在夜深人靜的時候，在你關閉手機顯示器的時候，甚至在你打電話、聽音樂、玩游戲的時候，它都可能正被遠在千里之外的陌生人操縱。你的通話記錄、短信乃至更多穩私，可能已經被竊聽；你收到的短信，可能已經被篡改；你的朋友，可能已經收到“你”發送的病毒短信；你的話費，可能已經被悄悄偷走……

這一切，只因為你的手機可能已經在生產、流通、銷售的任何環節中，或是在你刷機、修手機、裝軟件、玩游戲甚至打開一條陌生信息的任何過程中，被別人裝上“后門”。因為，手機產業生態的幾乎所有環節，都已或多或少地被卷入這條“手機黑金”利益鏈。

在中國，有多少手機淪陷已無法統計。但業內人士保守估計，中國每月有至少超過1000萬手機用戶被惡意扣費，有“后門”的手機不少于1億部，每年僅惡意吸費產業鏈的市場就高達數十億人民幣，而這些數字，還在不斷增長之中。

來自國家互聯網應急中心的報告顯示，2011年的手機惡意程度數量已高達6249種，是2010年的3.75倍，是2009年的15倍。

“搶錢”游戲

“同樣是手機行業，別人是在賺錢，我們是在搶錢。”沈耀斌（化名）說，“一點不夸張地說，做軟件的利潤率，是手機制造的幾十倍甚至上百倍！”

沈耀斌的公開的身份是一家山寨手機公司老板，他的辦公室設在深圳華強北，其業務主要是向“方案廠商”購買手機的操作系統及設計方案，然后倚靠華強北的巨大代工能力和流通能力生產山寨機，并將它們快速地銷售到中國廣闊的農村市場。

但這個生意并不賺錢。在沈耀斌看來，山寨機早已過了賺錢的時代，現在，最終用戶買一部山寨機甚至只要99元，而他甚至有過賣100部手機只賺50元的“最低利潤率紀錄”。

沈真正的生意，是做手機惡意軟件。

在出廠之前，他生產的手機內就已經預裝了大量的軟件但購買者們并不知情。這些軟件中，有的軟件其實是潛伏在木馬中的“間諜”，在未來的某個時刻，這些木馬將為沈耀斌打開用戶手機的“后門”。

木馬奪城的時間，取決于扣費環節的需求。

沈耀斌最主要的合作伙伴是SP（業務提供商）與CP（內容提供商），它們的工作是與電信運營商們一起，為手機用戶提供數據產品或應用服務，但當它們與沈耀斌走到一起，用戶的話費就變成了它們的錢包。談妥分成后，沈耀斌會遠程控制用戶手機訂購SP和CP的產品或服務，從而借助運營商的代收費通道偷走用戶話費。

除此之外，沈的合作伙伴還有其他業務需求。比如讓被控制手機為客戶發送垃圾廣告短信；比如竊取、搜集被控制手機的用戶信息，然后將它們打包出售；比如在被控制手機中安裝應用程序，以此向程序開發商收取推廣費用等等。

至此，一個完整的產業鏈條全部成型。手機方案廠商負責集成扣費軟件或業務代碼，手機廠商負責生產手機、預置軟件和出貨，SP、網盟、廣告商等公司以各種方式，將被控制手機資源變現為“黑金”。

在這個鏈條中，不論是什么業務，都有一個共同的特點：沒有成本，或者說，成本被轉嫁給了數量龐大的手機使用者。廠商需要做的，只是在電腦前點動鼠標，就可以輕松地拿到屬于自己的利潤分成。

江湖規矩

當然，沈耀斌們也有頭疼的事。

雖然利益的分割早有約定俗成的江湖規矩，但“黑吃黑”在這個行當里同樣盛行。

假定一個用戶被悄悄扣了10元信息費，運營商首先要拿走1.5元的通道分成，并會根據實際情況扣除一定比例的壞賬，一般SP和CP能拿到手的分成為7-8元。其后，按照行規，SP和CP能從中拿走30%，剩余70%由手機廠商和方案廠商對半分成。

但實際的情況是，SP和CP并不會告訴沈耀斌每個月的實際“收入”，比如，雙方事先商量好，每個月悄悄扣每個手機用戶8元錢，但實際上SP可能扣了13元到15元，卻告訴沈耀斌只扣到了5元。

