只不過他們還沒有下流到直接向用戶要禮品卡的程度。

對于用戶來說，有一個好消息。那就是目前絕大多數(shù)黑客所掌握的高危漏洞都集中在較低版本的 Android 系統(tǒng)上。如果你想保住自己手機(jī)的貞操，不讓流氓們隨意進(jìn)出的話，最好想辦法跟上谷歌升級系統(tǒng)的節(jié)奏。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。