「超級手機病毒 XXshenqi.apk / XX 神器」是怎麼回事？

12-27

為什麼這個手機病毒影響那麼大！iOS平台會遭受類似的影響嗎？
————————————————————————————————————————————
影響大恐怕是因為它截取通訊錄群發該應用的下載鏈接然後大範圍擴散。
這只是一個安卓的應用，iOS不會受影響。
全國爆發超級手機病毒機主自動發簡訊損失話費

中毒的基本都是毫無安全觀念的小白，這東西根本就是個標準Android程序，沒有用任何漏洞，所有數據都是使用者允許讀取的和主動提供的。
給個Android初學者2天就能弄出來。
安裝時的許可權寫著讀取通訊錄和發送簡訊。
出問題只能說XX不夠用了。

順便鄙視一下無良記者，這弱智軟體也叫超級病毒的話，那之前的證書漏洞是不是就超出理解範圍了，不懂就找個專業的問問，別自己意淫。

【本回答仍在補充完善中，歡迎批評建議】
讓我怎麼說呢。這個所謂病毒的作者貌似和我是一個大學的……就叫學弟好了。
1，首先軟體並不複雜，學校里很多學生都會寫。
問題是，就他敢寫，而且敢發出去……絲毫沒有考慮到可能的後果。

學弟，現在全學校的學生都認識你了。只是這種成名方式實在有點不妥。
學弟你如此莽撞，做事不考慮可能發生的後果，學長我替你感到悲哀。

2，同樓上，這算不上什麼病毒，安裝之前系統會提示你該軟體所擁有的許可權。這是一個正兒八經的以*.apk為名的只能安裝在安卓手機上的軟體。
補充的話：雖然程序簡單，但真的就是一無是處了嗎？還真就不是。為什麼它能在如此短的時間內廣泛的傳播？
（1)利用了熟人之間的信任，使人們毫無防備。
(2)完全不按傳統病毒的套路出牌，使手機安全軟體們毫無防備。
我想這個有點不可思議但確實發生的事件值得我們所有人深思。

（再次修改：確實，針對中年人和老年人，他們可能完全不懂得以下這些這些內容，這不怪他們。所以我們做兒女的一定要告誡自己的父母：千萬不要亂安一些來歷不明的東西。這樣也就不會中毒。針對孩子們……家長們就別給他們買智能手機了吧，對視力不好。）
舉個例子，假如你下載了一個鬧鐘，發現這個鬧鐘既有對你精確定位的許可權，又有查看你簡訊通訊錄的許可權，那你真的就得好好考慮一下到底要不要安裝。順便吐槽發現很多「不專業」的記者在誇大其詞，不排除故意炒作的嫌疑。我只能說國內部分記者素質有待提高。

下面上圖：

（應 @Janl Liu 的意見。之前只是給手機號碼打碼了，這次給能打馬賽克的全打上了，搞的感覺我自己寫了一篇「少兒不宜」的東西似的…………囧）
第一，很多人的習慣就是安裝之前完全不看看程序的許可權，拿來就安。你難道不覺得一個能夠發送簡訊的程序很可疑嗎？它並不是第三方簡訊軟體，也並非你親自從應用市場下載，這樣你也敢安裝？
關鍵是它還就只有這兩個隱私相關的許可權……查看你通訊錄，發送簡訊…………那你猜你安裝之後它會幹嘛…………
缺乏必要的安全意識是導致這個不算病毒的病毒爆發的重要原因。沒有之一。

所以我的建議是，在安裝你不熟悉的軟體之前看一眼許可權，沒壞處。
（順便贊同一下評論里的觀點。以某企鵝為例，所需有關隱私的許可權多達16項，大多數用戶在安裝之前已經懶得再看什麼許可權不許可權的了。這也是原因之一。）

第二點，很多用戶沒有獲取root許可權並安裝許可權管理的軟體。我認為這是有人會上當的原因之一。個人觀點：安卓手機不root是沒法用的。（順便回答評論里的問題。理論上，安卓手機root之後，蘋果手機越獄之後，是相當於給黑客開了後門。但是實際上，就目前而言，最令人頭疼的不是黑客，而是你手機里那一堆一堆開機自啟，後台自啟，彈廣告條，讓你手機巨卡無比，在你後台自動下載軟體的流氓軟體。不過就安全而言，不鼓勵普通用戶root和越獄。對於沒有自帶許可權管理的安卓系統來說這是挺矛盾的一件事。）