當然，對方做得不會太過分。因為沈耀斌一般會同時與好幾家伙伴同時合作，這次誰給他的分成高，下次他就會提高與誰的合作份額。這樣的“競爭機制”，至少能確保SP與CP們能夠給他一個相對合理的分成比例。

在他看來，大家打來打去，最后還是要拼實力，如果SP或CP有很好的關系，扣費穩定，就可以多分一些，如果手機廠商的出貨量大，那分成的比例也相對更高。“一般來說，SP實際會拿走運營商結算后的60%，但如果手機廠商出貨量到50萬，SP往往會讓出10%給手機商。”

另一種合作模式是，SP與CP按照出貨量一次買斷，每部手機給沈耀斌支付2-5元，但以后不再向他進行分成。

“當然，后一種方式雖然風險小，但利潤太低，所以我們主要還是分成。”沈耀斌說，一般情況下，每部手機每年都能為他創造10-20元的“利潤”，按照他每月不少于10萬部手機的出貨量，一年的凈利潤超過1000萬元。

一池污水

“說實話，我在圈里其實只是小蝦米。”沈耀斌很“謙虛”地說，在這個黑色產業鏈上，每年流水利潤過億的公司，在全國至少有幾十家。

“這些大公司很多是多個環節的結合體，比如既是SP/CP，又做惡意軟件，甚至還是產業各環節的聚合者。”沈耀斌說，大公司很多控制了海量的手機，但自身的扣費通道有限，所以往往會與其他擁有扣費通道的公司合作，或是尋找類似網盟的聚合者。

沈耀斌認為，僅銷售到中國農村的山寨手機就累計至少超過3億部，其中安裝后門且目前仍有效控制的不會少于1億部，其中每個月被扣費的不會少于1000萬。

“這只是非常保守的估計。”他說，比如據他所知一家流水過億的公司，每個月的扣費用戶就已經超過100萬。

不過，這些公司要“再上一層樓”也非常困難，因為利益鏈條上的生態正越來越復雜，需要整合的資源環節越來越多，一家公司控制全局的難度不斷增加。

比如，以前在用戶手機中裝后門，主要依靠山寨機預裝，但現在，已經出現了種種更多渠道：在華強北、中關村等集散市場，水貨手機往往要先“刷”一遍才銷售給用戶；在非運營商的大多數軟件商店和軟件論壇，用戶下載的手機軟件中都充斥著木馬與病毒；用戶手機摔壞了屏，維修員在換屏幕的同時，可能也會多加一點“料”；甚至在手機連鎖品牌的賣場，甚至最基層運營商營業廳買到的手機都未必可靠，一些底層員工甚至店長都已有被收買、私下進行預裝軟件的先例。

與此同時，過去惡意軟件主要盈利來源只有惡意扣費，但現在，發送垃圾短信、發送詐騙短信、安裝程序、倒賣信息等越來越多的“商業模式”不斷出現，也讓產業鏈越變越長。

“可以說，手機產業鏈涉及的幾乎所有環節都沒有清白的。”沈耀斌說，只不過，其中有的環節問題并不嚴重，比如大的品牌手機廠商、運營商和大品牌的渠道廠商，他們自身并不會作惡，只是偶爾會有員工“攬私活”的小概率事件，但也有的環節，是絕大多數從業者都已經“黑化”，“比如山寨機市場，現在真正靠賣手機盈利的已經基本沒有，大家都是在走量，然后靠裝軟件和扣費掙錢。”

一些新的游戲規則因此出現。比如接到一個幫軟件公司做推廣的生意時，你最好盡快發出指令，讓被控制的手機馬上下載安裝它，因為同一部手機只會計算一次推廣安裝量，但用戶的手機往往已經被刷過多次，裝入了2個甚至更多后門，而你的“同行”可能也已接到同一個生意，隨時可能比你先行一步。

定時炸彈

在沈耀斌看來，手機惡意軟件的又一個“春天”即將到來。

這個“春天”名叫智能機。

“手機扣費看上去簡單，其實非常復雜。”沈耀斌說，“其核心問題在于，對你扣費的用戶、扣費的方式、扣費的時間進行選擇。”

