这些账号信息和浏览器记录记录会被归纳到用户特征上传酷我服务器,而酷我音乐在国内知名度较高装机量也大。
目前尚不清楚酷我音乐搜集这些信息具体用途是什么,不过火绒安全实验室推测这种行为或许已经持续数年之久。
携带木马病毒用于窥探用户信息:
火绒工程师在帮助用户远程排查问题时发现这个木马病毒模块的,而经过溯源火绒发现该病毒模块属于酷我音乐。
深入分析后火绒工程师发现这个病毒模块带有间谍性质,主要用于搜集用户的账号和已安装浏览器的历史记录等。
其中账号方面搜集的主要是腾讯QQ账号(蓝点网注:酷我音乐所在的公司多年前就已经被腾讯音乐娱乐集团收购)
而浏览器历史记录方面涵盖所有主流浏览器并将浏览器历史记录归纳于特定用户后再回传到酷我音乐云端服务器。
火绒还发现该木马病毒配置在名为大数据的文件夹下,因此火绒推测该间谍木马主要用途就是大数据方面的收集。
部分木马模块
收集用户下载的音乐和安装的软件:
除浏览器历史记录外该木马病毒还会读取用户的终端信息,包括系统版本、网卡 MAC 地址以及安装的软件列表。
例如匹配用户安装的浏览器、影音播放器、游戏盒子、游戏微端、直播软件以及附带部分软件黑名单进行排查等。
播放器方面主要查询的是快播、射手播放器、酷播播放器、皮皮播放器、影音先锋、吉吉影音和西瓜影音播放器。
让人疑惑的是酷我音乐还收集用户下载的音频文件,例如用户通过其他地址下载的音频文件也会被木马模块捕获。
如果特定地址的音乐已经下载则直接上传酷我服务器,如果未下载则木马模块启动下载音乐然后再执行上传操作。
收集已经安装的软件信息和浏览器历史倒是还可以理解,但是收集用户下载的音乐和音频文件着实让人非常费解。
木马模块安装&运行流程
即使卸载酷我音乐也无法删除病毒模块:
值得注意的是酷我音乐还会通过云端控制服务器下发不同的木马,这些木马位于安装文件夹以及非安装文件夹等。
当用户按正常流程卸载酷我音乐时只会将位于安装文件夹的木马删除,而卸载过程并不能删除非安装文件夹木马。
这意味着即便用户卸载酷我音乐时也存在木马残留问题,该木马程序会继续连接酷我音乐服务器远程接收命令等。
而在必要时也可以通过云端服务器下发新指令,火绒称不排除该木马未来通过远程命令安装其他恶意模块的可能。
窃取浏览器历史记录
早在2015年相关模块就被报毒:
值得注意的是据卡饭论坛网友在2015年发布的帖子 ,早在2015年时酷我音乐的相关模块就被国外杀毒软件报毒。
当时国外杀毒软件对于该木马病毒的定义是不需要的软件,原本不需要的软件通常指的是软件附带捆绑安装模块。
不过现在来看当时国外杀毒的定义名称可能与国内杀毒有所区别,所以没有直接称之为病毒所以也没有引起重视。
火绒安全实验室表示在信息时代越来越多的互联网公司对大数据趋之若鹜,但也有部分软件存在越权收集行为等。
为此火绒安全将持续对存在上述行为的软件进行拦截,同时也呼吁软件厂商停止越权收集行为谋求长期良性发展。
木马模块具有酷我音乐的数字签名
