騰訊移動安全實驗室公布手機吸費病毒的工作原理

Godless病毒專殺工具v7.0.0 官方安卓版

• 類型：安全相關(guān)大�。�8.5M語言：中文 評分：10.0
• 標(biāo)簽：

立即下載

隨著移動互聯(lián)網(wǎng)的快速發(fā)展，手機吸費病毒作為一種新的手機病毒形式開始進入人們的視線。“吸費海盜王”、“美女勾魂吸費大盜”等吸費病毒近期陸續(xù)被騰訊移動安全實驗室等手機安全機構(gòu)公之于眾，被查獲的病毒不僅覆蓋了Android、Symbian V3 V5等智能機操作系統(tǒng)、也覆蓋了Kjava等功能手機操作系統(tǒng)。吸費病毒的頻繁出現(xiàn)，引發(fā)手機用戶不同程度上的疑慮和對移動安全的擔(dān)憂。

騰訊移動安全實驗室最新的網(wǎng)絡(luò)調(diào)研數(shù)據(jù)顯示，26%的用戶遭遇過手機病毒，而38%的用戶對于手機病毒最大的擔(dān)心在于扣費、吸費。對于手機吸費病毒的成因、吸費原理、傳播方式、產(chǎn)業(yè)鏈狀況、以及規(guī)避對策等相關(guān)知識，73%的被調(diào)研用戶表示希望了解。

為了幫助用戶更好的了解手機安全，解答手機用戶關(guān)于吸費病毒的各類疑問，更好地保護用戶手機安全，騰訊移動安全實驗室專家采用專業(yè)的技術(shù)手段，對手機吸費病毒的相關(guān)信息進行全方位的解讀、定位和剖析，并形成了實驗室首份移動安全報告——《揭開手機吸費病毒的神秘面紗》，以饗讀者。

本報告所有內(nèi)容均為騰訊移動安全實驗室及旗下QQ手機管家、在線查毒平臺、惡意線索舉報平臺通過對各類吸費病毒樣本和病毒產(chǎn)業(yè)鏈進行細致研究后所得成果，如有引用，請注明出處。

第二章：吸費病毒原理

騰訊移動安全實驗室發(fā)現(xiàn)，吸費病毒的主要原理是通過自行發(fā)短信、拔打語音扣費電話，同時會刪除或屏蔽收費相關(guān)的運營商回執(zhí)短信、拔打電話、Wap上網(wǎng)等記錄，讓用戶完全在不知不覺中被扣費。

2.1  短信業(yè)務(wù)的扣費原理：

（圖1）短信業(yè)務(wù)扣費原理示意圖

2.2  聲訊/IVR業(yè)務(wù)的扣費原理：在手機后臺自動撥打IVR電話，然后把撥打的相應(yīng)記錄

刪除。

2.3 WAP業(yè)務(wù)的扣費原理：自動后臺點擊扣費節(jié)點。

2.4其他運營商增值業(yè)務(wù)的扣費原理：彩鈴/炫鈴/七彩鈴的下載，采用短信、或IVR、

或WAP訂購的方式。

第三章：病毒的傳播途徑

騰訊移動安全實驗室研究發(fā)現(xiàn)，目前手機吸費病毒一般以嵌入正常功能軟件、熱門軟件為主要載體，散播在眾多論壇、電子市場、刷機ROM里，用戶把這當(dāng)作原版、加強版、破解版、美化版進行下載。

3.1  載體偽裝途徑：

                        i.             嵌在其他熱門的正常軟件里：嵌在知名游戲軟件、工具軟件中

                      ii.             專門開發(fā)出一種帶功能性的免費軟件，把病毒嵌入

                     iii.             扣費病毒不立即安裝，先安裝一個木馬病毒，待用戶量一定的時候，通過服務(wù)器給指令下載相關(guān)的扣費病毒，靜默安裝

                     iv.             偽裝在主題類軟件中，這是塞班最為常見的病毒載體

                      v.             偽裝為系統(tǒng)升級軟件，諾基亞手機上經(jīng)常出現(xiàn)

                     vi.             偽裝為殺毒軟件，以前曾出現(xiàn)過偽360、偽卡巴等

3.2   多種傳播方式：

                        i.             群發(fā)內(nèi)容為類似運營商發(fā)送的服務(wù)短信，短信內(nèi)有鏈接，鏈接域名搞成類似運營商網(wǎng)址迷惑用戶，如“偽升級扣費木馬”，就使用http://1OO86.net（用字母O來偽裝數(shù)字0）的域名來提供下載。

