對(duì)于一個(gè)手機(jī)木馬來(lái)說(shuō)，這是最好的時(shí)代，也是最壞的時(shí)代。

• 說(shuō)是最好的時(shí)代，因?yàn)榻^大多數(shù)人都擁有至少一部手機(jī)，它們都是木馬的獵物。

• 說(shuō)是最壞的時(shí)代，因?yàn)槭謾C(jī)系統(tǒng)的安全系數(shù)正在以指數(shù)級(jí)的速度增長(zhǎng)。如今木馬想要搞定一部手機(jī)，要付出的艱辛一點(diǎn)兒都不亞于歷史上真實(shí)木馬中的希臘戰(zhàn)士攻陷特洛伊。

危險(xiǎn)的三道門

迫于“技術(shù)限制”，大多數(shù)木馬不可能為所欲為。在“敲詐木馬界”，一個(gè)通用的套路就是“打開三道門”：

第一道門：黑客利用各種渠道發(fā)送釣魚鏈接給受害者，受害者在誘騙之下點(diǎn)擊了鏈接，從而下載了惡意 App。

第二道門：隨后這個(gè)惡意 App 會(huì)請(qǐng)求用戶安裝，用戶需要同意。

第三道門：在安裝的過(guò)程中，它還會(huì)向用戶請(qǐng)求諸多權(quán)限，而粗心的用戶可能會(huì)不假思索地授權(quán)。

得到授權(quán)之后的惡意 App 可謂如虎添翼，兇相畢露。它會(huì)鎖住用戶的手機(jī)，然后向受害者索要比特幣贖金。

可以看到，這樣的敲詐木馬想要最終成功，大概需要和用戶進(jìn)行三次互動(dòng)。而每一次互動(dòng)都非?？赡茏屖芎φ呔X。所以就實(shí)際情況而言，這種敲詐的成功率比你想象得要低。

【手機(jī)敲詐軟件的勒索信/圖片來(lái)自騰訊電腦管家】

漏洞，黑客的解藥

如果一個(gè)敲詐木馬需要和用戶互動(dòng)三次，這大概就像一個(gè)小偷去偷東西還要按門鈴。作為一個(gè)“有理想”的敲詐木馬，它的目標(biāo)就是干掉和用戶的這三次互動(dòng)，采用“溜門撬鎖”的方法進(jìn)入核心地帶。

從木馬的角度來(lái)看，此時(shí)漏洞就是它的解藥。Android 系統(tǒng)可能存在各個(gè)層面的漏洞，然而絕大多數(shù)漏洞的目的都集中在兩個(gè)點(diǎn)上：“代碼執(zhí)行”和“提權(quán)”。

• 如果想讓用戶在不知不覺中下載惡意木馬，需要依靠“代碼執(zhí)行”漏洞，這就打開了上述的第一道門。

• 如果想實(shí)現(xiàn)后臺(tái)靜默安裝和取得權(quán)限，則需要“提權(quán)”漏洞，這就打開了上述的第二和第三道門。

事實(shí)上，打開這三道門遠(yuǎn)不如說(shuō)起來(lái)這么簡(jiǎn)單。首先，這個(gè)“代碼執(zhí)行漏洞”必須是質(zhì)量非常高的“遠(yuǎn)程代碼執(zhí)行漏洞”。顧名思義，必須由遠(yuǎn)端的服務(wù)器下發(fā)指令，實(shí)現(xiàn)本地手機(jī)上的代碼執(zhí)行。其次，“提權(quán)漏洞”必須把敲詐木馬的權(quán)限提升到 Root 級(jí)別，才能實(shí)現(xiàn)全程靜默安裝。

這樣的漏洞如同高精尖的武器，昂貴而難以獲得。就算是黑客手上擁有這樣的高質(zhì)量漏洞，它的使用窗口也是有限的。因?yàn)?Android 的親爹谷歌并不是吃素的。為了對(duì)抗層出不窮的木馬，谷歌每月都會(huì)為安卓系統(tǒng)發(fā)布官方更新補(bǔ)丁，封堵黑客們辛苦挖掘出來(lái)的漏洞。

然而，有一個(gè)悲傷的事實(shí)：對(duì)于天朝的童鞋來(lái)說(shuō)，出于你懂的和不懂的原因，使用谷歌原生系統(tǒng)的人如鳳毛麟角。大多數(shù)人會(huì)使用手機(jī)廠商深度定制的系統(tǒng)，例如 MIUI、Flyme、Smartisan OS，它們的升級(jí)頻率和原生 Android 的步調(diào)是脫鉤的。

其實(shí)，在世界范圍內(nèi)，這個(gè)問(wèn)題也是相當(dāng)嚴(yán)重。截止到2016年2月1日，Android 的最新版本 6.0 的普及率才剛剛超過(guò)1%，而 4.4 版本的安裝率仍然高居35.5%。這意味著，大多數(shù) Android 手機(jī)存在著未被修復(fù)的安全漏洞，暴露在木馬的槍口之下。

看一眼就懷孕的“網(wǎng)絡(luò)警察”

最近安全研究員們發(fā)現(xiàn)了一種名為網(wǎng)絡(luò)警察（Cyber.Police）的木馬變種，它的表現(xiàn)可謂讓人“印象深刻”。

