今日头条会被植入木马？你的手机中招了没_凤凰财经
& 财经滚动新闻
& 财经滚动新闻 & 正文
今日头条会被植入木马？你的手机中招了没
用微信扫描二维码分享至好友和朋友圈
对于今日头条窃取隐私的担忧，早已不是一天两天了。
早在3月初，简小编就曾写过一篇名为《今日头条被告上法庭 谁来保护互联网隐私？》的文章，提醒用户保护好自己的隐私权益，那时，关注隐私问题还局限于小部分网友的讨论。
但随着最近央视曝光今日头条选择性推送广告的行为后，许多网友开始相信，今日头条似乎真的有窃取我们的隐私，并利用其推送虚假广告。而在前天，今日头条再次被网友点名，称其完全是一个“伪装”的木马。
“头条”或“木马”？
3月30日，知乎网友“刘一鸣”的一篇名为《今日头条与木马》的文章，将今日头条的隐私获取推向了风口浪尖，文章直言，“随时对你进行定位，顺带记录和识别你和别人的谈话，外加无声拍照，今日头条都能做到。并且，从信息安全的角度来讲，应用应仅取得必要的权限，但是今日头条基本把敏感权限都请求了。”
这位技术宅为了证明自己的判断，直接亮出了分析过程，对今日头条客户端的 APK（安卓安装包）进行分析。
分析结果显示，今日头条拥有大量权限，其中包括：读取你手机里的联系人、使用你的SD卡、开机自启动、获取你的精准GPS定位、后台下载、使用你的摄像头、查看你手机里的短信、处理短信接收、同步你手机里的数据、管理你的手机账户、录音以及进行蓝牙配对等。
刘一鸣表示，这些权限，基本都是木马病毒梦寐以求的各种权限，但作为一个新闻客户端的今日头条都要了。
更加可怕的是，今日头条的客户端里面基本没什么东西，但它的许多功能都是通过热补丁按需下载安装的，并且，这些补丁不是按照你的需要，而是按照今日头条的需要安装。
这表示，头条有能力随时下发一段代码，让手机里的客户端去执行。至于下发什么代码、给什么人下发、什么条件下下发，那完全是看人下菜碟。就像今日头条对二三线城市用户做的事情那样。
网友评论：真流氓
文章一出，立马引发疯狂转载，很多网友表示，再次对今日头条刷新三观，头条尽然如此流氓。
一位名叫“清枫小易”的网友表示，难怪我在微信聊天要买啥，今日头条就马上给我推送那个东西的广告了。
还有一位名叫“黄啟纪”的网友也表示，难怪在京东上搜索什么，头条就推什么。
另一位网友表示，早已将头条删除很久了，删除的原因，就是因为经常和朋友微信聊个天，事后它都能精准推送相关内容我。我可是苹果手机，并且只有苹果输入法的啊！
昨日晚间，今日头条对此做出了回应，称对方利用普通用户不了解技术，把行业通用的正常产品功能污蔑为木马行为，对今日头条造成严重名誉损害。他们将拿起法律武器，起诉造谣行为。
今日头条认为，App获取手机部分权限是App 正常运行的前提条件（如位置信息是外卖、打车等APP功能的前提），获取对应权限后，用户才有可能正常使用产品，属于主流App的标配功能。
对于文章中质疑的热补丁可能被黑客劫持的问题，今日头条认为视频演示是造谣者自己篡改了手机的安全设置才出现的问题，用户正常使用的情况下并不会有安全问题。
但对于这种回答，网友好像并不买账，很多网友坚决表示，会选择删除今日头条。
频繁上榜央视
其实，今日头条最近负面新闻早已铺天盖地，光是CCTV就已经连续几次上榜了。
上周四，CCTV经济半小时就曝光了今日头条通过选择性推送广告，将虚假的广告信息推送给二三线城市的受众，并且为了躲避监管，头条还专门避开了一线城市的受众。
同时，在虚假广告内容显示方面，今日头条则采用了“二跳”战略。所谓二跳，就是首页显示符合规定的产品，但当用户点击广告后，页面会跳转到不符合广告法规定的产品推广页面，以此来躲避审查。
央视还表示，只要广告主在今日头条上投放的广告费多，即便产品没有合法资质，今日头条也可以帮投放，甚至公司可以帮助制作假资质。
昨天，CCTV再次狠批今日头条旗下的火山小视频，央视表示，恋爱、怀孕、生子…这些现实生活中的未成年人禁忌，都在网络直播中被轻易打破。14岁早恋生下儿子、全网最小二胎妈妈、讲述自己悄悄怀孕…这些视频还经常登上直播平台热门。而这些未成年妈妈的背后推手，就是平台的智能推荐功能。
央视表示，平台不但没有对这些用户进行封号，还把内容推送给其他用户，这会导致青少年会认为这种不正常的或是违规的行为，反而是正常的。
同样也是在昨天，中国消费者报报道，今日头条还涉嫌伪造政府公文事件。