假如你安裝了任意一款許可權管理的軟體，那麼你將會看到以下畫面：

如果你同意讀取聯繫人數據後，XX神器就會請求發送簡訊。我想再小白髮現這個之後也不會點同意的。

（這個時候，如果你沒有授權管理，那它已經開始狂轟亂炸地發簡訊了。）
軟體會誘導你安裝另外一個叫Trogoogle的軟體。這個傢伙的許可權更大了。如果你看到下面這幾幅畫面，我堅信你也不會手賤去點「允許」。那麼，恭喜你，你手機啥事沒有，話費一分沒少。（有幾張忘記截屏了，盜的圖……）

總之安裝完之後就是這個樣子。請注意第二行第二個和最後一行最後一個的圖標。

突然又覺得這款軟體的大規模傳播還有一個很重要的原因。名字都告訴你了，XX神器。

這個…………不需要我解釋吧？
如果你真的「天真無邪」地把身份證號，姓名都填進去，偏偏你手機里還有淘寶，支付寶發給你的簡訊，而且軟體作者真的想黑你一筆的話，那麼你完蛋了。
一個願打，一個願挨。這能怨誰？(刪除此句，詳見文末附一）

不要在任何陌生的軟體、網頁上填寫自己的個人信息。這是最最最基本的原則。

至於該軟體在代碼上是如何實現這些功能的、警察叔叔是如何鎖定作者經緯度的等等更詳細的細節，請移步至：七夕大爆發的安卓XX神奇蠕蟲分析。這位仁兄其實寫得更詳細更有深度。

3，對於某些安全軟體廠商，我已經不想說太多了。一個安卓初學者做出來的東西，已經完全成為某些人炒作的工具。

大數字說是他首先查殺。

某電說是他首先攔截。

某移說是他率先反應。還給某先鋒打廣告，建議用戶下載某先鋒清除病毒。

還有某騰。你們這樣給自己打廣告真的好嗎？？？真的好意思嗎？？？？

順便糾正某騰的一個錯誤，並非偷偷安裝，而是在用戶的同意下光明正大地安裝的。而且我能找到Tro那個軟體的桌面圖標，卸載完全沒有壓力。
我就不明白了，一個能直接卸載的東西，還用啥下載某先鋒？還恢復出廠設置？？你逗我。

一乾二淨，不留後患。
4，說說影響

我現在學校的群里，有很多類似下面的聲音。

當時我在群里說，這軟體其實沒啥技術含量。

有人就不樂意了：你行你上，不行別BB。
我只想說，誰上誰傻。

（1），首先，從技術層面來講，技術不算高。
（2），其次，開發、傳播這個軟體是一種違法的行為，因為他損害到了別人的利益。你的價值觀究竟扭曲成什麼樣子？居然要佩服違法行為？？【註：答主不是學法律的，對手機病毒在法律上的定義並不了解。但是，這種製作並傳播具有可傳播性和惡意發送大量簡訊能力的軟體並對用戶利益造成實際損害的行為很有可能在法律上被界定為違法。而且，已經有大約5千多人在「註冊」時填寫的個人信息被發送到作者的手機上了。這涉嫌非法收集個人信息。】

如果你是受害者，一夜之間好幾百話費沒了，你怎麼想？
***************************************************************************************************************
P.S.還請各位大神不要公開個人信息，畢竟他還小。

***************************************************************************************************************
PPS.首先感謝@Joker Qyou 的更正。這個例子確實不是特別恰當，在這裡只是用來說明：不同用途的軟體需要有不同的許可權，如果一個軟體請求很多與功能不想關的許可權，那就要小心了。

這裡我說希望大神們最好別公開他的信息，不是以他小為借口，偏袒他。一個人違法犯罪，無論是誰，都要得到應有的懲罰。我只是站在他家長的角度在換位思考，事情已經鬧這麼大了，他被拘留了，將來還能不能再學校念書了都是一個未知數。如果能替他家裡人減少一些麻煩就減少一些吧，是吧？

