勒索軟體「假面」系列——免流軟體（二）

第三章 付費免流軟體生態

一、完整的角色分工

免流軟體發展至今已經有了成熟的生態鏈，這種生態鏈圍繞著付費免流軟體展開。目前付費免流軟體的主要活躍場所是QQ群，我們一共找到了430個免流相關QQ群。免流QQ群在整個付費免流軟體交易鏈中扮演著紐帶角色，它為不同參與成員提供了一個諮詢溝通與交易平台。在一個完整的免流QQ群中，主要包含以下幾種角色：

(一) 模式貢獻者

模式貢獻者是指提供免流模式的成員，這些成員負責向購買免流軟體的用戶提供可用的免流模式並不定時更新免流模式。因為免流模式決定了免流軟體是否可用，因此這類成員是免流QQ群賴以運行的基礎，一般是群主或者管理員。免流模式通常由模式貢獻者自己學習編寫或者從別處收購而來；

(二) 推廣代理

推廣代理是指不涉及免流軟體銷售、僅負責對交易平台進行推廣的成員，其主要職責是尋找有使用免流意向的用戶，拉其加入所在QQ群，並向用戶推薦諮詢購買人。通常推廣代理的收入來源與其成功拉進QQ群的用戶數量成正比；

(三) 分銷代理

分銷代理是指位於群主&管理員與用戶之間的分銷人，其通常出現在提供了雲免流的QQ群中，成為分銷代理需要先交納一定金額的代理費。分銷代理的主要任務是從群主&管理員處以低於直銷價格的價錢批發雲免流卡密，並以高價分銷給用戶。如下為一個QQ群提供的分銷、加盟價格表，可以看到分銷代理拿到的價格遠低於用戶直接從群主&管理員處購買的價格，分銷代理正是利用這種價格差獲利；

圖10 免流QQ群拿貨價格表

(四) 加盟者

加盟者相當於高級代理，同樣也要先繳納一定金額加盟費，加盟費要高於代理費。成為加盟者後，不僅可以用比分銷代理更低的價格購買免流模式與卡密，還可以像群主學習編寫免流模式，並自主經營銷售群主或自己編寫的免流模式，其獲利空間遠大於推廣代理與分銷代理；

(五) 用戶

用戶是免流軟體的最終消費者，其可以從群主&管理員處直接購買免流軟體，也可以通過分銷代理購買。購買免流軟體的用戶在免流模式失效後通常可以免費獲取新的免流模式；

(六) 群主&管理員

群主與管理員作為免流QQ群的管理者負責統籌全局，除了最基本的QQ群管理、諮詢答疑任務外，通常還負責直銷、提供免流模式、招收代理加盟等任務。

圖11免流QQ群中的信息流（藍色）與資金流（紅色）

除了出售免流軟體與模式，部分免流QQ群還提供額外的App定製與伺服器租賃業務，為用戶提供「全方位」、「一條龍」的服務。同樣，這種業務價格也不高，給用戶一種「遠比從運營商那裡購買流量划算」的感覺。付費免流軟體主打的就是「低價格」牌，以遠低於運營商的價格為用戶提供流量服務。實際上，這種「薄利多銷」的方式帶來的收入相當可觀，因為免流軟體是一種幾乎不需要成本的軟體，一方面開發成本低，免流軟體框架都是通用的，只需填入新的免流模式即可，而免流模式開發門檻低，一旦學會可以無限嘗試；另一方面運營成本低，維護好一個QQ群並定期更新模式或販賣卡密即可無限獲利。

二、免流QQ群

在我們發現的免流QQ群中，有22個是付費群，入群付費金額從0.1~10元不等，其他的是免費群，基本只要申請加群就可立即進群。這些群分布於全國各個地區，尤以廣東、山東居多。此外，在這些群中甚至有6個擁有QQ群平台認證機構標籤。

