被植入木马程序帮他人“薅羊毛” 全国五百多万只手机中招

在移动互联网时代，一个用户的定义往往并不是一个自然人，也不是一台关联电脑，而是一个关联手机号。

对平台来说，一个手机号就代表一个实名认证的ID，也必须有一个手机号才能收到平台发放的手机验证码。

手机号不够用的时候怎么办呢？用户往往就会用自己的第二个手机，或者用家人的手机进行注册。

2019年8月12日，浙江绍兴新昌市民小朱用外婆的手机注册新用户时却发现无法收到验证码。

小朱是个互联网时代的青年，她没有简单地放弃而是想到了另一种可能。

“连着试了很多次，还是没有收到验证码，我怀疑我外婆的手机被人控制了。”当天，小朱选择了报警。

含有验证码的短信，这些老人机就是收不到

浙江新昌公安网安大队对小朱外婆的手机进行了现场测试，又有奇怪的发现：除了无法收到验证码、密码类的短信之外，其他类型的短信均能正常收发，手机其他功能也都正常。

围绕涉案手机销售渠道，新昌网警先后询问了在本地购买同款“老年机”的37人，勘验手机25只，发现其中15只手机的短信收发不正常，情况雷同。

之后，民警确证手机主板被植入了特殊的木马程序，能把特定的短信上传到指定的服务器。

谁在这些老年机里植入了木马程序？含有验证码密码的短信都发到哪儿去了？拦截这种短信是准备什么样的用途？被植入这款木马的手机到底有多少?

鉴于案情重大，绍兴、新昌两级公安机关成立了“2019.8.12”侵犯公民信息专案组，全力展开侦查。

专案组先找到了一个注册地在深圳的手机号码，专门用于接收被拦截的含验证码和密码类短信。

从这个号码切入，犯罪嫌疑人吴某和卢某进入警方视线，专案组最终确认这个犯罪团伙位于深圳市南山区。

2019年8月29日，绍兴警方赶到深圳开展第一轮抓捕，起获了大量的后台服务器数据以及犯罪团伙与上下游产业链的交易合同。

经查，这个团伙以吴某为首，专门制作可以控制手机、识别和拦截短信的木马程序，并与主板生产商合作，将木马程序植入到手机主板中。

“被植入木马程序激活的手机有500多万只，涉及到的手机型号有4500多种，受害者遍布全国，31个省、直辖市、自治区都有。”办案民警告诉记者。

植入木马程序之后，这只手机就被控制了

之后，专案组民警顺藤摸瓜，在深圳抓获其中一个手机主板制造商，现场查获大量植入木马程序的手机主板。

第三阶段，新昌警方又先后在厦门、杭州抓获利用非法购买的公民个人手机号和验证码、进行“薅羊毛”的嫌疑人14人。

“薅羊毛”就是指注册新用户获得红包的行为。

通过公安部发起“2019净网行动”集群战役，新昌警方也对下游非法买卖手机号、验证码等公民信息进行“薅羊毛”的黑灰产业链进行打击。

民警告诉记者，涉案的这种专用木马程序主要针对的是老年人手机和儿童手机、电话手表等功能机，因为这两类用户对短信的需求比较少，也不关注验证类信息，属于“闲置资源”。

“之前这个团伙也针对智能手机种植过‘木马’，但由于智能手机使用的用户范围比较广，往往很快发现收不到短信，然后发生投诉和纠纷，于是他们终止了智能机业务。”

民警介绍，被做了手脚的手机只要插入电话卡，主板里的木马程序就会运行，向后台源源不断发送短信，犯罪团伙就可以对这个手机进行实时控制。

在团伙中，犯罪嫌疑人吴某专门负责木马病毒和对码平台的搭建。

犯罪嫌疑人邓某是一家手机主板生产厂家的技术负责人，他们把吴某提供的木马病毒嵌入到手机主板里，销售给手机生产商。

原先，厂家生产一块老年机的主板只有几毛钱的利润，但安装木马后可以拿到三倍的利益，怪不得厂家纷纷下水。

最终，新昌警方打掉了这条“薅羊毛”的黑色产业链，近日吴某等20多位嫌疑人被提起公诉。

半岛网综合整理，素材来源：工人日报、钱江晚报、新华社等

半岛网编辑 王琳