文章显示，在2017年7月，中国消费者报在今日头条上，发表了一篇文章。对哈尔滨市卫计委监督抽检中发现的5家游泳场所抽检不合格的新闻进行了报道。但在随后，今日头条将该文章撤下，并发来了哈尔滨市卫生和计划生育委员会的“投诉函”。
随后中国消费者报向哈尔滨市卫计委办公室进行求证，对方表示，经过与相关处室核实，并没有向今日头条发过“投诉函”，今日头条的这份“投诉函”中表达的内容不符合政府公文形式，而且当天是星期六，机关单位放假，一般也不会动用公章。随后此事被搁浅。
但在最近，中国消费者报记者找到了哈尔滨市卫生和计划生育委员会的另一份文件，并对比了公章，发现这两个章看起来并不是一个章盖的，那么一旦证实，今日头条就涉嫌伪造政府公文，将会面临法律制裁。
小编的观点，上周就表达得清楚了，今日头条本质上就是一个媒体，一个没有价值观的媒体，遭遇的负面只会越来越多，一位网友给我们的留言评论更加精准，小孩价值观有错，家长负责矫正！公众媒体价值观有错，那就是该国家出手的时候了！
用微信扫描二维码分享至好友和朋友圈
预期年化利率
凤凰点评：凤凰集团旗下公司，轻松理财。
凤凰点评：业绩长期领先，投资尖端行业。
凤凰点评：进可攻退可守，抗跌性能尤佳。
同系近一年收益
凤凰点评：震荡市场首选，防御性能极佳且收益喜人，老总私人追加百万。
央视财经综合
澎湃新闻网
央视新闻移动网
凤凰网财经
商务部网站
商务部网站
中国新闻网
澎湃新闻网
央视新闻移动网
凤凰网财经
新华通讯社
央视新闻移动网
凤凰网财经
凤凰国际iMarkets
21世纪经济报道
凤凰网财经
凤凰国际iMarkets
凤凰网财经
凤凰网财经
凤凰网财经
凤凰国际iMarkets
凤凰网财经
没有更多了
凤凰财经官方微信
播放数：97449
播放数：138635
播放数：21639
播放数：164382帖子很冷清，卤煮很失落！求安慰
手机签到经验翻倍！快来扫一扫！
新买的手机，有木马怎么回事
447浏览 / 8回复
用金山卫士查出来的。但是清理时提示需要ROOT权限。
其次获取ROOT权限不成功会对有影响吗？
是系统自带程序！不是木马
新买的手机，有木马怎么回事,这么倒霉啊，那赶紧按个腾讯手机管家杀毒吧，这个软件杀的干净。
可能感兴趣的板块：
用户名/注册邮箱/注册手机号
其他第三方号登录有了短信验证你的钱到底是怎么被强刷走的 警惕手机木马
黑客与极客 & 发布时间： 16:38:56 & 作者：佚名 &
本以为有了手机短信验证应该很安全了，没想到银行卡里的钱还是能被刷走，关键是一条短信都没收到。到底是怎么回事？原来是手机木马搞得鬼，很多奇怪的第三方软件作为木马拦截你的短信，发送到黑客的邮箱，然后转走你的钱不就是分分钟的事
本以为有了手机短信验证应该很安全了，没想到银行卡里的钱还是能被刷走，关键是一条短信都没收到。到底是怎么回事？原来是手机木马搞得鬼，很多奇怪的第三方软件作为木马拦截你的短信，发送到黑客的邮箱，然后转走你的钱不就是分分钟的事？各位不是大神的同志们，还是在安全的地方下载应用吧。还好我用的IOS，并且没有越狱。
今年端午节特意动用带薪年假，在家本着远离黑客，远离江湖，舒舒服服和家人享受几天假期，谁知却早已深陷江湖。
6月11日中午叔叔找上门，说自己的银行卡莫名被盗刷了8万1千元，钱被打到了平安付科技服务有限公司客户备付金，以及同样摘要为平安的广州银联网络支付有限公司客户备付金，如下图：
于是上网搜了一下平安付科技这家公司得到如下信息：
平安付科技本身是一个第三方的支付平台接口，钱转到平安付科技账上后可以用来投资、理财等，赶紧给平安付科技客服去了个电话，客服那边问了相关信息后却让等3天才能给结果，这服务态度~（此时叔叔已经在当地刑警队报案）。
我仔细推敲了这个事情，钱是被打到平安付的旺财上，对方需要绑定银行卡，需要用到的信息有：银行卡、身份账号、银行预留的手机号码、短信验证码。前面的信息都容易掌握（目前网络上有大量的泄露的银行卡号、身份证号、手机号等信息）况且叔叔每次和客户打款时也会把自己的银行卡号、身份证号发给对方，所以这些信息默认早就泄露了，这里的关键是如何得到的短信验证码，且通过图1可以看出，犯罪分子利用平安付转走了4比钱，且最后一笔1000元都没有放过，说明对方掌握了此张银行卡的余额信息。