                      ii.             在嵌入到多個熱門軟件后，把這些軟件散布到各熱門手機論壇與電子市場中，再運作一些破解、優(yōu)化、美化、漢化、必裝等字眼來誘惑用戶下載安裝，用戶防不勝防。

                     iii.             按正常有功能的軟件來進行傳播。

                     iv.             偽裝以該品牌該型號的補丁升級進行傳播。

                      v.             集成在刷機ROM。

                     vi.             集成在一鍵安裝包里。

第四章  愈來愈隱蔽的病毒吸費

隨著扣費、屏蔽、云端控制技術(shù)的不斷成熟，病毒吸費呈現(xiàn)出愈來愈隱蔽甚至無聲無息的趨勢。

4.1 技術(shù)成熟讓病毒吸費愈來愈隱蔽

                        i.             以前的病毒技術(shù)，一般是內(nèi)置扣費的指令代碼到病毒軟件中，用戶安裝軟件后，短時間內(nèi)便會發(fā)作進行扣費；

                       ii.             現(xiàn)在的技術(shù)，則已經(jīng)發(fā)展到很成熟，很隱蔽：發(fā)送的扣費短信的指令、端口號、發(fā)送時間、發(fā)送頻率均能做到云端（服務(wù)器）控制，做到短信指令、端口號，可以根據(jù)用戶所在的地區(qū)、SIM卡所屬的運營商進行可扣費的配置，并且可以隨時更改；

（圖2）吸費海盜王病毒反編譯分析

                     iii.             [f1] 現(xiàn)在的技術(shù)都能輕易做到，在本機刪除相關(guān)的扣費回執(zhí)記錄，包括特定運營商扣費短信、撥號記錄、WAP上網(wǎng)記錄。

4.2 “悄悄潛伏”讓吸費病毒愈來愈隱蔽：

                        i.             不會立即發(fā)作，可以選擇時間發(fā)作，如：等午夜時候才偷偷扣費；

                      ii.             不會立即發(fā)作，從服務(wù)器取指令，按指令配置發(fā)作時間與方式；

                     iii.             安裝后，偽裝為正常進程的名字，如系統(tǒng)進程，或其他軟件進程進行潛伏；

                     iv.             用戶量潛伏，一些病毒制造者很有耐性，等被嵌入病毒的軟件用戶到達一定量后，才偷偷扣費。

第五章 典型吸費病毒案例

5.1  偽升級扣費木馬

病毒傳播者利用向用戶發(fā)送“中國移動提醒您，檢測到您的手機存在安全漏洞，請點擊下載并安裝安全補丁http://1OO86.net/****.apk/sisx”（這里是字母“O”冒充數(shù)字“0”）的WAP PUSH短信，分別針對塞班與安卓發(fā)送識配的安裝包，該病毒應(yīng)該是拿到部分的用戶號碼與機型，用戶點擊下載安裝后，病毒安裝沒有圖標(biāo)產(chǎn)生，并自動向“1062****”等端口號發(fā)送業(yè)務(wù)訂購短信，同時還會屏蔽10086發(fā)給用戶的所有信息，用戶在毫不知情的情況下，被惡意扣取資費。

（圖3）QQ手機管家查殺偽升級扣費木馬

5.2   偽卡巴扣費木馬、偽殺毒搶錢王等

這幾個病毒主要是偽裝為殺毒軟件，用戶安裝后，立即假裝掃描手機內(nèi)的文件，然后謊稱查到幾個殺毒軟件，需要用戶付費**元查殺病毒。

（圖4）QQ手機管家掃描偽殺毒病毒報告

5.3吸費海盜王

此病毒嵌入到一款國外著名的游戲軟件里，散布在幾個大的論壇與電子市場上，

另外，病毒發(fā)作時也是隱蔽的短信扣費，扣費指令與發(fā)送時機由云端配置，但這

個病毒在扣費成功后，還會向固定的幾個手機號碼發(fā)送扣費手機的IMEI號等信

息，部分存在分成對帳的可能。

（圖5）QQ手機管家截獲“吸費海盜王”病毒

（圖6）“吸費海盜王”病毒云端控制功能以及竊取用戶隱私

5.4  美女勾魂吸費大盜

病毒嵌入到三款叫“美女**”的工具軟件中，安裝后，偽裝為系統(tǒng)進程，讓用戶不容易發(fā)現(xiàn)，并進行暗中短信扣費。

（圖7）QQ手機管家查殺美女勾魂吸費大盜病毒

（圖8）美女勾魂病毒偽裝成系統(tǒng)程序“設(shè)置”

