该操作系统自推出以来，凭借友好的二次开发和定制化特点迅速占领市场，成为智能手机领域唯一能与苹果iOS相抗衡的手机操作系统，受到各大手机厂商的青睐。但由于其系统生态不封闭，近年来以手机为特定攻击目标的网络案件层出不穷，其中最为严重的莫过于在手机生产过程中批量预植入“后门”和“木马”。此类案件的电子数据取证流程相对复杂，普通人根本无从辨别，“后门”或“木马”程序潜伏期长，社会危害极大。

下面以一起手机非法控制的案例作为引子，从电子数据取证的角度分析“木马”或者“后门”的运行机制，从而简单判断手机是否被他人恶意控制。

案例摘要

2017年7月，浙江嘉兴一家公司向当地公安部门举报，其发给员工的大量手机莫名弹出大屏广告、无故卡顿，怀疑手机感染木马。

法医分析

网安部门核实，该批手机为受害公司通过卖家批量采购，全省已销售上万台同款手机。该手机初见时并无异常应用，但经过深入的电子数据取证分析，发现了异常内容。

同一批手机中存在大量“触摸屏管理”、“系统盘”等不同名称、但代码功能类似的无界面（即手机桌面上看不到任何图标）的后台应用。这些后台应用可以在用户不知情的情况下自动操作用户在微信上关注的公众号。为了不让用户发现，应用在操作用户手机时还会降低手机音量。

无界面应用之所以能随心所欲操控用户手机，是因为手机本身带有“后门”程序，而这个“后门”会在手机开机后自动运行，拥有系统权限，理论上可以为所欲为。而霸屏广告、操控用户手机自动关注微信公众号的“罪魁祸首”正是这个“后门”程序。根据用户反馈和测试，霸屏广告确实很“霸道”，在弹出时，用户手机的多个按键和输入法都无法正常使用，而且用户也无法永久关闭弹窗广告。

大多数手机用户得知“后门”程序可以轻易“接管”用户的手机，即使手机恢复出厂设置也无法完全消除，一定会感到十分震惊。那么，这个“后门”是系统什么时候留的？为何手机恢复出厂设置后也无法完全关闭？

法院判决

2019年1月，法院对该案作出一审判决，认定被告人欧某、陈某、宋某等人伙同手机厂商，将开发的广告SDK（即“后门”程序）预装到智能手机操作系统中，并让广告SDK获得系统权限。用户首次打开装有广告SDK的手机并连接网络后，手机通过互联网连接到后端服务器，在用户不知情的情况下将用户信息上传到后端。后端控制系统还向用户推送商业广告等电子信息，并从产生的广告费用中牟利。

被告人欧某等人还利用广告SDK的静默安装功能自动下载其自行开发的其他程序，利用手机系统辅助功能模拟用户操作，自动关注其运营的微信公众号，以快速增加粉丝数。

被告人欧某、陈某、宋某等28人因非法控制计算机信息系统罪，被判处一年至四年有期徒刑（缓刑）。2019年7月，该案二审驳回上诉，维持原判。

本案的关键在于科技公司与手机厂商合谋在手机操作系统中预先植入“后门”程序，也就是说用户的手机在购买时就存在问题，这也是为什么手机恢复出厂状态后，广告也无法彻底关闭的原因。

如何判断手机本身是否有问题

随着移动智能终端的日益普及，越来越多的不法分子开始瞄准智能手机，“315”晚会就多次曝光恶意扣费、窃取用户隐私的手机“木马”程序。

对于手机而言，常见的“木马”程序可以通过手机安全软件扫描、拒绝敏感权限等方式规避，但隐藏在系统层的“木马”和“后门”则很难通过上述方式清除。如果手机出现频繁弹窗广告、无法接收验证码、流量暴增等异常情况，重置后手机仍无法恢复正常，基本可以判定是所购手机本身存在问题。遇到此类情况，应及时向公安机关报案。

从电子数据取证情况看，千元以下的低端手机，特别是各类“贴牌”手机，是此类犯罪的重灾区。这些手机的设计、生产、销售都伴随着诸多盲区，往往以“价格低廉”为卖点吸引消费者，但实际上手机内部却“暗藏玄机”，通过广告引流甚至更为严重的违法犯罪手段赚取利润，严重侵犯了消费者的合法权益。普通用户在购买手机时，在考虑价格的同时，应选择口碑好的品牌手机。

从业者不应跨越法律红线

虽然上述案件发生在2017年，但近一两年类似案件屡见不鲜。例如2019年8月，浙江省绍兴市公安局就破获了一起在手机主板预先植入电脑病毒，通过电脑病毒截取短信的案件。用户用手机以“薅羊毛”的方式收取在电商平台注册获得的优惠券，并从中牟利，涉及手机500多万部。

除了手机，电脑上被恶意程序强行锁定浏览器主页、随意安装“整套”软件的案例更是不胜枚举。尽管手机黑灰行业的从业者们绞尽脑汁，采取避开中国一二线大中城市、针对老年手机人群和各类小众品牌千元机、百元机的“操作”，但本质上还是像在走钢丝，一旦掉下去，将后悔终生。

《中华人民共和国刑法》第285、286、287条对网络犯罪作出了具体规定，行业从业人员必须严格自律，切勿逾越法律红线。

综合来源 | 公安部网络安全保卫局/浙江网警