“酷我音乐”借“大数据”名义 恐已窥探并收集用户隐私长达数年

来源：火绒安全

  近日，火绒工程师在帮助用户远程解决问题时，现场发现一个间谍木马模块（TrojanSpy），溯源后发现该木马来源为知名软件“酷我音乐”。该木马运行后，会搜集用户QQ号等隐私信息，还会通过用户上网历史归纳用户特征，并回传至“酷我音乐”服务器后台。由于该软件下载量较多，导致受影响的用户范围较大。目前火绒安全软件最新版可查杀该病毒。

  火绒工程师深入分析发现，“酷我音乐”携带的间谍木马会在后台进行搜集用户隐私信息等恶意行为：

  1、搜集用户主机登录过的QQ号码。

  2、通过浏览器浏览历史归纳用户特征后回传后台。

  3、通过云控配置下发命令至用户电脑，比如下载音频文件回传到服务器后台。

  此外，该木马还可随时通过远程服务器进行其它操作，不排除未来通过修改云控配置下发其它风险模块的可能性。

  同时， “酷我音乐”会通过云控下发两套间谍木马：一套下发在软件的安装目录下；另外一套则会下发到非软件安装目录，且即便“酷我音乐”卸载后仍然驻留用户系统，持续响应云控指令。

  事实上，早在2015年，“酷我音乐”携带的上述间谍木马就曾被国外安全厂商报“潜在不需要的程序（PUA/PUP）”（见下方用户反馈链接）。可能由于该报法与行业内对恶意软件的定义有区别，因此未能引起其它安全厂商注意。直到今日火绒工程师在用户现场中发现，进而详细分析，认为这套组件功能已经超出了“PUA/PUP”的定义，且符合 间谍木马的定义。

  值得一提的是，火绒工程师还发现该间谍木马的云控配置的链接在一个名为“bigdata”（大数据）目录下，推测该间谍木马是用作所谓的大数据收集之用。

  信息时代的发展，越来越多的互联网公司对“大数据”趋之若鹜，对于过分追求数据信息而出现越权行为的软件、程序，火绒都将及时、持续进行拦截查杀，保护用户合理权益。同时，我们也呼吁 此类软件厂商，停止越权搜集用户信息等恶意行为，理性逐利，长久发展。最后，用户如 遇到任何可疑问题，可随时联系火绒获得帮助。