圖12免費、付費以及具有認證機構標籤的QQ群

通過對群主與成員分布分析後發現，這些QQ群的群主基本都是90後與00後，而在群成員中，男性比例遠高於女性比例，90、00後成員比例遠高於其他年齡段比例。免流軟體的用戶群普遍偏年輕化與男性化，這與用戶群的收入、「黑科技」關注度有一定關聯。

圖13活躍度前十的免流QQ群中的性別、年齡段佔比

通過對這些免流QQ群的長期觀測發現，群成員數在穩步增長，免流模式也在不斷更新，免流群保持著相當活躍的狀態。此外我們還發現，不少免流群經營的業務並不限於免流軟體，而是同時涉及了代刷代掛、遊戲外掛、黑客工具等多種產業，而這些產業都是勒索軟體中佔比較高的偽裝類別。

三、免流的「風險」與「暗阱」

免流軟體以「減免」流量費吸引用戶，實際上背後隱藏著很多風險。一方面，免流軟體實質是一種利用運營商計費檢測系統機制打擦邊球謀取私利的行為，雖然現在沒有明文法律規定禁止，但這種不規範行為極有可能受到嚴懲；另一方面，普通用戶不易識別免流軟體的真偽，盲目下載安裝或付費購買有較大安全隱患。

(一) 免流有「風險」

免流是一種「小偷」行為，一旦被查處後果嚴重。自2017年起，部分地區的運營商已經開始嚴打「流量小偷」，如廣西移動2017年初發表了嚴打不正當使用流量的行為的公告：

圖14廣西移動關於嚴打免流軟體的公告

工信部也在2017年初發表清理規範互聯網網路接入服務市場的公告，VPN接入也在清理之列。無論是本地免流還是雲免流在未來都有可能面臨被「一鍋端」的局面，竊取流量的行為極有可能為自身帶來嚴重後果（賠款、被起訴、抹黑信譽）。

圖15用戶反饋的使用免流後收到來自運營商的警告或罰款簡訊（來自百度貼吧）

免流有效時間有限，得不償失。由於VPN市場被整治與運營商對計費檢測系統的升級完善，特定免流軟體可能過一段時間就失效了。有些人花費錢財去購買免流模式與雲免流卡密，但卻很快就不能用了，得不償失；

免流軟體泛濫，真假難辨。出於免流軟體可以免費無限使用流量的特性，免流本身就會容易吸引用戶下載安裝與傳播，一些惡意軟體開發者打著免流的噱頭誘導用戶下載安裝，安裝後卻實施惡意行為，比如鎖屏勒索、誘導下載安裝、隱私竊取等。對於雲免流，由於VPN免流伺服器搭建流程簡單、成本較低，惡意軟體開發者甚至可以用較低的花費搭建虛假免流平台，為進一步實施惡意行為做鋪墊。此外，雲免流所用到的伺服器絕大多數都是租賃的，有租用期限限制，很多免流平台所有者因VPN伺服器租用期滿就放棄了維護免流平台甚至捲款潛逃，因此造成錢財損失的用戶與分銷代理比比皆是。

(二)免流藏「暗阱」

除了鎖屏勒索，還有很多其他類型的惡意軟體也熱衷於利用免流旗號推廣傳播，常見的有誘騙、隱私竊取、私自安裝、惡意廣告等，而由於少部分可用的免流軟體還來源於各大貼吧論壇，用戶在從這些地方下載未知來源的所謂的免流軟體時通常會降低防備，這進一步給利用免流行惡的軟體的傳播帶來了空間。

1. 誘騙

這類軟體啟動後用「免流插件」或「免流註冊」等形式誘導用戶進行下載、支付、或填寫隱私信息，造成用戶資費消耗、隱私信息泄露甚至財產損失。下圖是一款名為「TY免流」的軟體，啟動後顯示軟體註冊頁面，要求用戶通過QQ聯繫開發者，在聯繫到開發者後，該QQ所屬人要求用戶支付一定金額才提供給用戶註冊碼，但實際上該軟體本身並未包含有效代碼，所以是詐騙的可能性較大。對用戶而言，這類付費購買真假難辨，盲目付費極有可能造成財產損失。

