騰訊移動(dòng)安全實(shí)驗(yàn)室公布手機(jī)吸費(fèi)病毒的工作原理

Godless病毒專殺工具v7.0.0 官方安卓版

• 類型：安全相關(guān)大小：8.5M語(yǔ)言：中文 評(píng)分：10.0
• 標(biāo)簽：

立即下載

隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，手機(jī)吸費(fèi)病毒作為一種新的手機(jī)病毒形式開(kāi)始進(jìn)入人們的視線。“吸費(fèi)海盜王”、“美女勾魂吸費(fèi)大盜”等吸費(fèi)病毒近期陸續(xù)被騰訊移動(dòng)安全實(shí)驗(yàn)室等手機(jī)安全機(jī)構(gòu)公之于眾，被查獲的病毒不僅覆蓋了Android、Symbian V3 V5等智能機(jī)操作系統(tǒng)、也覆蓋了Kjava等功能手機(jī)操作系統(tǒng)。吸費(fèi)病毒的頻繁出現(xiàn)，引發(fā)手機(jī)用戶不同程度上的疑慮和對(duì)移動(dòng)安全的擔(dān)憂。

騰訊移動(dòng)安全實(shí)驗(yàn)室最新的網(wǎng)絡(luò)調(diào)研數(shù)據(jù)顯示，26%的用戶遭遇過(guò)手機(jī)病毒，而38%的用戶對(duì)于手機(jī)病毒最大的擔(dān)心在于扣費(fèi)、吸費(fèi)。對(duì)于手機(jī)吸費(fèi)病毒的成因、吸費(fèi)原理、傳播方式、產(chǎn)業(yè)鏈狀況、以及規(guī)避對(duì)策等相關(guān)知識(shí)，73%的被調(diào)研用戶表示希望了解。

為了幫助用戶更好的了解手機(jī)安全，解答手機(jī)用戶關(guān)于吸費(fèi)病毒的各類疑問(wèn)，更好地保護(hù)用戶手機(jī)安全，騰訊移動(dòng)安全實(shí)驗(yàn)室專家采用專業(yè)的技術(shù)手段，對(duì)手機(jī)吸費(fèi)病毒的相關(guān)信息進(jìn)行全方位的解讀、定位和剖析，并形成了實(shí)驗(yàn)室首份移動(dòng)安全報(bào)告——《揭開(kāi)手機(jī)吸費(fèi)病毒的神秘面紗》，以饗讀者。

本報(bào)告所有內(nèi)容均為騰訊移動(dòng)安全實(shí)驗(yàn)室及旗下QQ手機(jī)管家、在線查毒平臺(tái)、惡意線索舉報(bào)平臺(tái)通過(guò)對(duì)各類吸費(fèi)病毒樣本和病毒產(chǎn)業(yè)鏈進(jìn)行細(xì)致研究后所得成果，如有引用，請(qǐng)注明出處。

第二章：吸費(fèi)病毒原理

騰訊移動(dòng)安全實(shí)驗(yàn)室發(fā)現(xiàn)，吸費(fèi)病毒的主要原理是通過(guò)自行發(fā)短信、拔打語(yǔ)音扣費(fèi)電話，同時(shí)會(huì)刪除或屏蔽收費(fèi)相關(guān)的運(yùn)營(yíng)商回執(zhí)短信、拔打電話、Wap上網(wǎng)等記錄，讓用戶完全在不知不覺(jué)中被扣費(fèi)。

2.1  短信業(yè)務(wù)的扣費(fèi)原理：

（圖1）短信業(yè)務(wù)扣費(fèi)原理示意圖

2.2  聲訊/IVR業(yè)務(wù)的扣費(fèi)原理：在手機(jī)后臺(tái)自動(dòng)撥打IVR電話，然后把撥打的相應(yīng)記錄

刪除。

2.3 WAP業(yè)務(wù)的扣費(fèi)原理：自動(dòng)后臺(tái)點(diǎn)擊扣費(fèi)節(jié)點(diǎn)。

2.4其他運(yùn)營(yíng)商增值業(yè)務(wù)的扣費(fèi)原理：彩鈴/炫鈴/七彩鈴的下載，采用短信、或IVR、

或WAP訂購(gòu)的方式。

第三章：病毒的傳播途徑

騰訊移動(dòng)安全實(shí)驗(yàn)室研究發(fā)現(xiàn)，目前手機(jī)吸費(fèi)病毒一般以嵌入正常功能軟件、熱門(mén)軟件為主要載體，散播在眾多論壇、電子市場(chǎng)、刷機(jī)ROM里，用戶把這當(dāng)作原版、加強(qiáng)版、破解版、美化版進(jìn)行下載。

