为什么酷我音乐被认为是特洛伊马？

tinder工程师深入分析发现，“酷我音乐”携带的间谍特洛伊会在后台收集用户隐私信息等恶意行为:

1.收集用户主机登录的QQ号码。

2.通过浏览器浏览历史，总结用户特征，并发回到后台。

3.通过云控配置向用户电脑发送命令，比如下载音频文件，发回服务器后台。

此外，特洛伊还可以随时通过远程服务器进行其他操作，不排除未来通过修改云控配置发布其他风险模块的可能。

同时，“酷我音乐”会通过云控分发两套间谍木马:一套分发在软件的安装目录中；另一套会分发到非软件安装目录，即使卸载了“酷我音乐”后，仍然驻留在用户系统中，继续响应云控指令。

其实早在2015，“酷我音乐”携带的间谍特洛伊马就被国外安全厂商举报为“潜在不必要的程序(PUA/PUP)”(见下方用户反馈链接)。可能是这个报法和业内对恶意软件的定义不同，所以没能引起其他安全厂商的注意。直到今天，tinder工程师才在用户站点中找到它，然后详细分析，认为这个组件的功能已经超出了“PUA/PUP”的定义，符合间谍特洛伊的定义。

值得一提的是，tinder工程师还发现间谍特洛伊的云控配置的链接在一个名为“bigdata”的目录中，推测间谍特洛伊是用于所谓的大数据收集。