至於作者的利益……作者沒有利益……他要真想吸費的話，大概不會把自己的QQ郵箱和手機號碼都整進代碼里…………他不會真當警察都是傻子吧？
至於作者目的……有一種非官方說法……我就不再這裡說了，傳播謠言可不好。
****************************************************************************************************************
最後的PS：
1，本人大學在校生，機電工程專業。軟體是平時的愛好罷了……哪來的軟文……你逗我。
2，看到評論里說安卓和ios哪個安全的問題，補充一句。安卓並非想像中的那麼不安全，但是安卓的安全是建立在不允許安裝除電子市場以外的應用，並且系統沒有閹割play商店的。（不過對於目前國行安卓系統的現狀……大家自行領會……）

************************************8月7日添加的內容******************************************************
有評論說，在國內大背景下談許可權是扯淡。
我想我既然寫了這篇回答就還是解釋清楚比較好。
首先，對於普通手機用戶來說，財產安全和隱私安全需要注意的關鍵點並不同。
對於那些你平時並不常見到的軟體，當你決定想要安裝運行的時候，看一眼這款軟體所需的許可權，我個人認為是十分必要的。如果你這樣做了，就會給你自己減少很多不必要的麻煩。

而對於很多知名大公司生產的軟體，如果你是從官方的、正規的渠道下載的，你可以不用在乎它們的許可權，因為在乎了也沒啥用：QQ有看你通訊錄的許可權，咋的你還能這輩子都不上手機QQ啊？

所以這句引出了我們比較關注的另一個話題：隱私安全。不過在這之前，我想用一個可能不那麼嚴謹但是很形象的例子給沒有任何這方面知識的用戶介紹一下什麼是許可權。

在你的手機里住著一位樓管，而你安裝的軟體就是房客。手機里，你的通訊錄、通話記錄、簡訊等等都被樓管用鎖鎖在房間里了，房客想進門得有鑰匙才行。
如果手機里沒有授權管理，那麼很抱歉，這個樓管就像是得了老年痴呆：當你同意安裝軟體之後，我們的房客，他想要哪把鑰匙就要哪把鑰匙，拿到鑰匙之後幹嘛就是他們的事情了。
比如說這次的XX神器。他拿到鑰匙之後就很調皮地給你通訊錄的每個人都發了一條簡訊。樓管不會管，都說了他是老年痴呆。
QQ也有鑰匙。不過他先問了一下他能不能看你的通訊錄，你說能，他就把你的通訊錄裡面的內容上傳到資料庫裡面，做了一些分析再傳回一些數據，告訴你哪些人是你的好友。不過除此之外他幹了啥，我可不知道。
而如果你的手機里有授權管理的話，就相當於是樓管換成了你，你想給誰鑰匙就給誰鑰匙，看誰不順眼就不給他鑰匙。沒鑰匙，XX神器沒辦法調皮搗蛋了。

在目前國內軟體廠商普遍都很【文明用語】的大環境下，很多軟體，他們恨不得要了你所有的」鑰匙「。這就涉及到隱私安全的問題。很多軟體都會手機用戶的隱私。比如騰訊有一款叫「圈子」的應用，假如騰訊沒有收集你的隱私，那麼他是怎麼知道，一個不是你QQ好友的人可能是你的同學或同事的呢？而且還是真實姓名。在現在這個互聯網時代，隱私泄漏很難避免。但是，對於負責任講良心的公司，他們收集你的隱私是為了給你提供更好的服務；而對於沒良心沒節操的公司，也許就拿著你的個人信息去賣錢了。相信他們或者拒絕他們，這都由你決定。所以對於用戶來說，要麼把他們拒之門外不安裝，要麼相信他們，要麼自己當樓管。

擴展：手機病毒到底能有多大危害？
以下內容引用自互聯網：
1.