圖16 冒充免流軟體進行誘騙

2. 遠控&隱私竊取

這類惡意軟體偽裝成免流軟體誘導用戶下載，啟動後通常會隱藏桌面圖標並在後台接收遠控指令，根據遠端伺服器發送過來的指令監控簡訊或通話記錄、私發信息、竊取用戶隱私，給用戶的隱私與財產安全帶來了嚴重威脅。下圖為一款名為「王者免流」的軟體，軟體啟動後立即隱藏圖標，並在後台接收控制指令進行攔截與轉發簡訊、獲取通訊錄、私設來電轉移等惡意行為。

圖17 冒充免流軟體遠控竊取隱私

3. 私自安裝

這類惡意軟體開啟後從界面上看與免流軟體無異，以成功搭建免流環境為由要求用戶授予root許可權，隨後私自拷貝其他推廣或惡意應用至系統目錄並強制重啟手機完成安裝。實際上，由於root許可權是某些特定模式的免流軟體必備的條件，只要惡意軟體以免流名義申請root，用戶通常都會直接授予，而一旦被授予root許可權，惡意軟體相當於接管了用戶設備，想幹什麼都可以。下圖為一款名為「雲流量」的應用，在獲取root許可權後把一個勒索子包放到了系統應用目錄下，隨後立即重啟手機完成惡意子包的安裝：

圖18 冒充免流軟體私自安裝

4. 惡意廣告

免流軟體也是惡意廣告重災區，惡意廣告正好利用了免流軟體易於傳播的特性。有些惡意廣告打著免流軟體幌子實際根本沒有免流功能，而有些則是重打包那些傳播較廣的免流軟體，並在其中插入了惡意廣告插件。下圖為一款名為「鑫哥本地雲免流」的軟體，該軟體具有雲免功能，但啟動後會定時彈出霸屏廣告，此時用戶不小心碰到屏幕就會下載軟體，嚴重影響了用戶對設備的正常使用：

圖19 冒充免流軟體插播廣告

結束語

勒索軟體冒充免流軟體傳播的現象已經屢見不鮮，用戶設備安全收到了嚴重損害。免流軟體作為一種不規範利用運營商計費機制的流量竊取軟體，擁有著一定用戶群與傳播渠道。免流軟體的肆意傳播會給運營商與用戶帶來財產損失與不可預知的風險，對於運營商而言，免流軟體帶來的流量外泄會給企業系統安全與盈利帶來不利影響；對於用戶而言，諸如勒索軟體一類冒充免流軟體誘導下載的軟體會給用戶隱私財產安全帶來威脅。

面對此種現狀，運營商、用戶都應該積極應對、減少自身損失。

運營商。運營商作為數據流量供應商與免流針對的受損方，從自身利益出發應該對免流軟體「主動出擊」，密切關注免流軟體動態，跟進最新的免流模式原理，並及時升級完善計費檢測系統，儘早預防免流軟體對企業系統與盈收造成影響；

用戶。免流軟體本身就是一種不規範的軟體，此外很多惡意軟體都盯上了免流這塊「沃土」，肆意使用不僅有違規被罰的風險，用戶個人隱私、財產與設備安全也將面臨很大的風險。建議用戶謹慎使用免流軟體，儘可能通過正規途徑獲取流量。

360烽火實驗室

360烽火實驗室，致力於Android病毒分析、移動黑產研究、移動威脅預警以及Android漏洞挖掘等移動安全領域及Android安全生態的深度研究。作為全球頂級移動安全生態研究實驗室，360烽火實驗室在全球範圍內首發了多篇具備國際影響力的Android木馬分析報告和Android木馬黑色產業鏈研究報告。實驗室在為360手機衛士、360手機急救箱、360手機助手等提供核心安全數據和頑固木馬清除解決方案的同時，也為上百家國內外廠商、應用商店等合作夥伴提供了移動應用安全檢測服務，全方位守護移動安全。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！