紫牛
【紫牛调查】他们绑架了94万部手机,收钱为公众号制造10万﹢
2017-08-08 20:16:19

图片

 

图片

警方在作案联络点调查取证


这个团伙共13人,分为3个小队,一队负责木马技术的开发,一队负责将木马植入手机,还有一队负责联系有需要的公众号进行应用推广。

——扬子晚报紫牛新闻原创


 

微信偶尔“闪退”引警觉

手机用户疑中木马报案

 

微信成了重要的社交工具,刷朋友圈,看公众号推文,成了很多人每天必修的“功课“。邳州市民王先生就是这样,可今年4月的一天,他发现微信有些异常。

         

“下班后把手机给孩子玩,孩子下了个程序后,我发觉微信‘闪退’。我上网查了,说可能中了木马病毒。因为微信绑了银行卡,担心有人把卡上的钱转走,于是报了警。”当邳州市公安局运西派出所社区民警来走访时,王先生跟民警说了这种情况,关机重启后微信依然会“闪退”,疑似中了木马。民警随后进行初查,并上报邳州市公安局网安大队。

        

可这次王先生的微信“中招”,委实有点怪,账号既没有受到攻击,捆绑的银行卡也没被盗。网安大队扩大侦查后有了新的收获,王先生的微信“闪退”并非个案,而是由一款专门针对微信制作的木马造成的,全国各地不少人“中招”。

 

 

邳州市公安局初步判断,对王先生下手的不法分子,已经涉嫌触犯非法控制计算机信息系统罪,遂成立专案组立案侦查。经过追踪,专案组搞清楚了木马作案途径,发现受害人遍布全国各地,但背后有一个非法控制计算机信息系统进行牟利的作案团伙,而这个团伙在北京、深圳等地均设联络点。

 

这款木马病毒真奇怪

绑架手机不窃钱财只为刷粉

 

专案组侦查发现,王先生手机中了木马病毒之后,只是微信“闪退”无法正常使用,其他功能正常,与微信绑定的银行卡、微信红包等财产并未受到损失。给市民手机植入了木马病毒,却不直接掠夺这些用户的钱财,他们图什么?

         

“这种木马是在用户不知情的情况下植入的,通常隐藏在某个应用程序中,用户很难发现。再说,这种木马程序不窃取钱财,所以多数人遇到微信‘闪退’,会认为是手机本身出问题。我们是第一次遇到,但可以肯定,这种情形也发生在更多用户身上。”办案民警李棒棒解释说。

 

带着疑问,邳州市公安局网安部门立即与腾讯公司微信安全团队联系,请求协助分析。微信安全团队分析后发现,这款木马攻破了微信的安全设置,能自动终止微信的进程,修改相关文件,最终实现在手机用户不知情的情况下,去关注一些微信公众号,并对公众号发布的文章阅读、点赞。

        

也就是说,不法分子开发这款木马程序,目的就是利用市民的微信账户为一些公众号拉粉、点赞,刷阅读量,从而获取利益。而随着犯罪嫌疑人落网,专案组揭开了这个团伙的具体运作方式。

        

随后,专案组兵分四路,前往北京、深圳、秦皇岛、南昌组织抓捕。在当地警方协助下,4个抓捕组蹲守近5个小时后,于5月19日中午一举抓获11名犯罪嫌疑人,当场缴获手机、笔记本电脑等作案工具。

         图片

【嫌疑人落网】

图片

警方缴获的作案工具


经过突审,一个分工明确、人员学历高、作案技术手段强的计算机信息犯罪团伙的架构逐渐清晰起来。“这个团伙共13人,分为3个小队,一队负责木马技术的开发,一队负责将木马植入手机,还有一队负责联系有需要的公众号进行应用推广。” 办案民警李棒棒说,他们的学历基本是大专以上,曾从事过互联网软件开发,案发前一直有合作。他们是为了多赚点钱才决定铤而走险,从事这个时髦行业的。 


买通手机批发商

批量植入木马病毒

 

该团伙成员虽然分处各地,但此前相互间有业务往来。深圳公司控制人严某擅长软件开发,今年初,在破解了微信安卓客户端的加密方式后,他立马意识到,赚大钱的机会来了。

        