TapLogger 病毒，它可以通過動作感測器獲取你的輸入信息。也就是說即便是觸摸屏幕的虛擬鍵盤，它也能搞清楚你到底在輸入什麼。4位數密碼能夠達到100%的正確率，6位能夠達到80%的正確率。它可以偽裝到遊戲當中。
2.
「Facebook」病毒。迄今為止反查殺技術最為先進的Android病毒，以往的病毒相比有明顯區別，該病毒能夠偵測運行環境，使殺毒軟體在虛擬機中無法打開病毒程序，導致不能對該病毒進行判別，也很難查殺。病毒還能夠獲取本機號碼、設備編號、簡訊信息、地理位置、手機中的圖片、聯繫人列表、APP信息、通話記錄及來電通話錄音等，並上傳至黑客指定地址。此外，病毒還會誘導用戶激活設備管理器，使用戶無法用正常方式對其進行卸載。因此，手機一旦中毒，用戶將面臨網銀賬號丟失、社交賬號丟失、驗證碼被截取、簡訊及電話被監視、隱私照片遭泄露等一系列風險。
3.功夫熊貓病毒，它將自己偽裝成合法的軟體，通過第三方市場和論壇進行傳播。功夫熊貓具備傳統功夫病毒的一切特徵，包括：修改系統分區嵌入至ROM、感染後無法查殺，甚至恢復出廠設置也無法解決。功夫熊貓病毒雖然並未攜帶自動提權代碼需要用戶給予ROOT許可權，但是功夫熊貓病毒使用了幾乎完全不同的載入、隱藏和自我保護方式，一般用戶很難分辨自己安裝的是正常軟體，還是惡意軟體，從而導致感染病毒。最為嚴重的，功夫熊貓病毒會設法使自己先於Android系統載入，是目前為止危險性最高的流行病毒。當病毒的提權部分代碼被觸發之後，便會執行以下操作：將系統分區設置為可寫，將自身複製到系統分區內，將/system/bin下的多個關鍵系統組件備份至/system/framework下，並且使用病毒代碼覆蓋原始系統組件，修改多個系統引導腳本，確保自身在系統引導之前載入。當病毒本體執行時，會執行以下操作：將自己設置為後台daemon，避免被終止；並將自己偽裝為system_server，實現進程自我保護，並且干擾部分安全軟體的正常運行。監控被自身修改的系統引導腳本的內容，如果發現有任何軟體嘗試修改和替換系統引導腳本，都會自動將內容還原。聯絡遠程控制端，獲取攻擊指令。
****************************************************************************************************************
附一：
之所以刪除這句話，是因為知友@指針提了一個很有意思的問題。

相信大多數人可能在看到下面這大段話之前曾有過和下面類似的想法：
「誰讓你看黃片啊！中毒了吧！活該！！」
不過，當我們真正從法律的角度來考慮這個問題的時候，會得出這樣的結論：

瀏覽黃色網站並不違反我國法律，但開設黃色網站構成了我國刑法第三百六十三條[製作、複製、出版、販賣、傳播淫穢物品牟利罪]，如果是傳播計算機病毒的話，違反了我國刑法分則第六章妨害社會管理秩序罪的第二百八十六條[破壞計算機信息系統罪]，如果利用黃色網站引誘套取瀏覽者個人信息實施詐騙的構成詐騙罪，如果是通過套取銀行卡、支付寶等支付工具的信息來惡意透支，還可以構成第一百六十九條的[信用卡詐騙罪]。其中，前兩個罪是考慮對社會的危害性來量刑，後兩個除了社會危害性，也要考慮受害人是否存在主觀過錯。

一句話：瀏覽不良內容的人在這個事件上不用承擔任何法律責任。在中國，在私人場所看黃片不違法而製作傳播病毒是非法的，所以這裡應該「怨那個病毒的製作者」。

話雖然這麼說，但是不管怎樣，還是不要讓慾望戰勝理智，多一事不如少一事。你說是吧？

最後，感謝知友們指出我文章里的錯誤，感謝知友們的支持。得到這麼多的支持是我萬萬沒想到的，感覺受之有愧。實話實說，這不是一個完美的答案，我也並不是從事安卓開發的專業人士，我只是想既然做了就努力做好一些，於是反覆改了很多次，但是還有很多不足。希望可以得到專業人士的指正和補充。