到这里总结出了两点：对方掌握了1.手机号码实时短信验证码2.银行卡的余额信息。想到这里最先想到的是短信木马了。于是拿出他的手机，查看短信权限时赫然看到了短信权限处存在一个叫做&校讯通&的应用，安装日期正是6月10日。由于叔叔的孩子还在上中学所以经常会收到相关校讯通的短信，他10日当天正好收到了一条提示安装校讯通的短信，也没有多想就直接安装上了。
到这里事情的起因已经很接近了，很可能是这是一个木马程序窃取了他的短信内容，叔叔满脸质疑，丝毫不相信这样的事情也会发生他自己身上。
于是我继续访问这个ip地址,浏览器直接弹出提示下载校讯通.apk
拿到此APK后当立即开始分析（职业病又犯了，哎，我好好的端午节假期），这里发现这个版本的校讯通安卓木马程序已经进行了升级，与以往的此类程序多了很多新功能：增加了远程更改配置功能和呼叫转移功能，可以更改收信手机号码或发信帐号的密码，并能够呼叫转移联通和移动用户电话。
本次分析的样本特征值：
代码如下:&/p&
&p&&code&Type: X.509 Version: 3 Serial Number: 0x936eacbe07f201df Issuer: EMAILADDRESS=, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US Validity: from = Fri Feb 29 09:33:46 CST 2008 to = Tue Jul 17 09:33:46 CST 2035 Subject: EMAILADDRESS=, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US MD5 Fingerprint: E8 9B 15 8E 4B CF 98 8E BD 09 EB 83 F5 37 8E 87 SHA-1 Fingerprint: 61 ED 37 7E 85 D3 86 A8 DF EE 6B 86 4B D8 5B 0B FA A5 AF 81 SHA-256 Fingerprint: A4 0D A8 0A 59 D1 70 CA A9 50 CF 15 C1 8C 45 4D 47 A3 9B 26 98 9D 8B 64 0E CD 74 5B A7 1B F5 DC&/code&&/p&
用来接收受害人短信的邮箱账号密码：
进入邮箱看了一眼，满眼都是泪，进去的时候此邮箱还在不停的接收着来自各地受害人的短信的邮件：
木马程序发送的受害人手机上所有的短信内容：
受害人手机上的通讯录，此木马提取被害人通讯录后会利用伪造的号码继续向通讯录好友发送伪装成校讯通的木马安装短信，从而继续扩大安装范围：
受害人手机第一次感染运行后发来的上线信息：
搜索了一下平安关键词，果然找到了绑定平安付等第三方支付的短信内容：
当然除了平安付平台外还有支付宝等：
这里要特别给支付宝的企业责任精神点个赞，我第一时间联系了这位受害人，受害人被盗走的钱中通过支付宝划走的这一份部分已经得到全额赔付，而平安付的这笔仍然还在等待中。
第一次启动激活
asw6eih.vby.MainActivity
1.申请系统管理员权限
2.设置完毕之后检查是否有了相应的权限，即是否被用户接受。
3.设置默认处理软件为当前App软件
之后检查是否被设置为默认处理软件。
我们注意到了下面这一行代码，这里的作用就是被设置为默认短信处理应用后就有权限拦截短信了：
而且在短信处理的Service中也确实发现了拦截的代码（SmsReciver）：
通过BroadCast方式进行短信拦截仅在安卓4.4之前的版本有效，此时我们发现了针对安卓4.4版本，木马作者写了一个特殊的服务类：SmsReceiver4_4专门针对安卓4.4的版本。
4.设置短信监听
asw6eih.vby.MainService
在用户启动应用的时候，不仅仅启动了一个Activity让用户做出一些响应，还启动了一个服务。
&此时看邮箱里有不少中招的内容，如下所示，均来自该自动启动的服务：
自动启动方式
在用户第一次启动时，注册自动启动组件，BootReceiver
AndroidManifest.xml中注册的事件
从下图可以看到BootReceiver继承自BroadcastReceiver
自动启动组件启动后，会根据安卓版本启动对应的MainService
所以发生以上的事件均会被触发启动：短信接收、系统启动、用户进入home界面、kill应用等