当下微信公众号的生存,依赖于粉丝和流量。严某破解了微信的加密方式,就等于这些手机上微信的大门都已经向他敞开了,想让这些微信关注谁就能关注谁;想让哪篇文章阅读数上到“10万+”,他就能刷到这个数值甚至更高。

        

做这样的事情,单靠个人是不行的,“有钱一起赚”。他想到了常年合作的北京某公司的张某。经过一番合谋,他们决定利用这种手段为公众号“刷量”从而获利,并把宣传推广的重任交给了张某。

        

张某颇有人脉,很快与北京一家专门从事手机软件开发的公司联系,利用该公司开发的手机软件后门,诱骗用户下载root软件,在用户不知情的情况下,通过远程指令下载安装木马,修改微信客户端文件,把用户手机当作“肉鸡”,“无私”地替公众号“刷量”。

       

植入木马主要在手机批发环节完成。比如某个批发商一下子从厂家进了5万部手机,该团伙就与批发商谈判,给每部手机加装一款软件(该软件就是自带木马的),然后每部手机给批发商5元左右的好处费,加装后,他们再恢复原厂包装。

       

“他们自己承认,目前这个软件技术还没完全开发成功,只能针对安卓系统的手机进行控制,一般来说像小米、华为、联想手机更易中招。”邳州市公安局网安大队大队长冯雷说。

        

据介绍,严某、张某等人采用两种方式投放操作:一种是线上投放,在手机软件安装包内加入带有root功能的加速软件,当手机用户在玩手游时,会弹出一个对话提示框告诉你手机运行慢,可以下载安装这个加速项。其实,只要用户安装了,他们就会获得root的权限,相当于在这部手机上开了“后门”。

       

“只要手机处于黑屏状态,他们就可以用微信肆意地加粉、刷阅读量,但线上投放的‘安全系数’低,被发现的几率大,所以他们一般采取线下投放。”冯雷说,线下投放主要针对即将投放市场的安卓系统手机,先从批发商、销售商处下手,通过预装手机系统把root刷进去,以便掌握“后门”,获取这些手机的最高权限。这些手机卖到用户手中并被使用后,他们就能远程控制手机,实施加粉、刷阅读量等行为。

        

客户来得很容易,该团伙借助当前最火的网上广告形式,吸引有需求的各类微信公众号。

        

“这类犯罪作案时间短,木马能自动识别手机是否在黑屏状态,一旦是黑屏,仅需一两秒点几个按键,就可以神不知鬼不觉地关注某个公众号、点击某篇文章。”办案民警说,被这种木马控制的手机,随时可以“秒关注”“秒赞”“秒阅”。即便是关注某个公众号、点击了某篇文章,微信用户也看不到,隐蔽性强。

 

几百上千元刷出“10万+”

客户居然还有政府机关

 

据初步统计,截止案发时,这个团伙已控制全国各地手机94余万台,通过加粉、刷阅读数等获利100多万元。

        

那么,这个团伙都为哪些公众号提供了这种“加粉”“刷量”服务,又是怎么收费的呢?紫牛新闻记者了解到,因为微信公众号生存竞争极为激烈,该团伙业务需求量很大,提供业务的微信公众号也非常多,主要是一些商业推广公司控制的公众号、个人公众号,还有部分政府机关的公众号。收费标准则是目前行内“统一价”:涨1个粉0.2元,点1个赞1元,图文阅读500次5元,原文阅读100次8元,分享转发到朋友圈100个25元,量大价格可以优惠。

          

“他们掌握了90多万部手机,要给某个微信公众号增加上万粉丝,或者给某篇文章刷个‘10万+’,几百元上千元就搞定了,真是轻而易举。”办案民警说,像这种情况,不过是微信火爆后衍生的灰色产业链之一,早在微信推出之时就已存在。

         