比如，被扣費的用戶不能是運營商、政府、媒體等敏感人群，不能是經常查看手機資費的人群，否則就會有較高的投訴率，導致扣費行為被運營商發現并清理。

所以，惡意軟件都對控制手機的地域、手機號段乃至機型、操作系統有所限制。“山寨機是最受歡迎的，因為它的用戶普遍在農村，不了解手機業務，也缺乏維權意識，往往可以產生持續的高利潤”沈耀斌說，曾因諾基亞占據大量市場的Symbian也是手機惡意軟件的重災區，相對封閉的蘋果與市場相對較小的 Windows Phone則問題較少。在北京、上海等省市，惡意扣費接近絕跡，但在中西部的三四線以下城市，手機惡意軟件卻大行其道。

智能手機系統安卓，則正在成為一顆已點燃引線的定時炸彈。

2009年10月，安卓系統2.0版本發布，安卓逐漸受到消費者青睞，大量品牌手機廠商紛紛轉戰安卓平臺。2010年，安卓手機的市場份額直接從前一年的3.9%飆升至22.7%，一舉成為全球第二大手機操作系統。

與其他手機操作系統不同的是，由于源代碼的開放，安全廠商與病毒廠商都可以擁有相同的系統權限，安卓手機的系統安全將難以保證，而隨著智能手機成本不斷下降，安卓手機的用戶也逐漸從高端向高中低全線擴張，也就是說，它的市場將逐漸與手機惡意軟件的用戶走向重合。

“過去，安卓用戶太高端，所以很少人愿意做它，但隨著千元智能機尤其是山寨智能機的普及，安卓必將成為手機惡意軟件的巨大市場。”沈耀斌斷言。

更重要的是，與以打電話、發短信、上WAP的傳統功能手機不同，智能手機有更高的性能與更大的擴展性，有更清晰的攝像頭、有定位功能、可以做發微博、收發郵件、使用網銀等等幾乎所有互聯網上可以實現的應用。這也意味著，當智能手機被惡意軟件劫持，用戶可能丟失更多的個人信息，被窺竊更多的個人隱私，產生更大的經濟損失，而對于惡意軟件產業鏈來說，它們也會有更多的擴張渠道與更豐富的“盈利模式”。

一個例子是，為程序開發商安裝軟件應用，就已經成為惡意軟件產業鏈僅次于扣費的第二大生意。包括騰訊、百度、新浪等中國幾乎所有知名程序開發商在內的互聯網公司都是它們的客戶或潛在客戶，一般來說，每個程序每安裝一部手機，就需要向他們支付3~5元。

與此同時，和山寨手機廠商的合作不同，安卓系統的手機惡意軟件推廣已經越來越多地繞開手機廠商，擴展到手機應用商店和手機論壇這些直接對接用戶的渠道。

“目前來講，與北美主要是竊取密碼與信用卡，中東主要是傳播極端思想不同，中國90%手機惡意軟件還是以直接扣費為主要目的。”一位信息安全人士說，“但隨著智能機普及，未來手機惡意軟件對中國社會與經濟的危害方式將更多，可能造成的危害更大、更突然。”

一個例子是，此前已有傳播的一種手機惡意軟件，可以直接篡改用戶手機信箱中的短信發件人與內容，并可以控制手機向通訊錄中的所有人發送指定內容的短信。而據業內人士透露，這一惡意軟件已經被利用于詐騙及垃圾短信發送。

事實上，手機惡意軟件向安卓智能機蔓延的勢頭已經顯現。

2011年6月，谷歌官方的安卓市場發現24款應用被惡意植入病毒代碼。受此影響，全球約12萬部安卓設備中毒，谷歌為此不得不刪除被感染的 50多個應用程序。但4個月后，這個病毒又出現了新的變種，通過包裝而重返安卓市場。事實上，惡意軟件已在谷歌的應用商店呈現出泛濫之勢。Juniper Networks公布的調研數字顯示，2011年7月至11月，安卓市場上的惡意軟件數量增長高達472%。

騰訊移動安全實驗室的一份報告則顯示，僅2012年第一季度出現的安卓系統病毒軟件包就已經超過了2011年全年病毒包的3/4。

而據中移動信息安全管理與運行中心人士透露，從2010年4月以來，過去1年中移動已經監到超過7000種手機惡意軟件，其中93.87%是高危病毒，且安卓軟件已超過5000種。