最近我一个哥们儿非要玩那个叫《罪恶集中营》的安卓汉化版,跑来问我,说网上找的资源,怕里面有毒,问我能不能帮忙看看。他自己手机里存了一堆重要资料,不敢乱试。我当时正好闲着没事,反正手边有虚拟机和几个测试机,就决定自己动手跑一趟,把这个实践记录下来,也给大伙儿提个醒。
扒皮找资源的经历
我先从他手里接过来那个他找到的下载地址,是一个不知名的小论坛。找这玩意儿简直是海底捞针。我翻遍了国内那些知名的“XX之家”、“XX论坛”,发现大部分链接都指向同一个打包文件。这些汉化组的名字倒是花里胡哨,但本质上都是一套东西,而且下载界面那广告弹得,鬼才知道里面塞了什么货。
我选了一个看似“干净”的网盘分享,地址隐藏得特别深,下载下来一看,好家伙,一个APK包比原版大了一倍多。原版才几十兆,这个直接奔着二百兆去了。光看这体积,我就知道肯定被人塞了私货进去。一般这种小游戏,除了汉化文本,是不会增加这么多内容的。
准备“隔离病房”和安装过程
我可不敢直接装我的主力手机里。我先把包扔进了安卓虚拟机(用的是一个开源的虚拟环境),模拟了一个没插卡、没装其他APP的纯净安卓环境。我甚至特地把网络权限限制了,只允许它通过我的防火墙出口。
我开始了安装。这个APP安装的时候,弹出来的权限列表就让我皱眉头了。正常来说,这种纯文字或图片驱动的游戏,只需要最基本的存储权限就够了,最多要个网络权限加载广告。
- 权限异常:它跳出来非要读取我的相册和麦克风。这玩意儿是个回合制文字冒险游戏,要相册和麦克风干嘛明显不怀好意。
- 签名问题:我用工具查了一下它的签名信息,果然跟原版游戏的签名完全对不上。这证明它已经被彻彻底底地二次打包和修改过了。
启动测试与后台行为记录
权限咬着牙给它了(反正在虚拟机里它也偷不走我的真数据)。我启动了游戏,防火墙监测同时开启。游戏加载动画还没走完,它就已经在后台偷偷摸摸地尝试连接几个陌生的IP地址了。
我抓取了它联网的IP记录,这些IP地址大多不在国内,而且数据包很小,频率很高。明显在偷偷上传数据或者尝试接收新的指令。这种行为比直接弹广告恶劣多了,这就是在偷偷摸摸收集你的设备信息、应用列表,甚至可能是定位信息。
我又用反编译工具打开了它的文件结构。果然,在汉化组自己加进去的资源文件夹里,我挖到了一段加密的JS脚本和几个奇怪的SO动态链接库文件。虽然我没花时间完全解密,但根据它调用安卓API的方式来看,这玩意儿就是个收集设备信息的模块,而且设置了定时唤醒功能,确保你就算不玩游戏,它也能在后台偷偷跑。
玩是能玩,游戏界面和汉化做得倒是挺像回事,但是底下跑着的程序,太脏了。
最终它不是病毒,但比病毒更烦人
所以说,那些问“有没有毒”的朋友,我明确告诉你:它不是传统意义上的那种会毁你系统的病毒,但它绝对是彻头彻尾的流氓软件。
它不会格式化你的手机,但它会偷你的信息,吃你的流量,成为一个隐藏的间谍。这些所谓的“爱心汉化组”,最终的目的就是靠植入这些东西赚钱,流量变现,甚至把你的设备变成他们的“肉鸡”。免费的东西往往是最贵的,它们要的是你的隐私。
我折腾了大半天,把那些流氓代码和联网模块全部剥离出来,重新打包了一个纯净版的APK,删除了那些不必要的权限申请,给了我那哥们儿。他玩得挺高兴,但背后的风险,我得负责任地讲出来。想玩这种小众资源,要么自己学着动手去净身、去修改,要么就老老实实去官方渠道找正版,或者干脆别玩。
千万别图省事,下载这种被二次修改的包。我的实践记录就是最好的警示,下载前一定要看清楚,不符合常理的权限,直接就得拉黑。