3.1  載體偽裝途徑：

                        i.             嵌在其他熱門(mén)的正常軟件里：嵌在知名游戲軟件、工具軟件中

                      ii.             專門(mén)開(kāi)發(fā)出一種帶功能性的免費(fèi)軟件，把病毒嵌入

                     iii.             扣費(fèi)病毒不立即安裝，先安裝一個(gè)木馬病毒，待用戶量一定的時(shí)候，通過(guò)服務(wù)器給指令下載相關(guān)的扣費(fèi)病毒，靜默安裝

                     iv.             偽裝在主題類軟件中，這是塞班最為常見(jiàn)的病毒載體

                      v.             偽裝為系統(tǒng)升級(jí)軟件，諾基亞手機(jī)上經(jīng)常出現(xiàn)

                     vi.             偽裝為殺毒軟件，以前曾出現(xiàn)過(guò)偽360、偽卡巴等

3.2   多種傳播方式：

                        i.             群發(fā)內(nèi)容為類似運(yùn)營(yíng)商發(fā)送的服務(wù)短信，短信內(nèi)有鏈接，鏈接域名搞成類似運(yùn)營(yíng)商網(wǎng)址迷惑用戶，如“偽升級(jí)扣費(fèi)木馬”，就使用http://1OO86.net（用字母O來(lái)偽裝數(shù)字0）的域名來(lái)提供下載。

                      ii.             在嵌入到多個(gè)熱門(mén)軟件后，把這些軟件散布到各熱門(mén)手機(jī)論壇與電子市場(chǎng)中，再運(yùn)作一些破解、優(yōu)化、美化、漢化、必裝等字眼來(lái)誘惑用戶下載安裝，用戶防不勝防。

                     iii.             按正常有功能的軟件來(lái)進(jìn)行傳播。

                     iv.             偽裝以該品牌該型號(hào)的補(bǔ)丁升級(jí)進(jìn)行傳播。

                      v.             集成在刷機(jī)ROM。

                     vi.             集成在一鍵安裝包里。

第四章  愈來(lái)愈隱蔽的病毒吸費(fèi)

隨著扣費(fèi)、屏蔽、云端控制技術(shù)的不斷成熟，病毒吸費(fèi)呈現(xiàn)出愈來(lái)愈隱蔽甚至無(wú)聲無(wú)息的趨勢(shì)。

4.1 技術(shù)成熟讓病毒吸費(fèi)愈來(lái)愈隱蔽

                        i.             以前的病毒技術(shù)，一般是內(nèi)置扣費(fèi)的指令代碼到病毒軟件中，用戶安裝軟件后，短時(shí)間內(nèi)便會(huì)發(fā)作進(jìn)行扣費(fèi)；

                       ii.             現(xiàn)在的技術(shù)，則已經(jīng)發(fā)展到很成熟，很隱蔽：發(fā)送的扣費(fèi)短信的指令、端口號(hào)、發(fā)送時(shí)間、發(fā)送頻率均能做到云端（服務(wù)器）控制，做到短信指令、端口號(hào)，可以根據(jù)用戶所在的地區(qū)、SIM卡所屬的運(yùn)營(yíng)商進(jìn)行可扣費(fèi)的配置，并且可以隨時(shí)更改；

（圖2）吸費(fèi)海盜王病毒反編譯分析

                     iii.             [f1] 現(xiàn)在的技術(shù)都能輕易做到，在本機(jī)刪除相關(guān)的扣費(fèi)回執(zhí)記錄，包括特定運(yùn)營(yíng)商扣費(fèi)短信、撥號(hào)記錄、WAP上網(wǎng)記錄。