什麼（嗶嗶）玩意。。。強烈建議從事互聯網行業記者持證上崗！！

這玩意很有創意。我只能說安全有待普及。

MIUI 以前內置了 LBE 安全大師，現在似乎沒看見 LBE 的字樣但相關的功能都還依然在那裡，使用 MIUI 這一類的自帶許可權控制功能的 ROM，無需將手機給 ROOT 了。

如果你使用內置許可權控制功能的應用，限制所有可疑軟體的發簡訊許可權，讀聯繫人許可權，其實就沒有任何問題，絲毫不會在意這種類型的病毒。——如果這種病毒真的危害很大，只能說明不會限制許可權的安卓用戶實在太多了。

對於其他的，ROM 沒有內置相關功能的 android 手機，我只能說建議安裝許可權控制類安全軟體。而這類軟體都需要 ROOT 。這是個矛盾。這意味著對於這些手機，不 root 其實是沒法用的。選擇合適的安全軟體以及選擇合適的ROOT手法對小白來說都是一個「安全漏洞」，而這方面同樣可能被利用，因為某些打著安全旗號的安全軟體同樣也是流氓軟體，某些 root 軟體本身就是木馬，這給用戶帶來了很大難題。彷彿在說 android 本身並不足夠安全，必須 root 了之後安裝了相關軟體才更安全，很荒謬，但在目前卻暫時還是事實，我希望這個事實不會延續太久。

我是android開發的，我想我還是可以說幾句話的。

作者要麼太好奇不懂事做事不考慮後果，要麼真得是想出名。

以前我學院一位師兄也是把全校的學生電腦給黑了，但是只是打個招呼，沒有改任何資料，也沒有獲取任何我們的信息，那麼我們佩服他，這叫黑客，為學校網路找漏洞。
因為媒體把事情鬧大了，學校領導還有我們這些師弟師妹都很支持他，他最後聽說被網路安全小組給特招過去了。
而這位作者做的東西從技術含量來看，是非常低的；媒體也把事情鬧大了，但是懂點android的估計都不屑於評論，稍微正常點的開發人員也不會幹這麼沒道德的事，還病毒，病毒你妹！這簡直就是侮辱了計算機病毒；最後，我是真心覺得為中招的小白們的XX擔憂啊，裝過這麼多應用了，許可權這東西看多了總有點啟發吧。

最後，把它卸載就可以了，它真得只是一個沒有道德的應用而已，除了這點，和其它應用沒任何區別。

ps：我想他將來要從事IT工作，還是先好好的懷一顆踏實的心吧，他還年輕(大家也不要人肉他了，我相信他已經吸取教訓)。

把郵箱密碼直接code在代碼中的行為，我們要引以為戒，這種收集信息不加遮掩的行為實在是在考驗警察的忍耐下限。

一個測試智商的神器。「XX」代表智商的意思。

這只是一個古典蠕蟲，而且還不是完整的古典蠕蟲，因為它並沒有實現主動傳播，需要手動安裝。
我連樣本都沒有，是自己推測的
寥寥幾個模塊
ui模塊，含有引誘用戶輸入敏感信息（「註冊」）和引誘安裝其他惡意軟體功能
主模塊，負責在後台運行（開機自運行），控制其他模塊
讀取聯繫人模塊，遍歷聯繫人並將電話號碼欄位寫入一個sqlite的一個表中，其至少包括主碼id，電話號碼，是否已經攻擊的標誌三個欄位。
傳播模塊，根據一定的演算法選擇時機，從資料庫查詢尚未發送攻擊簡訊的目標並隨機取一個。成功發送簡訊後，將該記錄中標誌欄位改為真。
收集統計信息模塊，將機器的一些信息（可能包括imei，imsi，機型和硬體信息，甚至收集到的聯繫人數據等）加密發送到作者設計的目標（這裡好像是郵件地址），以便作者統計和進一步攻擊之用。gui模塊誘騙註冊界面中得到的信息，也將由它處理。
這個東西看描述還沒有完成，沒有做遠程接受指令的功能。而且作為非專業黑帽黑客，作者居然使用固定的國內主機存放木馬本體，使用自己的私人郵箱和手機接收統計信息，因此才會這麼快被查水表。不過可以這麼說，按照我這個邏輯任何android的開發者都可以寫出其基本框架，根本不是什麼超級病毒。
關於android許可權問題，我敢說很多不需要許可權卻要求許可權的應用，不是作者本身想要許可權，而是作者使用的廣告模塊需要收集用戶敏感信息來針對性顯示廣告。這些廣告模塊一般不開源，一旦其開發者想做壞事，最先背黑鍋的就是使用它們的應用了。
在唱k的同時寫這個回復，邏輯有點混亂了。

