金立手机安装不了软件被暗中植入木马“拉活”赚钱，两千多万部金立手机成“肉鸡”

用户投稿 2025年06月23日 03:40:03 17 0

被暗中植入木马“拉活”赚钱，两千多万部金立手机成“肉鸡”

澎湃新闻记者王健

从2018年12月至2019年10月，逾两千万部金立手机沦为“肉鸡”（指中了木马，或者被留了后门，可以被远程操控），成为不法企业和个人非法敛财的工具。近日，中国裁判文书网公布的一份非法控制计算机信息系统案判决书，披露了这些金立手机变“肉鸡”的详情。

法院审理查明，北京佰策科技有限公司（另案处理）与被告单位深圳市致璞科技有限公司（金立子公司）合作，通过金立手机“故事锁屏”软件版本更新将木马程序植入到用户的金立手机当中，在用户不知情的情况下自动更新版本，接收 “拉活”（指拉升APP用户使用活跃度）指令，并在符合配置条件的情况下执行对指定APP的“拉活”，从而达到广告“拉活”的效果，赚取“拉活”费用。

2018年12月至2019年10月，北京佰策公司和深圳致璞公司合伙实施“拉活”（执行成功）共计28.8亿次。2019年4月以来，每月“拉活”覆盖设备数均在2175万台以上，其中2019年10月涉及金立手机26518921台。2018年12月至2019年10月，深圳致璞公司预估可从北京佰策公司的“拉活”业务中收入人民币2785万元，双方已结算的“拉活”费用为842.5万元。

法院判决，被告单位深圳市致璞科技有限公司犯非法控制计算机信息系统罪；被告人徐黎、朱颖、贾正强、潘琦犯非法控制计算机信息系统罪，判处三年至三年六个月不等的刑期。

“拉活”超28亿次，金立子公司涉案

深圳市致璞科技有限公司是深圳市金立通信设备有限公司子公司，工商档案显示，深圳金立公司持有深圳致璞公司85%的股份。深圳致璞公司经营范围包括：计算机软件的技术开发、广告业务、利用信息网络经营游戏产品等。其注册资本1000万元，法定代表人为徐黎。

2019年11月14日，徐黎因涉嫌犯非法控制计算机信息系统罪，被义乌市公安局刑拘，同年12月20日被逮捕。2020年7月22日，义乌市检察院以被告单位深圳市致璞科技有限公司、被告人徐黎、朱颖、贾正强、潘琦犯非法控制计算机信息系统罪，向义乌市法院提起公诉。

义乌法院一审审理查明，2018年3月，朱某（另案处理）成为北京佰策公司（另案处理）法定代表人，负责公司经营，并先后招募吴华铠、孟凡磊、杨帆、王登科（均另案处理）等人研发“拉活产品”。

此后，北京佰策公司从上海升元网络科技有限公司、深圳市阿咕吖传媒有限公司等广告代理公司承接“拉活”业务，并与珠海市小源科技有限公司、珠海市魅族科技有限公司及被告单位深圳致璞公司等手机商合作开展“拉活”业务。

2018年7、8月份，朱某与被告单位深圳致璞公司负责人徐黎合谋，采用具有“拉活”功能的SDK控制用户手机的方式合作开展“拉活”业务。双方于2018年12月1日正式签订“拉活”协议。徐黎安排公司负责技术的副总经理朱颖与北京佰策公司对接“拉活项目技术问题”。朱颖安排深圳致璞公司北京分部负责人杨强（另案处理）与北京佰策公司产品部负责人吴华凯、北京佰策公司西安技术部负责人王登科对接具体技术问题。

双方约定由杨强等人将北京佰策公司开发的“拉活木马”程序集成在金立手机的“故事锁屏”APP中。杨强安排刘某、胡某、任某2（均另案处理）等人落实该项目，并通过“故事锁屏”软件版本更新将“拉活木马”程序植入到用户的金立手机当中。北京佰策公司通过“拉活”产品服务端配置“拉活”链接、“拉活”方式、反馈数据等。装有“拉活”功能SDK的手机在用户不知情的情况下自动更新版本，接收“拉活”指令，并在符合配置条件的情况下执行对指定APP的“拉活”，从而达到广告“拉活”的效果，赚取费用。