业内人士告诉紫牛新闻记者,庞大的点赞和阅读量,能为微信公众号争取粉丝和更多的广告收入,这是公众号商业运用的基本模式。此外,读者看到拥有高阅读量文章的公众号,基于从众心理,自然对该公众号产生信赖感和关注兴趣。所以,一些不愿踏踏实实靠内容和活动一点点“涨粉”的微信公众号,就开始寻觅捷径,微信“刷粉”业务顺势而生。

 

 

紫牛新闻记者体验

网上很多店家“卖阅读量

 

微博、微信诞生开始,刷粉丝、刷阅读量这种不光彩的事情就有了,如今更是大行其道,在淘宝上有大量类似的商品信息。紫牛新闻记者直接搜索“微信刷粉”“阅读量”“公众号加粉”等关键词时,淘宝网上出现了大量标价为1元的店铺。

         

紫牛新闻记者以买家身份联系了其中两家销量较高的卖家。其中一家卖家说,标价显示1元只是为了方便服务,阅读量的价格实时报价,阅读量1000次是26元,但要等到明天早上才能完成。如需10多分钟内就上涨阅读量,则要多收10元。

                 

图片

图片

图片

紫牛新闻记者采访淘宝“刷粉”店家,刷阅读量怎么收费


至于“刷粉丝”的收费,僵尸粉为6元100个,真人粉30元100个。在谈及真人粉和僵尸粉的区别时,卖家表示,区别就是小号质量不同,僵尸粉是电脑控制手机、掉粉包补,而真人粉是手工加的,掉粉不补。 当问及“这种刷量操作会不会被发现导致封号”时,一个卖家承认,能从后台看的出来;另一个卖家则表示,不会,很安全。

 

与黑色产业链之间

“猫鼠斗”不断升级

这个案件中,犯罪团伙非法控制用户手机的微信来增粉、刷阅读量,不仅浪费了用户的资费,还对用户造成了骚扰。更重要的是,手机承载了用户大部分的沟通、支付功能,木马被植入手机,相当于自家大门的钥匙有一把落入不法分子手中,潜在的危险想起来让人不寒而栗。

微信安全团队指出,针对微信增粉、刷阅读量、刷点赞数等行为,微信平台与这条黑色产业链之间的技术对抗一直存在,并且不断升级,但利益的驱使让这场“猫鼠斗”的游戏在相当一段时间内持续。

据悉,微信安全团队除了对案中木马样本的核心功能进行核实外,还修补了漏洞,防止同类病毒出现;获取木马控制“作弊”微信客户端的情况,积累“作弊数据库”。微信安全团队将持续加强技术手段,确保平台的真实、公正和公平。

 

【网警提醒】


 

主要嫌犯已被批捕

邳州市公安局破获的这起特大非法控制计算机信息系统案件,撬开了给微信增粉、刷量灰色产业链的冰山一角。这个犯罪团伙将木马程序植入用户安卓系统手机,将全国各地94万部手机当成随意玩弄的“肉鸡”,给一些花钱的公众号增粉、点赞,刷阅读量,获利高达100余万元。

邳州市网管大队队长冯雷说,这个犯罪团伙已经涉嫌非法控制计算机信息系统罪。根据刑法及相关司法解释,这个罪名一般来说,控制20台就可定罪,而该团伙控制了94万台智能手机,显然是“情节特别严重”了。

 

目前,这个团伙主要犯罪嫌疑人严某、张某、黄某已被邳州市人民检察院依法批准逮捕,其他嫌疑人也被采取了强制措施,案件还在进一步办理中。


为了您的手机安全,请切记以下几点——


首先,不要随意从网上下载软件,切记手机不要越狱或者root,否则手机的操作系统安全威胁将大大提升;

其次,到正规渠道下载ROM和软件客户端,不要下载来历不明或安全性不确定的软件包;

第三,可以安装一些专业手机安全软件,定期查杀木马和病毒。

 紫牛新闻记者 于英杰  通讯员 陈贺 实习生 王子琦 韩琪

图片

 

 

| 微矩阵

扬子晚报网(江苏扬子晚报有限公司)版权所有,未经授权不得转载或建立镜像 版权声明

地址:南京市建邺区江东中路369号新华报业传媒广场 邮编:210092 联系我们:025-96096(24小时)