工信部黑名单上APP变身后仍可下载风云直播5登黑榜

南都记者统计近三年工信部公布的466款不良应用软件实测发现

工信部黑名单上的APP“变身”后仍可下载

如果你遇到过以下几种情况之一：在安装和运行了一款APP后，设备自动捆绑或不停下载其他恶意应用、手机频繁卡顿、手机刚充值就莫名其妙欠费了，那么你的手机有可能安装了恶意APP。

根据通信行业标准《移动互联网恶意程序描述格式》，具有恶意扣费、信息窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈、流氓行为等八种恶意行为之一，即被认定为恶意APP。一经检测发现，这些恶意APP将会出现在工信部每个季度公布的应用软件黑名单里。近日，南都记者统计近三年工信部公布的466款不良应用软件发现，超过八成的APP存在强制捆绑推广其他应用软件的问题，恶意吸费和违规收集用户信息的合计占比约16%。

“风云直播”三年内5登黑榜

“注意！这些APP太流氓了，赶紧卸载！”

2017年11月中旬，工信部公布了今年第三季度检测发现问题的不良应用软件名单，其中就包括三款存在恶意吸费行为的APP，分别是在XP系统之家上线的“部落冲突”（V1．0．0．2）和生存游戏2（V1.0．0．2），以及PC软件下载站提供的“球球大作战”（V3.0．0．7）。

据南都记者了解，工信部定期会对手机应用商店的APP进行技术检测，并公布每个季度的黑名单。

近日，南都记者统计近三年被曝光的不良APP，发现共有466款上榜。2015年一季度发现的不良应用软件最多，达到82个，最近一次是2017年三季度，共计公布了31款不良应用软件。

从榜单看，有384个APP涉及“强行捆绑推广其它应用软件”的问题，占总数的82%．APP的这一“流氓行为”给用户带来的直观感受是，比如刚下载一个用来录音的APP，安装后发现多出三四个游戏APP．而这些不明下载而来的APP又可能存在新的安全隐患。

在这些因捆绑其它应用而被曝光的APP中，所涉及的类型众多，包括系统工具、游戏娱乐和教育文化类。南都记者对比发现，一些名称里带有“ROOT”和“Wi-Fi钥匙”的APP频繁出现在黑名单中。需要当心的是，手机一旦ROOT后，即被获取最高权限，就容易被恶意软件破坏，而通过工具破解Wi-Fi密码，连上不明网络，更是泄露个人信息的主要途径之一。

南都记者统计发现，一款叫“风云直播”的APP，从2015年二季度开始，连续4个季度在不同应用商店检测中都发现这个问题，共被5次点名曝光，涉及5个不同版本。是工信部公布的APP黑名单中上榜次数最多的一款。

南都记者统计，在今年前三季度，被曝光存在该类问题的APP就有6款，其中3款来自游迅网，分别是八分音符酱（V1．0．0．4）、暴力战车（V5.0．0．9）、狂野飙车（V1.0．0．3），均是游戏产品。剩下的3款则是在机锋网上架的“野途”（V2.8.2）、九号安卓频道提供的“我的世界”（V1．0．0．4），以及应用汇的互伴（V2.1.6）。

通过屏蔽二次确认短信“偷钱”

如果说“强制捆绑其它应用”和“未经用户同意收集使用用户信息”较为常见的话，那么在用户不知情的情况下，操控用户手机则让人难以想象。

南都记者注意到，有7款APP，因会在“用户不知情的情况下，自动向外发送短信”而上黑名单。

类似的案例并不少见，南都记者今年3月曾报道过，一名初三学生的手机频繁被扣费，有一次短短10分钟就收到35条短信，称他开通了16项通信业务，共计被扣费156元。

一名技术专家向南都记者分析，手机自动发短信一般是为了订阅无线增值业务（又称作SP业务），所以会造成用户手机被扣费。

此外，国家互联网应急中心高级工程师何能强告诉南都记者，静默下载也是强制捆绑的一种形式。通过屏蔽二次确认短信的恶意游戏APP会导致恶意扣费。也就是说，即便在未收到短信提示的情况，用户也可能被“偷钱”。

数据显示，在工信部公布的违规APP总量中，恶意吸费的应用软件占比达到8%．在因恶意吸费而被曝光的35款违规APP中，基本上是游戏软件。一款名为“开心连连看”的APP在2015年下半年曾三次上榜，分别在优亿市场、应用酷和苏宁易购应用商店检测出V2．6、V1．5．0及V3．1版本存在这一问题。