2018年12月，因现有“拉活”方式存在效率低下等问题，王登科提出将热更新插件“黑马平台”植入到“故事锁屏”等APP中，用于“故事锁屏”等APP及其带有木马插件的SDK版本的升级，再通过“黑马平台”在用户不知情的情况下安装、更新“拉活木马”，从而提高拉活效率，后该提议被实施。

法院审理查明，2018年12月至2019年10月，北京佰策公司和深圳致璞公司合伙实施“拉活”（执行成功）共计2884338174次。2019年4月以来，每月拉活覆盖设备数均在2175万台以上，其中2019年10月涉及金立牌手机26518921台。根据深圳致璞公司REPORT平台统计，2018年12月至2019年10月，深圳致璞公司预估可从北京佰策公司的“拉活”业务中收入人民币2785万元。现深圳致璞公司已收到北京佰策公司结算的“拉活”费用人民币842.5万元。

手机厂商分七成收益

判决书显示，2018年11月左右，被告人贾正强、潘琦加入北京佰策公司并成为公司合伙人。被告人贾正强任北京佰策公司技术部负责人，负责公司技术人员的招募、日常管理、人事安排等工作。技术部负责“拉活”产品的研发、升级等。被告人潘琦任北京佰策公司副总裁，负责产品部，对公司的“拉活”产品提出整改意见，优化“拉活”业务，潘琦于2019年11月8日离职。

潘琦供述称，其负责的产品部主要负责公司的产品应用开发，唤醒业务（业内叫“拉活”）属其部门的工作，其在2018年11月底就知道公司有该项业务，当时其认为植入木马程序，是行业潜规则。由于系统唤醒率太低，2018年年底，公司对该系统进行重构研发，公司唤醒业务的收入2亿元左右，占公司总收入的三分之一左右。

北京佰策公司法定代表人朱某证言显示，与手机生产商合作安装的SDK产生的收益，其公司占三成，手机厂商占七成。

判决书显示，本案被告单位深圳市致璞科技有限公司的诉讼代表人曾彬、被告人徐黎、朱颖、贾正强、潘琦均对公诉机关指控的罪名和事实以及量刑建议无异议。

义乌法院审理后认为，被告单位深圳市致璞公司违反国家规定，采用技术手段非法控制他人计算机信息系统，情节特别严重，其行为已构成非法控制计算机信息系统罪。被告人徐黎系深圳致璞公司单位犯罪直接负责的主管人员，被告人朱颖系深圳致璞公司单位犯罪的其他直接责任人员，被告人贾正强、潘琦作为其他直接责任人员，其行为均已构成非法控制计算机信息系统罪。公诉机关指控罪名成立，应予支持。

被告人徐黎、朱颖、贾正强、潘琦归案后能如实供述自己罪行，依法可以从轻处罚。被告人徐黎、朱颖、贾正强、潘琦自愿认罪认罚，依法可以从宽处理。辩护人提出被告人徐黎、朱颖、贾正强、潘琦系初犯，归案后能如实供述自己罪行，认罪认罚，依法可以从轻处罚的意见，予以采纳。

2020年11月11日，义乌法院判决，被告单位深圳市致璞科技有限公司犯非法控制计算机信息系统罪，判处罚金人民币四十万元；被告人徐黎、朱颖、贾正强、潘琦犯非法控制计算机信息系统罪，此四被告刑期为三年至三年六个月不等，并各处罚金二十万元。

责任编辑：崔烜

校对：张亮亮

暗中给手机植入木马？魅族说没有，你的手机还安全吗？

当你关闭了所有APP，但手机的电量、流量还有莫名其妙的损耗时，可能一个木马病毒正悄然在你的手机中默默打开各种“后门”，为安装它们的主人赚取着广告流量费。

12月5日，一则“金立暗中给手机植入木马”的消息将昔日流行的手机品牌金立再次拉入公众视线。根据11月30日公开的一份刑事判决书，金立旗下子公司通过将“拉活木马”植入到金立手机内置APP中，达到在用户不知情的情况下拉活指定APP广告的效果，赚取拉活费用。这件事还牵扯进了魅族。针对相关报道，魅族官方微博发文回应称，“魅族坚持合法经营，未参与相关非法事件。未来我们将继续深耕手机安全业务，保障手机信息安全”。

