如何找到自己的恶意软件

由于用户需要自己在智能手机上安装恶意软件，因此需要将他们引导至下载恶意软件的资源链接。为了达到这个目的，特别是所谓的“黑色SEO”，也就是搜索引擎优化方法，会强迫系统将恶意软件资源链接显示在搜索结果的顶部位置。当排名上升至前列的时候，你就可以守株待兔了。

    无聊的用户点击“查找安卓系统游戏”，并进入排名第一或者第二位的网站链接，这个链接可能确实内含游戏，但这些游戏并不简单，伴随它们的可能还有完全不那么美好的“惊喜”。用户单纯的认为，既然这个网站有成千上万的人在访问，那它一定有自己需要的游戏或者程序。而关于安全问题则完全没有考虑过。这是大错特错的。

为了帮助网站升到搜索结果的顶部，攻击者经常使用僵尸网络，成千上万的僵尸被引入到Google和yandex的搜索查询页面，并输入恶意网站的网址，以提高其在搜索结果中的排名。此外，黑客在各种论坛、留言板、新闻网站意见中留下恶意软件的资源连接地址。用户在这些地方登陆黑客留下的连接和地址，搜索排名就会上升得更快。

不能说搜索引擎没有与这些恶意软件的推广方式进行过斗争。这样的战斗在成千上万的网站中都在进行着。但是，攻击者混淆视听的方式也是五花八门的：他们不断通过自动化工具创造和解锁新的网站。

    还有一种诱导用户进入恶意软件资源的方式——垃圾短信邮件。它可能使用大规模非特定目标的传递信息，链接至恶意软件资源，以期有人有意或无意点击进去。但更加有效的传播是通过蠕虫短信进行的。一旦恶意程序植入某人的智能手机，它就会立刻开始向通讯录列表中的所有人发送包含有恶意软件资源链接的短消息。由于发信人是熟人，这种消息通常不会引起怀疑，尤其是文本内容看起来合理的时候，很多人会点击消息中的链接，期待看到你据说要和他们每个人共享的个人相册或者社交网络上有趣的什么东西。然而一旦打开连接，用户等来的只能是来自攻击者的恶意软件“大礼包”。

    还有另外一种方法可以使攻击者利用合法的网络资源扩散恶意软件。黑客攻击拥有众多用户的流行网络资源：新闻门户网站、在线商店、主题门户等等。如果网站的程序安全存在漏洞而该漏洞又被攻击者发现，那么只需在其页面嵌入代码，访问者就会被重定向到另一个包含恶意软件的网站上。如果没有发现网站漏洞，你随时可以尝试窃取网站管理员用来管理网络钓鱼和社交工程的数据。如果成功了的话，你可以对这个网站做任何事情，包括直接将恶意软件挂上网站。

安卓应用市场的一张截图

    除此以外，移动恶意软件的传播还有一种“近乎公平”的方式——通过应用商店。它可以是一个专门编写的包含恶意软件代码的程序，它们通常山寨了正版软件所有有用的功能和性能，或者可能是一个“赤裸裸”的恶意软件，只是包装上了看起来正规的名字和图标就上架了。

山寨版Google Play截图

    这类应用程序通常出现在非官方的应用商店，这些应用商店要么完全忽视任何防护措施，要么在应用程序的内容审核方面不慎仔细，仅限于自动扫描而已。但也不是没有官方应用商店上当中招的先例：Google Play，甚至通常被认为更加安全的Apple App Store。当然，这些企业及时清理了自己的在线商店，但攻击者也没有坐视不管。

攻击者如何获利

    一旦进入你的智能手机，恶意软件就开始执行它的使命——用你账户里的钱填满攻击者自己的口袋。对于攻击者来说，现代移动设备简直是一条闪闪发光的河，而他们的任务就是挖光这河里的金矿。

移动恶意软件：作案手段分布图

昂贵的小软件

诈骗者最“单纯“的赚钱方式，就是用骚扰型广告显示。它们并不会造成特别大的损害，但是偶尔弹出的广告横屏通知会很快演变成信息骚扰，而要摆脱它们可没那么容易，你要购买或安装它背后的程序！它可能是Angry Birds HD，也可能是一些冒充称系统应用的很难念出来的程序名字。

还有一种应用程序类型，它通常不做什么事情——既不做好事，也不做坏事，只是会花掉用户一大笔钱。其中一些放置在付费应用商店进行公开销售，比如说一些号称能够帮你赚钱的应用软件，其实到头来只是手机屏幕上一个钻石形状的小图标而已。其他程序则伪装成有用的东西，比如杀毒软件，它要求用户支付小额的费用来购买针对一些设备中常见的木马病毒的安全防护功能。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)