4.2 “悄悄潛伏”讓吸費(fèi)病毒愈來(lái)愈隱蔽：

                        i.             不會(huì)立即發(fā)作，可以選擇時(shí)間發(fā)作，如：等午夜時(shí)候才偷偷扣費(fèi)；

                      ii.             不會(huì)立即發(fā)作，從服務(wù)器取指令，按指令配置發(fā)作時(shí)間與方式；

                     iii.             安裝后，偽裝為正常進(jìn)程的名字，如系統(tǒng)進(jìn)程，或其他軟件進(jìn)程進(jìn)行潛伏；

                     iv.             用戶量潛伏，一些病毒制造者很有耐性，等被嵌入病毒的軟件用戶到達(dá)一定量后，才偷偷扣費(fèi)。

第五章 典型吸費(fèi)病毒案例

5.1  偽升級(jí)扣費(fèi)木馬

病毒傳播者利用向用戶發(fā)送“中國(guó)移動(dòng)提醒您，檢測(cè)到您的手機(jī)存在安全漏洞，請(qǐng)點(diǎn)擊下載并安裝安全補(bǔ)丁http://1OO86.net/****.apk/sisx”（這里是字母“O”冒充數(shù)字“0”）的WAP PUSH短信，分別針對(duì)塞班與安卓發(fā)送識(shí)配的安裝包，該病毒應(yīng)該是拿到部分的用戶號(hào)碼與機(jī)型，用戶點(diǎn)擊下載安裝后，病毒安裝沒(méi)有圖標(biāo)產(chǎn)生，并自動(dòng)向“1062****”等端口號(hào)發(fā)送業(yè)務(wù)訂購(gòu)短信，同時(shí)還會(huì)屏蔽10086發(fā)給用戶的所有信息，用戶在毫不知情的情況下，被惡意扣取資費(fèi)。

（圖3）QQ手機(jī)管家查殺偽升級(jí)扣費(fèi)木馬

5.2   偽卡巴扣費(fèi)木馬、偽殺毒搶錢(qián)王等

這幾個(gè)病毒主要是偽裝為殺毒軟件，用戶安裝后，立即假裝掃描手機(jī)內(nèi)的文件，然后謊稱查到幾個(gè)殺毒軟件，需要用戶付費(fèi)**元查殺病毒。

（圖4）QQ手機(jī)管家掃描偽殺毒病毒報(bào)告

5.3吸費(fèi)海盜王

此病毒嵌入到一款國(guó)外著名的游戲軟件里，散布在幾個(gè)大的論壇與電子市場(chǎng)上，

另外，病毒發(fā)作時(shí)也是隱蔽的短信扣費(fèi)，扣費(fèi)指令與發(fā)送時(shí)機(jī)由云端配置，但這

個(gè)病毒在扣費(fèi)成功后，還會(huì)向固定的幾個(gè)手機(jī)號(hào)碼發(fā)送扣費(fèi)手機(jī)的IMEI號(hào)等信

息，部分存在分成對(duì)帳的可能。

（圖5）QQ手機(jī)管家截獲“吸費(fèi)海盜王”病毒

（圖6）“吸費(fèi)海盜王”病毒云端控制功能以及竊取用戶隱私

5.4  美女勾魂吸費(fèi)大盜

病毒嵌入到三款叫“美女**”的工具軟件中，安裝后，偽裝為系統(tǒng)進(jìn)程，讓用戶不容易發(fā)現(xiàn)，并進(jìn)行暗中短信扣費(fèi)。

（圖7）QQ手機(jī)管家查殺美女勾魂吸費(fèi)大盜病毒

（圖8）美女勾魂病毒偽裝成系統(tǒng)程序“設(shè)置”

5.5  饑渴吸費(fèi)魔

此病毒嵌入了許多款的正常軟件中，這些軟件曾經(jīng)遍布多個(gè)大論壇與電子市

場(chǎng)，發(fā)作時(shí)，除了由云端配置隱蔽的短信扣費(fèi)外，還會(huì)偷偷盜打IVR電話，

此病毒的發(fā)現(xiàn)，表明吸費(fèi)已經(jīng)從短信，橫向跨度到IVR了。

                  （圖9）饑渴吸費(fèi)魔嵌入了許多款正常軟件

第六章 手機(jī)吸費(fèi)病毒發(fā)展趨勢(shì)預(yù)測(cè)

6.1  灰色產(chǎn)業(yè)鏈呈現(xiàn)逐漸成熟的趨勢(shì)。

目前，吸費(fèi)病毒的產(chǎn)業(yè)鏈已經(jīng)呈現(xiàn)出不斷成熟的趨勢(shì)，從病毒開(kāi)發(fā)、病毒營(yíng)銷傳播、

病毒吸費(fèi)拓展（找SP合作）、病毒收益對(duì)帳分成等環(huán)節(jié)，都有相應(yīng)專業(yè)的角色或功

能相對(duì)應(yīng)。簡(jiǎn)單來(lái)說(shuō)，就是病毒從用戶手機(jī)私自扣費(fèi)后，相關(guān)產(chǎn)業(yè)鏈的角色都能從