5.5  饑渴吸費魔

此病毒嵌入了許多款的正常軟件中，這些軟件曾經(jīng)遍布多個大論壇與電子市

場，發(fā)作時，除了由云端配置隱蔽的短信扣費外，還會偷偷盜打IVR電話，

此病毒的發(fā)現(xiàn)，表明吸費已經(jīng)從短信，橫向跨度到IVR了。

                  （圖9）饑渴吸費魔嵌入了許多款正常軟件

第六章 手機吸費病毒發(fā)展趨勢預(yù)測

6.1  灰色產(chǎn)業(yè)鏈呈現(xiàn)逐漸成熟的趨勢。

目前，吸費病毒的產(chǎn)業(yè)鏈已經(jīng)呈現(xiàn)出不斷成熟的趨勢，從病毒開發(fā)、病毒營銷傳播、

病毒吸費拓展（找SP合作）、病毒收益對帳分成等環(huán)節(jié)，都有相應(yīng)專業(yè)的角色或功

能相對應(yīng)。簡單來說，就是病毒從用戶手機私自扣費后，相關(guān)產(chǎn)業(yè)鏈的角色都能從

中分取利益，特別是病毒開發(fā)、營銷，還有SP。

6.2  吸費病毒變種越來越多。由于吸費病毒技術(shù)已經(jīng)不斷完善，可以通過云端服務(wù)器隨意控制扣費端口、扣費時間、扣費頻率，可根據(jù)用戶所在地SIM卡運營商對扣費方式進行配置，因此吸費病毒可以不斷變種。再加上當(dāng)前智能手機應(yīng)用種類豐富，病毒有了可以不斷復(fù)制的條件，只要將原病毒代碼稍作修改一些參數(shù)、變量，嵌入不同的手機應(yīng)用中，都可以成為一款新吸費病毒。

6.3  規(guī)�？赡艹�過PC產(chǎn)業(yè)。此外，手機吸費病毒產(chǎn)業(yè)鏈已經(jīng)開始逐步完善，從制毒到傳播，再到找SP扣費等一系列環(huán)節(jié)都有專人負責(zé)，每個環(huán)節(jié)都能夠精準(zhǔn)的獲得吸費分成，因此手機吸費病毒產(chǎn)業(yè)會呈現(xiàn)不斷發(fā)展壯大趨勢，手機用戶數(shù)量遠遠大于PC用戶數(shù)，智能終端大面積普及，手機吸費病毒規(guī)�？赡軙�遠高于PC病毒產(chǎn)業(yè)。

6.4  用戶維權(quán)取證難。與此同時，手機吸費病毒相比PC病毒更容易直接獲益，而且對于每個被吸費用戶來說只是幾元到幾十元不等，由于數(shù)額較小，單個受害者很難維權(quán)。加上其高超的偽裝術(shù)，自動定制服務(wù)，自動刪除扣費回執(zhí)信息，導(dǎo)致用戶很難發(fā)現(xiàn)被吸費，即使發(fā)現(xiàn)被吸費之后，也難以對吸費病毒的作案行為進行有效取證，無法通過技術(shù)手段證明是病毒私自定制了服務(wù)，而不是用戶定制了服務(wù)，因此最終都不了了之。

第七章 關(guān)于移動安全的用戶常見誤區(qū) 

誤區(qū)一：手機病毒、木馬很可怕

1)  正確看待手機病毒和木馬可能帶來的危害

病毒與木馬，可以實現(xiàn)多種危害，危害從高至低排序有：惡意扣費、遠程控制、

隱私竊取、惡意傳播、資費消耗、系統(tǒng)破壞、詐騙欺詐、流氓行為等，取其中

幾項舉例說明如下：

a)  危害比較高的：（1）惡意扣費：通過隱蔽執(zhí)行、欺騙用戶點擊等手段，訂購各類收費業(yè)務(wù)或使用手機支付，導(dǎo)致用戶經(jīng)濟損失的；（2）遠程控制：能夠接受遠程控制端指令并進行相關(guān)操作。（3）獲取涉及用戶隱私信息，如用戶的通訊內(nèi)容、郵件內(nèi)容，各種手機上的帳號密碼，各種文件、照片、通訊錄等。

