从一开始就以APP为掩护内置或下载到用户的手机中。对于非法获得利益，这些APP的设计者会与相关利益获得方进行分成。

　　中国互联网协会12321网络不良与垃圾信息举报受理中心副主任曾明发指出，智能手机一个很大的特点就是缴费渠道众多、收费方便。随着用户在手机中存留的信息越来越多，很多不法分子动了邪念，开发一些恶意代码、程序换取利益。恶意软件在手机终端中很容易进行扣费或窃取信息。

　　要命的是，对这些恶意扣费的软件，发现察觉都存在难度。曾明发说，手机恶意扣费主要是凭借在用户毫不知情的情况下内嵌软件，并在规定的时间发送一些代码和信息，对用户进行扣费。运营商对用户的二次确认信息也会被屏蔽，从而使整个过程不被察觉，再加上不少用户对日常手机费用的帐单不太关注，因而使其实施犯罪更为隐蔽。

　　弹窗链接暗藏陷阱

　　王艳辉告诉记者，在上游有专门的第三方公司提供恶意APP包，将一系列软件打包后一同装进去。而在下游的一些“专业”公司如今已可以做到出厂装机时在不开手机的情况下就把恶意APP装进去，并躲过厂家的出厂检验。如此里应外合，可谓防不胜防。

　　除通过APP产生上网流量与短信费用之外，窃取并多次贩卖手机使用者信息的做法也日渐猖獗。手机用户的金融账户、银行密码都暴露在高风险之下。

　　扎根于众多博彩、游戏APP中的广告彩页与弹窗广告常携带声色犬马的不良信息，部分用户被其吸引、点击相关页面后，便会被软件自动诱使下载插件或提供个人信息。前者往往带来难以根除的顽固软件和手机病毒，后者则有可能被不法分子使用作为日后窃取财务账户的依据。

　　此前美国电子安全公司“侦查墙”(snoopwall)对外宣称：手机APP库中非常受欢迎的手电筒软件就可能存在这样的“暗门”。一旦上述软件被运行，就可能盗取用户的隐私，比如通讯录、手机定位、信息内容，这些信息转而就被偷偷发送给市场调研公司或广告公司。

　　而在窃取账户密码方面，据360公司公开的数据：2013年其互联网安全中心共截获手机支付及购物类恶意程序2962个。这些恶意程序可以盗取用户在智能终端上的支付帐号和密码，拦截并转发银行发来的短信，或直接洗劫支付账户中的资金余额。

　　在监管部门和大型厂商持续打击之下，各类APP“吸血”事件正转而变得愈发隐蔽和多样化。记者发现，今年高考期间，智能手机APP库中的高考真题测评软件便十分走俏，而在这些APP中不乏借高考名义恶意捆绑广告和弹窗的软件。

　　据悉，这些APP大多伪装成“高中文科理科汇”、“高考必备知识大全”等热门关键词，吸引用户下载并浏览。据360手机安全中心数据显示，今年高考前夕共有142款此类手机恶意软件出现。考生一旦安装，就将面临隐私被窃取、广告弹窗、手机后台私自下载软件、恶意扣费等多种风险。

　　在各类APP陷阱面前，专家劝告用户，必须提高警惕避免上当。曾明发表示，依靠现有技术，在Wifi环境下窃取用户信息已相对容易，这也使得一些专门阻击恶意手机软件的程序也应运而生。(编辑王洁)

　　二、银行类APP风险谈

　　随着越来越多的人使用手机进行网络交易，各类银行类APP也开始在3亿多网购用户的手机中占领一席之地，但其安全性是否有足够的保证？

　　官方的中国互联网信息中心(CNNIC)发布的报告显示，截至今年6月，手机网民规模5.27亿，较2013年底增加2699万人。在这当中，使用了手机网上银行APP的用户规模达到1.83亿人，半年间增长了6603万用户，其56.4%的增长速度远远高过网民增长的规模。

　　大多数手机用户对银行类APP的便利性和功能性点赞。事实上，截至到11月18日，各大主流的安卓平台综合数据显示，建设银行的APP下载量即将突破一亿人次，工行、农行、交行和招行紧随其后——短短数月间银行类APP的下载量增幅还在加大。

　　但在满足了便捷性和功能性的需求后，银行类APP的安全性又如何？从腾讯手机管家到此前360安全中心以及第三方咨询机构都先后发出提醒：由于其与资金安全的紧密关联，银行类APP仍然面临很多风险，这风险既来自于其本身的安全设计，也有假冒APP防不胜防的因素。

　　21世纪经济报道记者根据相关技术测试报告和报道整理出银行APP在以下几个方面存在的风险(程度各有不同)和相应的防范提示，希望能让读者在享受移动互联网时代便利的同时注意规避风险。

