在夜深人静的时候,在你关闭手机显示器的时候,甚至在你打电话、听音乐、玩游戏的时候,它都可能正被远在千里之外的陌生人操纵。你的通话记录、短信乃至更多稳私,可能已经被窃听;你收到的短信,可能已经被篡改;你的朋友,可能已经收到“你”发送的病毒短信;你的话费,可能已经被悄悄偷走……

  这一切,只因为你的手机可能已经在生产、流通、销售的任何环节中,或是在你刷机、修手机、装软件、玩游戏甚至打开一条陌生信息的任何过程中,被别人装上“后门”。因为,手机产业生态的几乎所有环节,都已或多或少地被卷入这条“手机黑金”利益链。

  在中国,有多少手机沦陷已无法统计。但业内人士保守估计,中国每月有至少超过1000万手机用户被恶意扣费,有“后门”的手机不少于1亿部,每年仅恶意吸费产业链的市场就高达数十亿人民币,而这些数字,还在不断增长之中。

  来自国家互联网应急中心的报告显示,2011年的手机恶意程度数量已高达6249种,是2010年的3.75倍,是2009年的15倍。

  “抢钱”游戏

  “同样是手机行业,别人是在赚钱,我们是在抢钱。”沈耀斌(化名)说,“一点不夸张地说,做软件的利润率,是手机制造的几十倍甚至上百倍!”

  沈耀斌的公开的身份是一家山寨手机公司老板,他的办公室设在深圳华强北,其业务主要是向“方案厂商”购买手机的操作系统及设计方案,然后倚靠华强北的巨大代工能力和流通能力生产山寨机,并将它们快速地销售到中国广阔的农村市场。

  但这个生意并不赚钱。在沈耀斌看来,山寨机早已过了赚钱的时代,现在,最终用户买一部山寨机甚至只要99元,而他甚至有过卖100部手机只赚50元的“最低利润率纪录”。

  沈真正的生意,是做手机恶意软件。

  在出厂之前,他生产的手机内就已经预装了大量的软件但购买者们并不知情。这些软件中,有的软件其实是潜伏在木马中的“间谍”,在未来的某个时刻,这些木马将为沈耀斌打开用户手机的“后门”。

  木马夺城的时间,取决于扣费环节的需求。

  沈耀斌最主要的合作伙伴是SP(业务提供商)与CP(内容提供商),它们的工作是与电信运营商们一起,为手机用户提供数据产品或应用服务,但当它们与沈耀斌走到一起,用户的话费就变成了它们的钱包。谈妥分成后,沈耀斌会远程控制用户手机订购SP和CP的产品或服务,从而借助运营商的代收费通道偷走用户话费。

  除此之外,沈的合作伙伴还有其他业务需求。比如让被控制手机为客户发送垃圾广告短信;比如窃取、搜集被控制手机的用户信息,然后将它们打包出售;比如在被控制手机中安装应用程序,以此向程序开发商收取推广费用等等。

  至此,一个完整的产业链条全部成型。手机方案厂商负责集成扣费软件或业务代码,手机厂商负责生产手机、预置软件和出货,SP、网盟、广告商等公司以各种方式,将被控制手机资源变现为“黑金”。

  在这个链条中,不论是什么业务,都有一个共同的特点:没有成本,或者说,成本被转嫁给了数量庞大的手机使用者。厂商需要做的,只是在电脑前点动鼠标,就可以轻松地拿到属于自己的利润分成。

  江湖规矩

  当然,沈耀斌们也有头疼的事。

  虽然利益的分割早有约定俗成的江湖规矩,但“黑吃黑”在这个行当里同样盛行。

  假定一个用户被悄悄扣了10元信息费,运营商首先要拿走1.5元的通道分成,并会根据实际情况扣除一定比例的坏账,一般SP和CP能拿到手的分成为7-8元。其后,按照行规,SP和CP能从中拿走30%,剩余70%由手机厂商和方案厂商对半分成。

  但实际的情况是,SP和CP并不会告诉沈耀斌每个月的实际“收入”,比如,双方事先商量好,每个月悄悄扣每个手机用户8元钱,但实际上SP可能扣了13元到15元,却告诉沈耀斌只扣到了5元。

