手机中暗藏的魔鬼，养料是你的个人信息

2019-8-5  腾讯手机管家

今天要给大家分享一个新型黑产，它是在手机里暗度陈仓、 鸠占鹊巢、猖狂的魔鬼，以吞噬手机里的个人信息为生。

我们都知道在网上下载安装来路不明的APP，手机是有可能中毒变“肉鸡”的。

随着手机应用市场的技术升级，黑产团伙也觉得开发山寨盗版app的成本太高，难度越来越大，因此想出了新的办法。

这是一个可以在用户毫不知情的情况下，让手机变成“肉鸡”，给黑产“免费打工”、送人头的新型黑产——恶意SDK。

SDK全称是SoftwareDevelopment Kit，也就是“软件开发工具包”。

有部分app开发者为了降低成本、提高效率，会将app中的某个功能交给第三方去开发。

最后第三方会将这个功能封装成SDK工具包，给到app开发者。

我们可以把SDK理解为一种组装模块。例如一部手机，芯片是高通的，屏幕是三星的，摄像头是索尼的，而SDK就相当于手机上的摄像头、屏幕或者芯片。

还是有点难懂？再来一个例子。

我们把app开发者类比成厨师，厨师在做一道“佛跳墙”名菜，那么做菜所使用的酱油、糖、醋等调味料相当于“佛跳墙”的SDK。

因为这些都是直接从隔壁商店购买的，而不是厨师自己做的，毕竟自己酿造酱油、醋之类的太麻烦了。

这样一来，不仅省事儿方便，这道菜的价格也会更平民一些。

中国智能手机用户数量位居全球第一，对手机APP也有着强盛的需求，从而造就了中国相当繁荣的移动应用软件市场。

与此同时，为APP提供SDK的第三方服务供应商也应运而生。

最常见的SDK类型主要有这几种：

推送类
第三方登录分享类
支付类
广告类
数据统计分析类

App开发者在成本、时间的限制下，需要快马加鞭上线产品，使用第三方SDK已经是相当普遍的现象。

毕竟并不是每个手机厂商都有自己造屏幕的能力，或者说每个厨师都懂得怎么酿造酱油。

▶ 1.
价值不菲的个人信息

“包邮免费送礼品，如床上四件套、平衡车、行李箱等，只需转发海报至朋友圈或者群发好友即可免费领取”。不法分子往往会打着宣传公司的名义举办此类活动。



但我们往往会忽略，骗子不是直接要你的钱，而是要的在你无意留下收货的个人信息，礼品也是根本不存在的。

低成本的金融诈骗，也可以“一举多得”甚至是连环诈骗。急于贷款的人，往往会被诱导填写多种重要的个人信息，而这些所谓的内部人员，并不能帮你批下贷款。



精准的公民信息，才是黑产人员的最爱。拒绝透漏自己的个人信息是保护我们隐私的第一步，否则当有陌生人准确叫出你的名字时，也不要大惊小怪了。

▶ 2.
把你的账号租给我，200元一天

只要将自己的社交账号出租，每天就可以坐收几百元，这样的生意听起来似乎不错，但这背后却是黑产链中的一环。

如果轻易出租账号，等于是把自己和朋友的信息，暴露在不法分子面前。就算你事先把手机号、社交账号、银行卡等解绑，一旦将账号交出，他们就会通过群聊大量加人，以你的名义来实施诈骗，甚至从事站街、赌博等非法行为，而后果很可能由你来买单。

不要和骗子做生意，看似高回报,最后都是直接被盗号，当你给了账号、密码那一刻开始，账号和安全就不属于你了。

▶ 3.