无独有偶，近日浙江人民检察院也在官方公众平台发布消息称，查处了一个将木马程序植入老人机中，在用户不知情情况下通过接发送验证码谋取利益的团体。

木马程序是如何被植入未出厂手机的？你我的手机是否正有木马程序悄悄运行？

梆梆安全资深安全专家孙作成对新京报贝壳财经记者表示，未出厂手机被注入木马病毒的方式主要包括生产厂商直接把木马程序植入主板；山寨手机在售出时被绑定可能含有木马病毒的预置软件；非智能老年机储存卡被写入木马程序三种。而防范手机木马病毒的措施则包括不使用山寨或改装手机，不打开陌生账号发送的信息、链接，不下载、安装来历不明的软件等。

木马病毒偷偷植入手机“拉活” 涉及约2652万台金立手机

新京报贝壳财经记者查阅浙江省义乌市人民法院11月30日公开的《深圳市致璞科技有限公司、徐黎、朱颖等非法获取计算机信息系统数据、非法控制计算机信息系统罪一审刑事判决书》发现，据法院审理查明，2018年7、8月份，北京佰策科技有限公司法定代表人朱某与被告单位致璞科技负责人即被告人徐黎合谋，采用具有“拉活”功能的SDK控制用户手机的方式合作开展“拉活”业务。

企查查数据显示，致璞科技的大股东为深圳市金立通信设备有限公司，持股比例85%，该公司董事长正是金立董事长刘立荣。

判决书显示，朱某与徐黎约定将北京佰策公司开发的“拉活木马”程序集成在金立手机的故事锁屏APP中。装有“拉活”功能SDK的手机在用户不知情的情况下自动更新版本，接收雄鸡系统的“拉活”指令，并在符合配置条件的情况下执行对指定APP的拉活，从而达到广告拉活的效果，赚取拉活费用。之后，因现有“拉活”方式存在效率低下等问题，北京佰策将热更新插件“黑马平台”植入到“故事锁屏”等APP中，用于“故事锁屏”等APP及其带有木马插件的SDK版本的升级，再通过“黑马平台”在用户不知情的情况下安装、更新“拉活木马”，从而提高拉活效率。

2018年12月到2019年10月，双方共“拉活”（执行成功）28.84亿次，2019年4月以来，每月拉活覆盖设备数均在2175万台以上，其中2019年10月涉及金立品牌手机2651.89万台。致璞科技预计在此期间通过“拉活”收入2785.28万元，案发前双方已结算的费用为842.53万元。

在上述事实公布后，有网友表示“我前些年买的金立手机就是由故事锁屏被植入病毒了，怎么杀毒都杀不掉，天天弹屏，手机按键也失灵。”

最终，致璞科技因犯非法控制计算机信息系统罪，判处罚金人民币四十万元；该事件相关负责人因犯非法控制计算机信息系统罪，被判处三年至三年六个月不等的有期徒刑。

不过，该案还牵扯出了魅族手机，判决书显示，经审理查明2018年3月，朱某（另案处理）成为北京佰策公司（另案处理）法定代表人，负责公司经营，并先后招募人员研发“拉活产品”。后北京佰策公司从上海升元网络科技有限公司、深圳市阿咕吖传媒有限公司等广告代理公司承接“拉活”业务，并与珠海市小源科技有限公司、珠海市魅族科技有限公司及被告单位深圳致璞公司等手机商合作开展“拉活”业务。

对此，魅族官方微博Flyme发表声明称，魅族坚持合法经营，未参与相关非法事件。12月7日，有魅族手机内部人士对新京报贝壳财经记者表示，在此事中魅族只是牵连审查，与被告并没有商务合作关系，双方没有商务合同和合作。