  当然,对方做得不会太过分。因为沈耀斌一般会同时与好几家伙伴同时合作,这次谁给他的分成高,下次他就会提高与谁的合作份额。这样的“竞争机制”,至少能确保SP与CP们能够给他一个相对合理的分成比例。

  在他看来,大家打来打去,最后还是要拼实力,如果SP或CP有很好的关系,扣费稳定,就可以多分一些,如果手机厂商的出货量大,那分成的比例也相对更高。“一般来说,SP实际会拿走运营商结算后的60%,但如果手机厂商出货量到50万,SP往往会让出10%给手机商。”

  另一种合作模式是,SP与CP按照出货量一次买断,每部手机给沈耀斌支付2-5元,但以后不再向他进行分成。

  “当然,后一种方式虽然风险小,但利润太低,所以我们主要还是分成。”沈耀斌说,一般情况下,每部手机每年都能为他创造10-20元的“利润”,按照他每月不少于10万部手机的出货量,一年的净利润超过1000万元。

  一池污水

  “说实话,我在圈里其实只是小虾米。”沈耀斌很“谦虚”地说,在这个黑色产业链上,每年流水利润过亿的公司,在全国至少有几十家。

  “这些大公司很多是多个环节的结合体,比如既是SP/CP,又做恶意软件,甚至还是产业各环节的聚合者。”沈耀斌说,大公司很多控制了海量的手机,但自身的扣费通道有限,所以往往会与其他拥有扣费通道的公司合作,或是寻找类似网盟的聚合者。

  沈耀斌认为,仅销售到中国农村的山寨手机就累计至少超过3亿部,其中安装后门且目前仍有效控制的不会少于1亿部,其中每个月被扣费的不会少于1000万。

  “这只是非常保守的估计。”他说,比如据他所知一家流水过亿的公司,每个月的扣费用户就已经超过100万。

  不过,这些公司要“再上一层楼”也非常困难,因为利益链条上的生态正越来越复杂,需要整合的资源环节越来越多,一家公司控制全局的难度不断增加。

  比如,以前在用户手机中装后门,主要依靠山寨机预装,但现在,已经出现了种种更多渠道:在华强北、中关村等集散市场,水货手机往往要先“刷”一遍才销售给用户;在非运营商的大多数软件商店和软件论坛,用户下载的手机软件中都充斥着木马与病毒;用户手机摔坏了屏,维修员在换屏幕的同时,可能也会多加一点“料”;甚至在手机连锁品牌的卖场,甚至最基层运营商营业厅买到的手机都未必可靠,一些底层员工甚至店长都已有被收买、私下进行预装软件的先例。

  与此同时,过去恶意软件主要盈利来源只有恶意扣费,但现在,发送垃圾短信、发送诈骗短信、安装程序、倒卖信息等越来越多的“商业模式”不断出现,也让产业链越变越长。

  “可以说,手机产业链涉及的几乎所有环节都没有清白的。”沈耀斌说,只不过,其中有的环节问题并不严重,比如大的品牌手机厂商、运营商和大品牌的渠道厂商,他们自身并不会作恶,只是偶尔会有员工“揽私活”的小概率事件,但也有的环节,是绝大多数从业者都已经“黑化”,“比如山寨机市场,现在真正靠卖手机盈利的已经基本没有,大家都是在走量,然后靠装软件和扣费挣钱。”

  一些新的游戏规则因此出现。比如接到一个帮软件公司做推广的生意时,你最好尽快发出指令,让被控制的手机马上下载安装它,因为同一部手机只会计算一次推广安装量,但用户的手机往往已经被刷过多次,装入了2个甚至更多后门,而你的“同行”可能也已接到同一个生意,随时可能比你先行一步。

  定时炸弹

  在沈耀斌看来,手机恶意软件的又一个“春天”即将到来。

  这个“春天”名叫智能机。

  “手机扣费看上去简单,其实非常复杂。”沈耀斌说,“其核心问题在于,对你扣费的用户、扣费的方式、扣费的时间进行选择。”