邮箱密码修改功能
指令：sssxxx#1002#password &（xxx可为任意内容，也可无）
来看asw6eih.vby.xxttth5.c这个类
从配置文件中取出v0，然后赋值给v5
其中有这样的一段
可以看到MailFrom_Passa是邮箱密码，接受v1的参数，其中参数v7是固定的值2，而参数asw6eih.vby.xxttth5.a.d是初始化的值，也就是最开始的时候看到的邮箱：
所以这一段作用是修改了当前邮箱的密码，并重新写入了配置文件。触发这一过程，指令是定义了特定的格式的，具体如下：
需要被执行label_129这个过程，而且v1的长度必须是v9的大小，v9是固定值3。
所以v1的格式应该为xxx#xxx#password
接下来就是switch case的过程（吐槽下这个程序效率&&还好可以选择的不多）：
可以看到case 1002的时候，而v0_1是v1的下标为1的值，现在的格式可以推定为(这里反编译软件给出的跳转存在问题)：
xxx#1002#password
这个时候还差第一段的内容，我们继续看这个类，发现v1跟asw6eih.vby.xxttth5.a.b做了对比，如下图所示：
而asw6eih.vby.xxttth5.a.b的值实际上也做了定义，如下所示：
之后v1跟上面的值做了比较，其实也就是sss，如下所示：
v1.substring(0, asw6eih.vby.xxttth5.a.b.length()).equals(asw6eih.vby.xxttth5.a.b))
截取了v1的前几位跟预定义字符串sss做比较（这里截取了3位）
之后定义了v3的值，其实是手机号。
控制字符串的大致格式为sssxxx#指令id#内容，由于流程内容太多，不一一描述。xxx可为任意。这里修改邮箱密码的指令应该为sssxxx#1002#password
转换控制端手机号码
指令：sssxxx#3333 （xxx可为任意内容，也可无）
在下面一个字符串引起了我们的注意：
label_177，其中&转移号码设置成功&，进一步分析：
label_177来自1011指令，所以指令为sss#1011#command
c.a校验了手机号的格式，只能是13，14，15，17，18开头的手机，而且都是数字的，总共11位，可以说真是&经验丰富懂安全&的&开发人员&。
之后回复了：转移号码设置成功
并将该值放到了v5里面，也就是配置文件里面。
label_40是保存配置等，这里不多分析了。
所以，修改手机号码的格式为sssxxx#3333，发送这样的信息就可以修改接收手机为了，注意手机号码一定得是合法的11位手机。
短信拦截功能
电话转接功能
我猜这个木马的设计者一定是个处女座，问题考虑的非常细致，这里竟然还设置了呼叫转移功能，在受害者电话忙音的时候帮受害者接电话？
该类继承了BroadcastReceiver
当被触发时，会将电话转移到控制端。我们知道**67*手机号码＃这是遇忙呼叫转移（联通／移动可用）， 被转移到的号码其实就是控制端的手机号码。
木马有效期
我们发现一个奇怪的现象，在向系统注册这些组件的时候，木马做了一个判读，会判断c.b()，然后决策是否注册这些组件，如下所示：
上面的截图来自MainActivity也就是程序启动的主界面。
跟进这个方法发现是对时间的检查：
发现如果当前时间超过了设定的时间 14:01:00，会返回false，不再向系统注册该组件，否则返回true。也就是这个时间以后再有新用户安装就已经无效了。
处理和预防此类事件：
1.安装手机杀毒软件定期查杀手机木马病毒。
2.定期检查手机的授权管理，如小米手机的安全中心-授权管理-应用权限管理-权限管理-短信与彩信相关权限，检查此类敏感功能处权限授予对象是否合法。
3.不要root手机（黑客除外）。
4.不要安装来路不明的应用，对于小白建议只安装手机品牌商店中的应用（起码安全性要高一些）。
5.购买银行卡盗刷理赔保险，任何时候多一道保险才多一份放心。
大家感兴趣的内容
12345678910
最近更新的内容普通手机中病毒吗,我以前买了个黑手机,是山寨诺基亚的,会不会有人在手机里安装木马病毒,
会自动打开摄像头偷拍吗。很担心普通手机中病毒吗，我以前买了个黑手机，会不会有人在手机里安装木马病毒，是山寨诺基亚的，，那个大神能为我解答，感激不尽...