b)  危害比較低的：流氓行為，如自動添加、修改、刪除收藏夾、快捷方式，彈出廣告窗口，不能退出軟件，無法正常卸載、刪除等。

2)  移動病毒和木馬的產(chǎn)業(yè)鏈發(fā)展?fàn)顩r目前尚未成熟

移動病毒和木馬已經(jīng)發(fā)展到產(chǎn)業(yè)鏈驅(qū)動，如惡意扣費木馬，就分為病毒制造者、

病毒傳播運營、病毒扣費商務(wù)拓展、病毒扣費SP等的角色。現(xiàn)在，惡意扣費木

馬的技術(shù)一般包括軟件篡改、偽裝傳播、云端控制、根據(jù)用戶不同的區(qū)域進行

不同形式的扣費等技術(shù)，這些技術(shù)已經(jīng)比較成熟，使用同樣的技術(shù)，只要修改

不同的類名，進行不同的打包，就可以復(fù)制為新的病毒。

整個移動病毒和木馬的產(chǎn)業(yè)鏈發(fā)展?fàn)顩r相對PC尚不成熟。

誤區(qū)二：沒有多少移動病毒和木馬，因為我和我的朋友都沒有遇到過

現(xiàn)發(fā)現(xiàn)的手機病毒與木馬已超千種，被感染的軟件已超萬個。現(xiàn)在的病毒與木馬技術(shù)日漸成熟，且趨向于隱蔽化與智能化，可以使手機用戶在感覺不到中毒的情況下就已經(jīng)產(chǎn)生了危害。

拿惡意扣費木馬來舉例：

1)  例一：隱蔽偽裝與傳播方式：病毒和木馬采用多種方式進行偽裝，如：把惡意

代碼嵌入到眾多的熱門軟件中，或者開發(fā)一個正常功能類的軟件，然后把這些

軟件散布到各熱門論壇與電子市場中，再運作一些破解、優(yōu)化、美化、漢化、

必裝、最強等字眼來誘惑用戶下載安裝，用戶安裝了這個軟件后，病毒和木馬

就已經(jīng)被安裝到移動設(shè)備上了。

2)  例二：采用提示升級的方式進行安裝：先提供完全沒有問題的正常的軟件給用戶安裝，軟件在使用一段時間后，提示軟件升級，在用戶確認同意升級時，才下升安裝了病毒包。

3)  例三：潛伏伺機發(fā)作：一般是安裝的時候不立即發(fā)作，伺機聯(lián)網(wǎng)從云端獲取指令，再按指令控制發(fā)起扣費操作時間，扣費發(fā)送目標(biāo)端口等。

4)  例四：攔截刪掉所有發(fā)送的扣費與確認扣費的短信或IVR電話等通訊記錄，用戶在不知不覺的情況下就已經(jīng)被扣費。

誤區(qū)三：安裝知名軟件或是正規(guī)電子市場、網(wǎng)站或論壇下載一定無風(fēng)險

通常知名的軟件也是被病毒和木馬篡改或嵌入的重點目標(biāo)之一，而一般的用戶是難以在安裝的過程中進行判斷的，在安裝后也難以判斷，因為這些軟件的正常功能還是可以使用的。所以，不是軟件名稱為知名的軟件就安全。而是要從知名軟件的官方網(wǎng)站下載安裝，以確保手機安全軟件未被嵌入病毒。

部分的病毒和木馬也是通過正規(guī)的電子市場、網(wǎng)站、論壇進行傳播的，而病毒和木馬的后發(fā)作型或后安裝型，都會使一般的用戶難以判斷現(xiàn)在下載與安裝的是否為安全軟件。

第八章  專家支招：如何規(guī)避手機吸費病毒風(fēng)險

1）  不要輕易打開陌生人短信中的網(wǎng)址鏈接，以防下載木馬。遇到升級要求或者下載提示，不要隨便點“同意”，要保持充分的警惕性。

2） 盡量到軟件的官網(wǎng)、或官網(wǎng)授權(quán)進行下載，或是安全可靠的站點下載軟件。一定不要輕易從手機論壇、不知名的應(yīng)用市場中下載手機軟件，而是要到經(jīng)過安全認證，有品牌知名度的手機應(yīng)用下載站下載手機軟件，比如，手機騰訊網(wǎng)應(yīng)用中心、QQ手機管家的“人氣推薦”“裝機必備”。也可以使用QQ電腦管家的手機管理功能，可以直接在電腦上安裝QQ手機管家，同時還提供萬款手機軟件免費下載。

3） 安裝專業(yè)大品牌手機安全軟件，并經(jīng)常更新最新病毒庫，實時監(jiān)控各種可能原來沒有毒，但后來升級或安裝新的病毒的軟件。比如，QQ手機管家、金山手機衛(wèi)士等。

QQ手機管家 Android版：http://www.innovatechautomation.com/soft/17294.html