同樣是大一的，同樣是一個學校的....學渣渣的我情何以堪....話說我高三同學和這個同學是一個班的...。其實就是no zuō no die....少年覺得好玩有著惡趣味沒有想到鬧大了技術含量不高

MIUI會提示是否允許發簡訊，lbe之類的也行，懂點的人就會拒絕吧

2014年8月4日14:52:32更新：貼上分析文：說一說「xxshenqi」這個事情吧

刪除：今晚打算在自己blog寫分析，粗略看了一下代碼。
--
以下是基本分析
--
作者已經被抓了，信息就不打馬賽克了:A中了xxshenqi病毒，在軟體註冊頁面輸入個人信息，隨後作者手機18670259904收到包括手機號，姓名，身份證號碼，作者在支付寶點擊忘記密碼，輸入A的身份證號碼，然後A收到的簡訊驗證碼通過木馬發送到作者的郵箱137736513@qq.com，作者輸入驗證碼後成功修改密碼
--
還有。。作者之前的密碼是lishulili. 目測已經修改密碼了。。所以，郵箱已經不可以用了~大家不用擔心簡訊發送到作者的郵箱裡面去了啦~然後通過網路數據查詢到這個作者名字叫李某（評論說不應該公開名字的。。就隱藏了）、、、
---

又一次刷新了我對智商的定義。這其實不是一個病毒，也不是一個APK，是對日常生活中智商情商的測試器。

要是國內安卓能不切掉play，很多事根本輪不到很多人去做

難道沒人會擔心自己的父母中了這個病毒，花去很多話費。然後心裡很難過，又不願意跟兒女說，只能悶在心裡嗎？

據報道…不少手機用戶反映自己「收到一份帶apk文件鏈接的簡訊，點擊後會直接下載！」發簡訊的手機號還是自己手機通信錄中聯繫人的手機號。據了解，這是一種手機病毒，點擊後可能導致手機欠費停機或被竊取通訊錄等信息
「XXX（自己姓名）看這個：http://cdn……XXshenqi.apk」你若收到此類簡訊，千萬不要點擊鏈接！這種也算超級病毒？你不安裝會自動給你安裝嗎？媒體現在都是怎麼了，誇大報道唯恐天下不亂？

這個「病毒」給我的感覺是，不太高端啊。好病毒不應該是悄悄地幹活，開槍地不要麼？這種東西，我這個半吊子也搞得出來的

七夕....程序猿....orz.......請摺疊我

具體的程序分析@蕭秋水已經說的很好了，我和「XX神奇」程序編寫者也是一個學院的，只是覺得做事不考慮後果真是十分可怕的。

媒體的這種不專業，除了向公眾傳遞錯誤信息，也會害了這個孩子。各公司藉此營銷，故意誇大其辭，手段也太不高明。

這個真不算病毒。只能算流氓軟體。
1. 不具備病毒及木馬特徵，數字公司之所以攔截不是因為特徵碼，而是監控許可權
2. 其所獲得的許可權都是經過用戶同意的，具體參考最高票所說
2.5. 其人沒有因為發簡訊非法獲利（之所謂.5，是沒具體考察取證）
3. 擅自轉發下載連接，和惡意捆綁一樣效果
只是被媚體惡意放大「超級病毒」四個字眼而對其嚴加處罰的話，那麼百度，騰訊之流等惡意捆綁安裝軟體，上傳本地信息又作何解釋？並且是在用戶不知情，惡意誘導之下。
4. 此案件嚴重暴露並證實天朝媚體及專家智商，並促進普及了全民許可權意識，建議從輕考量。