揭秘俄罗斯Android恶意软件行业

　　移动信息安全公司Lookout上周向外界展示了俄罗斯Android恶意软件行业的全貌。报告指出，俄罗斯的许多恶意软件并不是个人黑客所制造的，而是来自资源丰富的“恶意软件制造机器”。Lookout高级研究人员和响应工程师里安·史密斯(Ryan Smith)表示，Lookout此前注意到，来自俄罗斯的短信欺诈恶意软件占该公司检测到这类恶意软件的30%，随后才开始关注俄罗斯的恶意软件情况。 在6个月的时间里，Lookout发现了一个围绕Android恶意软件制造及传播、快速发展的行业。

　　欺诈方式

　　Lookout发现，在俄罗斯短信恶意软件行业，有10家组织在其中占60%。这些组织的中心是“恶意软件总部”，即恶意应用的制造者。在被下载之后，应用将会使用短信简码发送吸费短信。在美国，收费短信的收费方通常为红十字会等慈善组织。

　　这些恶意软件的运作方式如下：恶意软件总部制造恶意应用，并将其伪装成各种类型的普通应用，此外也在运营商注册有自己的短信简码。围绕恶意软件总部的“外围组织”会对恶意应用进行订制，并通过网站或社交媒体推荐这些应用。

　　受害者有可能通过这些外围组织网站或社交媒体下载到恶意应用。一旦恶意应用被安装至Android设备，那么就会发送一条或多条收费短信，导致受害者需要支付3至20美元的费用。

　　由于恶意软件总部拥有短信简码，因此可以直接获得移动运营商支付的费用。他们会从中提取部分收入分成，并将另一部分提供给外围组织，而付费方式基于外围组织的“业绩表现”。史密斯表示，Lookout发现，在连续5个月的时间里，一些外围组织每月能获得1.2万美元收入。因此，这是一项极具吸引力、收入稳定的“生意”。

　　庞大的规模

　　这是一种非常直接的欺诈手段，也是通过Android恶意软件获得收入的最直接方式。令Lookout惊讶的是，这样的欺诈活动规模非常庞大，而相关组织的运营方式也值得关注。

　　例如，恶意软件总部帮助外围组织很方便地订制恶意软件。史密斯表示，恶意软件总部会制作多种主题，从而实现更方便地订制。“他们可以让恶意软件看起来类似Skype、谷歌Play，以及其他一切看起来正常，用户可以下载的应用。”

　　此外，恶意软件总部每隔1至2周就会发布更新以及新代码，这就像是“采用敏捷开发模式的创业公司”。许多更新都是为了逃避信息安全公司的监控。一些恶意软件甚至会对部分代码进行加密，只有在使用时才会临时解密。

　　另一方面，外围组织也积极参与。在一些讨论版和网站上，外围组织会对多家恶意软件总部进行对比。通常情况下，营收分成的支付是外围组织最关心的问题，但恶意软件总部提供的客户服务和技术支持同样很重要。如果对某家恶意软件总部提供的服务不满，那么外围组织也会转向另一家。

　　恶意软件总部会尽自己的努力帮助外围组织取得“成功”。史密斯表示，对表现突出者，圈子的领导者会给予外围组织现金奖励，有时奖金甚至达到30万美元。他们还会为外围组织开发广告平台，向他们提供信息，例如哪些地区哪些恶意软件的“业绩”最好。

　　未来的希望

　　犯罪活动的规模如此之大，运营已实现常态化令人震惊，但信息安全行业仍有着好消息。大部分短信简码无法在俄罗斯及周边国家以外的地区使用。

　　史密斯表示，更重要的是，通过了解这类欺诈活动的方式，信息安全公司将可以提供更好的保护措施。Lookout目前已可以阻拦短信简码，并屏蔽某些服务器和IP地址。

　　或许这么做对于恶意软件的制造者并不会造成太严重的影响，如果他们能够聪明的调整一些代码，那么就会发自按遭到信息安全公司的监控。但是如此一来的话，他们就必须投入更高的成本。