植入木马拉活“普遍存在”？

老年机更易中招，被控制成黑产团伙生产工具

新京报贝壳财经记者发现，通过在手机中植入木马偷偷获利的案例并不少见。

图片来源：浙江省人民检察院官方微信公号。

11月23日，浙江人民检察院公布了通过将木马植入老人机，截取500余万条手机验证码，再将信息出售给下游平台、个人，用于“薅羊毛”“刷流量”的案例。

对此，腾讯守护者计划安全专家张涛告诉新京报贝壳财经记者，该黑产团伙搭建了多个接收手机验证码平台，结合事先植入手机操作系统底层的木马黑客程序进行操作。用户购买手机插入电话卡后，黑产团伙在用户不知情的情况下，通过基带芯片上的后门控制程序隐蔽获取用户隐私数据，把手机型号、固件版本、固件标识等敏感信息发送给控制服务器，同时将用户手机号码和接收到的短信发送到接码平台上，作为手机卡资源来实施互联网账号的验证攻击、注册养号、恶意解封、盗刷积分、拉活拉新、刷量等恶意行为和下游犯罪活动。每次接码服务费用0.4至2.5元不等。由此形成“手机系统开发商—手机硬件厂商—接码平台—下游黑产团伙”的犯罪链条。

记者调查发现，通过木马程序被控制的手机在灰黑产平台内被称为“肉鸡”。根据新京报此前的调查，有黑灰产人士在论坛中公开出售“安卓自动抓肉鸡工具”以及相关病毒，还有黑灰产人士宣称收费带徒弟教授“抓鸡技巧”。有人表示，软件会在服务器内自动扫描全网有漏洞的手机，进行抓取，抓到后软件内木马会自动种植在手机上。种植成功后，变身“肉鸡”的手机就会自动上线成为他们APP的用户，并显示出手机IP和手机号。

“一个令人沮丧的事实是，木马病毒大部分是手机使用者自己装进去的，目前手机木马病毒传播的主要途径有：电子市场、软件捆绑、ROM内置、二维码、手机资源站、短信链接等。”孙作成告诉记者。

相比后天接触的病毒，从原厂中直接植入病毒无疑是更难以被用户发现的途径。孙作成对记者表示，未出厂的手机被植入木马病毒主要有三类：一是手机电子元件厂商参与病毒传播，很多老年机是山寨手机，生产厂商直接把木马程序植入主板中，这样出厂的手机自然就带了木马程序且隐蔽性极强；二是捆绑软件，山寨手机在售出时被绑定了很多无法删除的预置软件，这些软件有可能含有木马病毒；三是很多老年机不是智能手机，这些手机使用的储存卡极易被写入木马程序，从而使手机中病毒。

根据前述判决书，对于植入病毒的行为，徐黎的辩护人表示，拉活业务在手机互联网广告行业中“普遍存在”。在孙作成看来，中了木马的手机带来的危害“要么是丢钱，要么是丢隐私，要么被控制成为黑产团伙的生产工具。”

“中病毒后的手机常被用来做以下坏事：窃取手机电话薄，通讯软件好友列表并向联系人群发带有病毒链接的消息，倍速传播扩散病毒；偷偷下载大量未知软件，定制扣费业务消耗手机话费；勒索木马用新密码替代原来的手机密码，将手机或者手机中的文件上锁后索要赎金；偷偷读取手机应用的账号密码、聊天记录、相册等隐私数据后在网上贩卖；截获验证码信息注册新用户，批量薅羊毛如领优惠券、新人红包、刷点赞刷流量等。”他告诉记者。

如何预防手机被植入木马？这7点可以注意

那么，有什么迹象能够表明手机被植入木马，普通用户如何防止自己的手机被植入木马呢？

孙作成告诉新京报贝壳财经记者，手机出现以下状况要当心是否中了木马病毒：1.未使用手机的情况下机身温度经常过热；2.手机话费突然变少甚至欠费；3.无大耗电量操作的情况下手机电量骤减；4.手机系统或者手机应用软件无法更新升级；5.手机自动下载大量软件或者推送大量广告等垃圾信息；6.手机无法接收短信验证码。

而防范手机木马病毒的措施则包括如下7点：1.不使用山寨或改装手机；2.不打开陌生账号发送的信息、链接；3.不下载、安装来历不明的软件；4.数据传输或者网盘文件下载时注意防止病毒感染；5.非必要时隐藏或关闭手机蓝牙和定位功能；6.安装杀毒软件；7.发现手机病毒及时将手机刷机恢复出厂设置或者进入安全模式。

新京报贝壳财经记者罗亦丹编辑李薇佳校对李世辉

（新京报记者梁辰对此文亦有贡献）

来源：新京报