按时间排序
如果是山寨手机，lz要小心手机是不是会暗扣话费，其他的什么都不用在意（山寨机别要求过高），只要打电话、发短信没问题就行了
那并不是什么病毒。而是一些扣费软件而已。把不用的软件都删掉。
有可能建议刷机
感谢您为社区的和谐贡献力量请选择举报类型
经过核实后将会做出处理感谢您为社区和谐做出贡献
确定要取消此次报名，退出该活动？
请输入私信内容：当前位置：&&&&&&&&&正文
贪便宜买山寨机小心有病毒！手机预装木马病毒盗你号
来源：深窗综合&|& 08:09&编辑：许文秀
记者在华强北见到了与涉事手机外貌与型号一样的手机。 &
新手机预装木马病毒？听起来有些危言耸听，但据新华网、新浪科技等报道，德国一家名为G Data的网络安全企业称，一款来自深圳华强北、与三星某手机高度相似的廉价Android智能手机&天星N9500&，预装了恶意软件，内含木马病毒Usupay.D，能够追踪手机用户并能实现远程操控手机摄像头等设备。该款名为天星N9500的智能手机超低成本，外观与三星某手机十分相似。在亚马逊英国网站的起始售价为85英镑（约合141美元，约合850元人民币），在深圳仅售640元左右。
昨天晶报记者在深圳数码市场搜寻，发现这款手机在深圳的确有售卖点。在平日客流众多的华强北明通数码城，数家商家柜台显眼处，就摆放着这款手机&真容&：机身上下没有明确厂商标识，连背后的铭牌都可以随意更换；手机外观与三星高端机Galaxy S4如出一辙；名字也是各种各样，这一家叫&天星&，那一家却叫&赛星&，但万变不离其宗的是N9500的机型号；询问再三，也没有说明书包装盒三包合格证。
&如果要买的量大的话还可以议价。&该数码城三楼一位姓黄的店主告诉记者，这款手机是以某国产品牌的一款机型为蓝本生产的，配置这样的价格，很划算。旁边同样批发这款手机的商家蔡先生则表示，该款手机已经是去年的机款，所以相对便宜。据商家介绍，该款手机因为仅售640元左右，卖得很火，商家们基本都用这款机子来拼出货量，但并不清楚内置恶意软件一事。
这款手机究竟是谁生产的？昨日，记者在网上发现有&深圳天星手机科技有限公司&官网，称&买天星手机，就上天星手机官方网上商城&，并显示其&香港总部&在九龙，&深圳公司& 就在华强北华发北路415号明通数码城，但未进一步明确信息。
据该手机官网介绍，深圳天星手机科技有限公司专注于智能手机研发和生产，总部位于中国香港，并于2009年在深圳成立分公司及制造工厂。记者尝试拨打该公司电话但没人接，难得后来有名&总经理&接了电话后却称记者打错了，但以该电话号码注册的微信账号随即露了馅：直接显示名为&天星&。
记者在深圳市市场监督管理局网站上昨日查无天星公司注册信息，随后向市市场监督管理局问询，工作人员表示，已关注到相关消息，将会对相关信息进行核实调查。
什么是Usupay.D病毒？
Usupay.D最初由俄罗斯杀毒软件厂商卡巴斯基于2013年3月发现。据德国这家名为G Data的网络安全企业称，这是首次在手机中发现该恶意软件。其表示，该软件可以实现对手机的远程操控，例如转动摄像头，但同时表示，在对手机进行测试时，并没有证据表明该软件已经对这款手机实现了这一操作。
窗花有话说
深窗公众平台}