　　1.安全系数还需加强

　　360安全中心今年7月发布《手机银行客户端安全性测评报告》，针对16家银行的APP进行了登录、键盘输入、组件安装、认证等多个环节的安全测试，发现出不少问题。

　　《360报告》显示，其中至少有两款银行的APP从登录环节便存在隐患：一款APP加密机制不完整或过于简单，导致APP容易被破解，而另一款则在通信过程中缺少对服务端身份校验的步骤，导致登录环节容易被攻击劫持，“由于是与虚假的服务器进行通信，因此，所有通信内容事实全部都可以被‘中间人’获得和解密”。

　　而在认证环节，16款银行APP都是采用“账号密码+短信动态验证码”的方式对用户进行身份认证，但《360报告》指出，当手机被有拦截短信功能的手机木马攻击时显得很脆弱。

　　作为应对，已有部分银行开始推广音频盾、蓝牙盾等双因素认证系统，但在简单的“账号密码+短信验证”的方式面前还不是足够便捷，因此目前还未成为APP使用的强制性认证方式。

　　2.假冒APP风险常在

　　《360报告》指出，另外也有不少手机在反盗版这个环节存在欠缺，16款APP中有15款均有盗版版本，有的甚至有20个以上的不同盗版版本。《报告》指出，16款APP均不具备防止逆向分析和二次打包的能力，有些存在手机签名漏洞，这为篡改APP或二次打包APP创造了可能。

　　腾讯手机管家的《第三季度手机安全报告》就提到，其于11月26日截获了一个冒充成正常建设银行APP的手机病毒程序，用户登陆后会收到页面的提示，要求输入银行卡、账户密码等信息。

　　在完成输入之后，这个假冒成建行APP的病毒程序会自动退出，并从手机桌面消失。但这个病毒程序实际上还在后台运行，并将用户所填写的银行卡账号、密码等信息发送至指定号码中，诈骗者就很容易利用这些信息对用户的银行卡账户进行盗刷。

　　3.明辨APP来源

　　第三方的艾媒咨询今年5月发布的报告也给出数据，仅以一季度的统计，手机病毒传播的途径包括论坛和应用市场，因此用户在下载或更新来自论坛和应用市场的银行APP时需要明智地辨别其安全程度。

　　根据这份报告，一季度感染手机支付类应用中，银行APP受害比例为13.6%，排入前三，仅次于电商支付平台APP和理财产品的APP。多家媒体的报道假冒APP诈骗案例时都提醒，下载和更新银行APP时，一定要从官方网站等渠道进行操作。由于如今伪基站已经可以冒充银行官方账号向用户发布短信，用户也尤其需要仔细辨别短信中银行网址信息是否正确。(编辑王洁)

　　一、删不掉的恶意APP

　　随着普通的通信手机向智能手机全面转变，曾让用户不堪其扰的短信骚扰少了，但更加隐蔽和难以根除的恶意软件却让人更加头疼。而在这些或泄露用户信息、或偷取流量与话费的APP(应用程序)中，伪装成原装手机出厂预设软件形象的恶意APP影响最为恶劣。

　　小刘是上海一名智能手机用户。今年9月他购入了一台千余元的国产智能手机。没想到，在点开手机自带游戏APP之后，就被见缝插针弹出的广告网页与不良信息严重骚扰。

　　“在玩游戏时，一不小心就容易误点弹出的广告页面。这不仅严重影响使用体验，还可能泄露个人信息、造成财产损失。”小刘告诉21世纪经济报道记者，在一次误操作过程中，他便被页面引导至手机号注册环节，一天之内，卡内百元话费便迅速蒸发。

　　类似的钓鱼式恶意软件层出不穷。去年11月起，工业和信息化部就加强移动智能终端进网管理专门发文，旨在严控智能手机与平板电脑中预装软件的乱象，然而至今成效如何，众说不一。

　　中国移动互联网产业联盟秘书长李易向21世纪经济报道表示：目前中国的APP并没有盈利模式，靠的就是注册数和活跃用户数。在这种情况下，恶意软件已经是行业潜规则。它影响了中国智能终端的整个生态体系，应该要下决心进行全盘清理整顿。

　　恶意APP背后的灰色生态链

　　类似小刘遭遇的这类手机“软件门”绝非孤例。

　　12321网络不良与垃圾信息举报中心副主任曾明发曾对外透露，垃圾短信、WAP网站、流氓软件正成为其严厉整治的重点。仅2006年末至2009年三年间，仅该中心就收到恶意软件举报2673起，投诉最集中的问题就是APP“难以卸载”这个问题。

　　网络安全软件及服务领域供应商趋势科技此前也曾发布数据显示：40%的智能终端用户都忽视了移动设备上恶意软件的潜在威胁，有三分之一用户认为“不大可能会感染病毒”。

能够如此