  比如,被扣费的用户不能是运营商、政府、媒体等敏感人群,不能是经常查看手机资费的人群,否则就会有较高的投诉率,导致扣费行为被运营商发现并清理。

  所以,恶意软件都对控制手机的地域、手机号段乃至机型、操作系统有所限制。“山寨机是最受欢迎的,因为它的用户普遍在农村,不了解手机业务,也缺乏维权意识,往往可以产生持续的高利润”沈耀斌说,曾因诺基亚占据大量市场的Symbian也是手机恶意软件的重灾区,相对封闭的苹果与市场相对较小的 Windows Phone则问题较少。在北京、上海等省市,恶意扣费接近绝迹,但在中西部的三四线以下城市,手机恶意软件却大行其道。

  智能手机系统安卓,则正在成为一颗已点燃引线的定时炸弹。

  2009年10月,安卓系统2.0版本发布,安卓逐渐受到消费者青睐,大量品牌手机厂商纷纷转战安卓平台。2010年,安卓手机的市场份额直接从前一年的3.9%飙升至22.7%,一举成为全球第二大手机操作系统。

  与其他手机操作系统不同的是,由于源代码的开放,安全厂商与病毒厂商都可以拥有相同的系统权限,安卓手机的系统安全将难以保证,而随着智能手机成本不断下降,安卓手机的用户也逐渐从高端向高中低全线扩张,也就是说,它的市场将逐渐与手机恶意软件的用户走向重合。

  “过去,安卓用户太高端,所以很少人愿意做它,但随着千元智能机尤其是山寨智能机的普及,安卓必将成为手机恶意软件的巨大市场。”沈耀斌断言。

  更重要的是,与以打电话、发短信、上WAP的传统功能手机不同,智能手机有更高的性能与更大的扩展性,有更清晰的摄像头、有定位功能、可以做发微博、收发邮件、使用网银等等几乎所有互联网上可以实现的应用。这也意味着,当智能手机被恶意软件劫持,用户可能丢失更多的个人信息,被窥窃更多的个人隐私,产生更大的经济损失,而对于恶意软件产业链来说,它们也会有更多的扩张渠道与更丰富的“盈利模式”。

  一个例子是,为程序开发商安装软件应用,就已经成为恶意软件产业链仅次于扣费的第二大生意。包括腾讯、百度、新浪等中国几乎所有知名程序开发商在内的互联网公司都是它们的客户或潜在客户,一般来说,每个程序每安装一部手机,就需要向他们支付3~5元。

  与此同时,和山寨手机厂商的合作不同,安卓系统的手机恶意软件推广已经越来越多地绕开手机厂商,扩展到手机应用商店和手机论坛这些直接对接用户的渠道。

  “目前来讲,与北美主要是窃取密码与信用卡,中东主要是传播极端思想不同,中国90%手机恶意软件还是以直接扣费为主要目的。”一位信息安全人士说,“但随着智能机普及,未来手机恶意软件对中国社会与经济的危害方式将更多,可能造成的危害更大、更突然。”

  一个例子是,此前已有传播的一种手机恶意软件,可以直接篡改用户手机信箱中的短信发件人与内容,并可以控制手机向通讯录中的所有人发送指定内容的短信。而据业内人士透露,这一恶意软件已经被利用于诈骗及垃圾短信发送。

  事实上,手机恶意软件向安卓智能机蔓延的势头已经显现。

  2011年6月,谷歌官方的安卓市场发现24款应用被恶意植入病毒代码。受此影响,全球约12万部安卓设备中毒,谷歌为此不得不删除被感染的 50多个应用程序。但4个月后,这个病毒又出现了新的变种,通过包装而重返安卓市场。事实上,恶意软件已在谷歌的应用商店呈现出泛滥之势。Juniper Networks公布的调研数字显示,2011年7月至11月,安卓市场上的恶意软件数量增长高达472%。

  腾讯移动安全实验室的一份报告则显示,仅2012年第一季度出现的安卓系统病毒软件包就已经超过了2011年全年病毒包的3/4。

  而据中移动信息安全管理与运行中心人士透露,从2010年4月以来,过去1年中移动已经监到超过7000种手机恶意软件,其中93.87%是高危病毒,且安卓软件已超过5000种。