你注册的账号真的正规吗

网上注册账户，尤其是一些赌博网址、非法游戏、不合规软件等，越是需要你填写详细的信息，越要留意。有的不法软件或网址，甚至带有木马病毒，不仅能套取你填写的信息，还能套取手机中的其他信息。

以上还只是部分搜集公民信息的场景，下面我们再来看信息是如何交易的。

然而问题又来了，第三方SDK开发一般侧重完善功能，往往在安全性方面投入不够，这导致第三方SDK存在一些安全问题。

就像做煮菜烹饪的厨师更重视食材的新鲜、烹饪的方法，却会忽略酱油、醋可能会存在问题。

非法恶意的SDK主要存在以下三种安全问题：

违规收集用户个人信息
借助合法APP进行恶意操作
自身存在未知安全漏洞

▍1. 违规收集用户个人信息

这一类 SDK 堪称入室大盗，它能够收集个人信息标识、位置信息、设备信息、用户偏好、联系人等手机里的重要信息。

黑产会通过SDK，将这些信息偷偷上传到远程服务器上。

更加让人无语的是，有些SDK在窃取信息后，是通过明文上传到服务器的，甚至有些服务器架设在海外。

​

被收集的个人信息可能会用于所谓的“精准营销”，也有可能被黑产团伙用于买卖、撞库。

这种窃取用户信息的行为，可以说是毫无底线。

▍2. 借助合法APP进行恶意操作

这类借助合法APP进行恶意操作的SDK，做着暗度陈仓、鸠占鹊巢的事情。

它们借助合法应用的外壳，从而逃避一些应用市场和安全厂商的检测。

当合法应用被下载安装后，这些恶意SDK就会利用后门，将用户的手机变成“肉鸡”，进而在手机上获取用户隐私信息、悄悄添加联系人、悄悄远程安装APP，为所欲为。

去年 4 月，腾讯安全反诈骗实验室就曾捕获一个名为“寄生推”的恶意SDK。它会通过后门远程开启恶意功能，ROOT用户设备，接着植入恶意模块，在用户手机上进行恶意的广告和应用推广。

当时“寄生推”SDK殃及300 款知名的APP，潜在影响用户超过2000万。

这种借壳把手机变“肉鸡”的恶意SDK，用猖狂来形容也不为过。

▍3.自身存在未知安全漏洞

近年来，不少知名SDK被爆存在安全漏洞，虽然这些SDK并没有恶意行为，但那些漏洞足以让黑产团伙用来对APP、用户进行恶意攻击。

某种程度而言，缺乏安全审核环节、自身存在各种漏洞的SDK，被应用到各类APP上，也是一种作恶。这种情况实在令人堪忧。

恶意SDK可以开后门窃取用户数据，甚至把用户的智能手机变成为APP拉活、广告刷量的“肉鸡”。

它的危害主要有两点：

▍1. 影响范围广，对用户信息危害严重

当前，恶意开发者更多地从直接开发App应用转向开发SDK，向安卓应用供应链的上游转移。

通过提供恶意的 SDK 给应用开发者，恶意开发者可以复用这些应用的分发渠道，从而扩大影响用户的范围。

因此，恶意 SDK 非法采集用户个人信息，可以理解为是从“源头”施加的危害，相比个别 APP 侵犯公民信息，其影响力显然更加巨大。 

▍2. 隐蔽性强

恶意SDK隐藏在合法APP的背后，在悄悄作案时，可以做到让普通用户无法察觉，因此具有实施危害的隐蔽性。

总的来说，这些恶意SDK的行为，不仅在侵犯公民个人信息、侵犯广大网民的公共利益，也在严重伤害互联网行业的良好生态。

手机上所使用的APP越来越多，恶意APP已经让人头疼，那些潜藏在APP背后的恶意SDK着实是防不胜防。

对于黑产团伙而言，各类APP的用户是隐私信息的源头。而我们这些用户却又是信息泄露的最终受害者。

为了防止恶意SDK，APP开发者应该在集成第三方SDK时提高警惕，避免使用有云控能力的 SDK。

对于普通用户，腾讯手机管家有这几个建议：

1、从正规渠道下载软件：尽量选择在官方渠道下载应用，尤其是银行、支付、理财类的APP

2、下载正规软件：避免下载安装来历不明的山寨APP

3、注意软件的权限：谨慎授予读取位置信息、通讯录、读取短信等权限

4、注意清理手机内个人资料。