比较特别的是，今年一、二季度，工信部公布的两款APP甚至存在“恶意操控用户手机”的问题，分别是IT猫扑网的“千寻免流”（V3.1.3）和金山手机助手的“开心连连看”（V1.6.0）。另外，2015年一季度有移动应用商场的两款APP———“匆匆那年”和“撒娇女人最好命”，被指收费后无法获取视频内容。

有网络安全工程师告诉南都记者，手机被恶意操控后，好比在你家的地下室打了一个通道，有人可以通过远程发送指令，将你手机里的数据发送至服务器。如果手机因为系统漏洞被攻击，获取ROOT权限，那你家里的每个房间都能被访问了。

观察

成本低廉、审核漏洞不良APP可改头换面

然而，南都记者发现，不良APP仍屡禁不止。

恶意程序5元可以买到

今年4月，南都调查手机“植入病毒”利益链，实测发现一款恶意程序5元可以买到，花200元可制作一款空壳APP，挂到网上后13天内就有600多次点击量，36人中招。

据从事APP定制开发3年的张珂（化名）介绍，APP在开发上线后都需要获取用户，因而就有推广需求。很多APP内部有推荐位，一般选择在用户容易“点击”的位置，推荐下载成功后可收取费用。按照推广APP类型的不同，通常平均一个下载激活费用在10-50元，有些现金贷类应用号称一个真实用户价格在100元以上。

另据南都记者采访了解，部分APP开发商为了推广，还会选择贿赂小型的手机生产商，在手机硬件中预装或自动下载恶意程序。

部分应用商店不做检测

大多数APP开发后都会提交到应用商店发布，这样能够借应用商店获取更多的用户，而上线一般需要经过机器和人工的审核。

据张珂介绍，国内知名的第三方应用商店和手机厂商的应用商店，包括应用宝、360手机助手、百度手机助手，以及小米、华为等。在开发者将APP上传到这些应用商店后都会自动进行病毒、安全性等扫描分析，发现问题应用就无法上线。

然而，一些应用商店的审核管理并不严格，部分缺乏安全检测能力和运营技术支持的应用商店甚至不做检测，就直接上架问题APP供用户下载。

南都记者统计上述被曝光的不良APP发现，它们出自93个手机应用商店，其中百度手机助手、应用酷、安卓网和苏宁易购应用商店被曝光的不良APP最多，均在20款以上。这也在一定程度上反映了，即便是知名的大型应用商店也可能因为把关不严而让不良APP上架。

被曝光的不良APP不仅可以在其它应用商店下载，而且未被下架的其它版本还可能存在问题。南都记者发现，2016年厉害季度，“胎教音乐盒子”（V4.06）在百度手机助手上被检测发现强行捆绑其它无关应用。此前，它已经分别在“琵琶网”和“3533手机世界”因同样的问题被曝光。

声音

专家：平台方也需要承担责任

针对不良APP的问题，南都记者注意到，2013年，工信部联合其他部门推出《信息安全技术公共及商用服务信息个人信息保护指南》，明确了一些APP应当遵循的基本原则，包括目的明确、最少够用、公开告知、个人同意等。

去年6月，网信办发布的《移动互联网应用程序信息服务管理规定》也指出，移动互联网应用程序提供者应当保障用户在安装或使用过程中的知情权和选择权。未向用户明示并经用户同意，不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能，不得开启与服务无关的功能，不得捆绑安装无关应用程序。

上海市信息安全行业协会专委会副主任张威建议应加大对不良APP的整治力度，同时对APP收集信息进行规范。他告诉南都记者，实际上，不少应用商店对APP的审核管理还是较弱。但根据今年6月正式施行的《网络安全法》要求，如果在某个应用商店发现不良APP，那么平台方也需要承担责任。

张珂则指出，不仅要明确应用商店的责任，还包括开发者、手机厂商。在他看来，让手机厂商来做安全防范是避免安装不良APP的重要方式之一。因为用户安装一款安卓APP，需要先下载安装包。这时手机厂商可对此进行安全检查，如发现不良APP能及时处理或给用户风险提示。

而从用户角度看，腾讯手机管家安全专家杨启波建议应避免在小型电子市场下载APP，也不要通过不明网址直接安装，应该选择大型安全的电子市场，或者直接到APP的官方网站下载，同时安装专业的手机安全软件，帮助识别各类风险应用或恶意软件。