這個(gè)木馬會(huì)隱藏在網(wǎng)頁(yè)的廣告代碼之中。它的可怕之處在于，用戶根本不需要進(jìn)行下載這個(gè)動(dòng)作。當(dāng)你看到這條廣告的時(shí)候，木馬已經(jīng)通過(guò)遠(yuǎn)程漏洞將一段代碼下載到你的手機(jī)上，并且自動(dòng)執(zhí)行了。

這段代碼的核心來(lái)自著名暴力 Root 軟件“Towelroot”，它可以在后臺(tái)悄無(wú)聲息地拿到系統(tǒng)的 Root 權(quán)限。一旦拿到 Root 權(quán)限，就相當(dāng)于買通了你的大管家，小偷從此可以自由出入你的豪華別野了。

接下來(lái)你的手機(jī)會(huì)被靜默安裝敲詐 App，這個(gè) App 會(huì)在你的手機(jī)上置頂一張圖片，顯示你如果想要解鎖，需要為黑客買兩張價(jià)值100美金的 iTunes 禮品卡。（當(dāng)然，你也可以選擇買四張50美金的禮品卡。。。）此時(shí)你無(wú)論點(diǎn)擊什么位置，都將無(wú)效。

【手機(jī)被鎖定界面】

在“網(wǎng)絡(luò)警察”整個(gè)的勒索過(guò)程中，用戶完全不知情，直到木馬完成鎖定，受害者才恍然大悟。

360安全專家卞松山告訴雷鋒網(wǎng)，

之所以“網(wǎng)絡(luò)警察”能夠做得這么干凈利落，是因?yàn)樗麄兪褂昧艘粋€(gè)非常有殺傷力的遠(yuǎn)程代碼執(zhí)行漏洞，這些漏洞很早就被大名鼎鼎的網(wǎng)絡(luò)軍火商“Hacking Team”使用，2015年7月份隨著 HackingTeam數(shù)據(jù)泄露，被大眾所知。自那時(shí)開始，這些漏洞的分析和漏洞利用代碼，很容易就可以在Internet被訪問(wèn)到。

在著名漏洞平臺(tái)烏云上，雷鋒網(wǎng)找到了對(duì)于這個(gè)漏洞利用的詳細(xì)技術(shù)分析（感興趣的童鞋戳這里）。通過(guò)這個(gè)分析可以看出，黑客連木馬的名字都沒(méi)有改動(dòng)，就直接加以利用。

卞松山說(shuō)，

這個(gè)木馬比較新鮮的地方是利用這些已公開的技術(shù)做出了新的攻擊手法，在用戶完全不知道的情況下，自動(dòng)下載木馬并安裝。

雖然在漏洞泄露之后，谷歌在第一時(shí)間封堵了這個(gè)漏洞。但是，正因?yàn)?Android 系統(tǒng)碎片化極其嚴(yán)重，這個(gè)漏洞在 Android 4.0.3-4.4.4 上依然完美奏效。

這意味著，全球有一半的 Android 手機(jī)可以被這個(gè)木馬攻擊。

美國(guó)安全公司 Blue Coat 的專家表示，

如果不幸中招，其實(shí)并沒(méi)有必要按照黑客的要求支付贖金。通過(guò)刷機(jī)模式把手機(jī)恢復(fù)出廠設(shè)置就是一個(gè)很好的解決方案。當(dāng)然，在刷機(jī)之前不要忘記連接電腦備份你的重要資料。

需要注意的是，如果直接通過(guò)電腦把手機(jī)升級(jí)系統(tǒng)到 Android 4.4.4 以上是不奏效的，因?yàn)榍迷p App 對(duì)系統(tǒng)的鎖定已經(jīng)完成，而升級(jí)系統(tǒng)是不會(huì)對(duì) App 造成影響的。

目前這個(gè)木馬的攻擊以歐美國(guó)家為主，卞松山告訴雷鋒網(wǎng)：

雖然在中國(guó)也存在這種類似功能的木馬，但是就木馬傳播的方式而言，在國(guó)內(nèi)暫時(shí)還沒(méi)有發(fā)現(xiàn)類似的案例。

實(shí)際上，網(wǎng)絡(luò)警察所使用的提權(quán)漏洞，對(duì)天朝的童鞋來(lái)說(shuō)并不陌生。你還記得困擾你多時(shí)的全家桶嗎？你安裝了一個(gè) App，在沒(méi)有進(jìn)行任何授權(quán)的情況下， 卻發(fā)現(xiàn)手機(jī)里多了同一家族的諸多 App。沒(méi)錯(cuò)，這些全家桶廠商所利用的技術(shù)，和敲詐木馬基本一致。只不過(guò)他們還沒(méi)有下流到直接向用戶要禮品卡的程度。

對(duì)于用戶來(lái)說(shuō)，有一個(gè)好消息。那就是目前絕大多數(shù)黑客所掌握的高危漏洞都集中在較低版本的 Android 系統(tǒng)上。如果你想保住自己手機(jī)的貞操，不讓流氓們隨意進(jìn)出的話，最好想辦法跟上谷歌升級(jí)系統(tǒng)的節(jié)奏。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。