中分取利益，特別是病毒開(kāi)發(fā)、營(yíng)銷，還有SP。

6.2  吸費(fèi)病毒變種越來(lái)越多。由于吸費(fèi)病毒技術(shù)已經(jīng)不斷完善，可以通過(guò)云端服務(wù)器隨意控制扣費(fèi)端口、扣費(fèi)時(shí)間、扣費(fèi)頻率，可根據(jù)用戶所在地SIM卡運(yùn)營(yíng)商對(duì)扣費(fèi)方式進(jìn)行配置，因此吸費(fèi)病毒可以不斷變種。再加上當(dāng)前智能手機(jī)應(yīng)用種類豐富，病毒有了可以不斷復(fù)制的條件，只要將原病毒代碼稍作修改一些參數(shù)、變量，嵌入不同的手機(jī)應(yīng)用中，都可以成為一款新吸費(fèi)病毒。

6.3  規(guī)�？赡艹�過(guò)PC產(chǎn)業(yè)。此外，手機(jī)吸費(fèi)病毒產(chǎn)業(yè)鏈已經(jīng)開(kāi)始逐步完善，從制毒到傳播，再到找SP扣費(fèi)等一系列環(huán)節(jié)都有專人負(fù)責(zé)，每個(gè)環(huán)節(jié)都能夠精準(zhǔn)的獲得吸費(fèi)分成，因此手機(jī)吸費(fèi)病毒產(chǎn)業(yè)會(huì)呈現(xiàn)不斷發(fā)展壯大趨勢(shì)，手機(jī)用戶數(shù)量遠(yuǎn)遠(yuǎn)大于PC用戶數(shù)，智能終端大面積普及，手機(jī)吸費(fèi)病毒規(guī)�？赡軙�(huì)遠(yuǎn)高于PC病毒產(chǎn)業(yè)。

6.4  用戶維權(quán)取證難。與此同時(shí)，手機(jī)吸費(fèi)病毒相比PC病毒更容易直接獲益，而且對(duì)于每個(gè)被吸費(fèi)用戶來(lái)說(shuō)只是幾元到幾十元不等，由于數(shù)額較小，單個(gè)受害者很難維權(quán)。加上其高超的偽裝術(shù)，自動(dòng)定制服務(wù)，自動(dòng)刪除扣費(fèi)回執(zhí)信息，導(dǎo)致用戶很難發(fā)現(xiàn)被吸費(fèi)，即使發(fā)現(xiàn)被吸費(fèi)之后，也難以對(duì)吸費(fèi)病毒的作案行為進(jìn)行有效取證，無(wú)法通過(guò)技術(shù)手段證明是病毒私自定制了服務(wù)，而不是用戶定制了服務(wù)，因此最終都不了了之。

第七章 關(guān)于移動(dòng)安全的用戶常見(jiàn)誤區(qū) 

誤區(qū)一：手機(jī)病毒、木馬很可怕

1)  正確看待手機(jī)病毒和木馬可能帶來(lái)的危害

病毒與木馬，可以實(shí)現(xiàn)多種危害，危害從高至低排序有：惡意扣費(fèi)、遠(yuǎn)程控制、

隱私竊取、惡意傳播、資費(fèi)消耗、系統(tǒng)破壞、詐騙欺詐、流氓行為等，取其中

幾項(xiàng)舉例說(shuō)明如下：

a)  危害比較高的：（1）惡意扣費(fèi)：通過(guò)隱蔽執(zhí)行、欺騙用戶點(diǎn)擊等手段，訂購(gòu)各類收費(fèi)業(yè)務(wù)或使用手機(jī)支付，導(dǎo)致用戶經(jīng)濟(jì)損失的；（2）遠(yuǎn)程控制：能夠接受遠(yuǎn)程控制端指令并進(jìn)行相關(guān)操作。（3）獲取涉及用戶隱私信息，如用戶的通訊內(nèi)容、郵件內(nèi)容，各種手機(jī)上的帳號(hào)密碼，各種文件、照片、通訊錄等。

b)  危害比較低的：流氓行為，如自動(dòng)添加、修改、刪除收藏夾、快捷方式，彈出廣告窗口，不能退出軟件，無(wú)法正常卸載、刪除等。

2)  移動(dòng)病毒和木馬的產(chǎn)業(yè)鏈發(fā)展?fàn)顩r目前尚未成熟

移動(dòng)病毒和木馬已經(jīng)發(fā)展到產(chǎn)業(yè)鏈驅(qū)動(dòng)，如惡意扣費(fèi)木馬，就分為病毒制造者、

病毒傳播運(yùn)營(yíng)、病毒扣費(fèi)商務(wù)拓展、病毒扣費(fèi)SP等的角色。現(xiàn)在，惡意扣費(fèi)木

馬的技術(shù)一般包括軟件篡改、偽裝傳播、云端控制、根據(jù)用戶不同的區(qū)域進(jìn)行

不同形式的扣費(fèi)等技術(shù)，這些技術(shù)已經(jīng)比較成熟，使用同樣的技術(shù)，只要修改

不同的類名，進(jìn)行不同的打包，就可以復(fù)制為新的病毒。

整個(gè)移動(dòng)病毒和木馬的產(chǎn)業(yè)鏈發(fā)展?fàn)顩r相對(duì)PC尚不成熟。

誤區(qū)二：沒(méi)有多少移動(dòng)病毒和木馬，因?yàn)槲液臀业呐笥讯紱](méi)有遇到過(guò)

現(xiàn)發(fā)現(xiàn)的手機(jī)病毒與木馬已超千種，被感染的軟件已超萬(wàn)個(gè)�，F(xiàn)在的病毒與木馬技術(shù)日漸成熟，且趨向于隱蔽化與智能化，可以使手機(jī)用戶在感覺(jué)不到中毒的情況下就已經(jīng)產(chǎn)生了危害。

拿惡意扣費(fèi)木馬來(lái)舉例：

1)  例一：隱蔽偽裝與傳播方式：病毒和木馬采用多種方式進(jìn)行偽裝，如：把惡意

代碼嵌入到眾多的熱門(mén)軟件中，或者開(kāi)發(fā)一個(gè)正常功能類的軟件，然后把這些

軟件散布到各熱門(mén)論壇與電子市場(chǎng)中，再運(yùn)作一些破解、優(yōu)化、美化、漢化、

必裝、最強(qiáng)等字眼來(lái)誘惑用戶下載安裝，用戶安裝了這個(gè)軟件后，病毒和木馬

就已經(jīng)被安裝到移動(dòng)設(shè)備上了。

2)  例二：采用提示升級(jí)的方式進(jìn)行安裝：先提供完全沒(méi)有問(wèn)題的正常的軟件給用戶安裝，軟件在使用一段時(shí)間后，提示軟件升級(jí)，在用戶確認(rèn)同意升級(jí)時(shí)，才下升安裝了病毒包。

3)  例三：潛伏伺機(jī)發(fā)作：一般是安裝的時(shí)候不立即發(fā)作，伺機(jī)聯(lián)網(wǎng)從云端獲取指令，再按指令控制發(fā)起扣費(fèi)操作時(shí)間，扣費(fèi)發(fā)送目標(biāo)端口等。

4)  例四：攔截刪掉所有發(fā)送的扣費(fèi)與確認(rèn)扣費(fèi)的短信或IVR電話等通訊記錄，用戶在不知不覺(jué)的情況下就已經(jīng)被扣費(fèi)。

誤區(qū)三：安裝知名軟件或是正規(guī)電子市場(chǎng)、網(wǎng)站或論壇下載一定無(wú)風(fēng)險(xiǎn)

通常知名的軟件也是被病毒和木馬篡改或嵌入的重點(diǎn)目標(biāo)之一，而一般的用戶是難以在安裝的過(guò)程中進(jìn)行判斷的，在安裝后也難以判斷，因?yàn)檫@些軟件的正常功能還是可以使用的。所以，不是軟件名稱為知名的軟件就安全。而是要從知名軟件的官方網(wǎng)站下載安裝，以確保手機(jī)安全軟件未被嵌入病毒。

部分的病毒和木馬也是通過(guò)正規(guī)的電子市場(chǎng)、網(wǎng)站、論壇進(jìn)行傳播的，而病毒和木馬的后發(fā)作型或后安裝型，都會(huì)使一般的用戶難以判斷現(xiàn)在下載與安裝的是否為安全軟件。

第八章  專家支招：如何規(guī)避手機(jī)吸費(fèi)病毒風(fēng)險(xiǎn)

1）  不要輕易打開(kāi)陌生人短信中的網(wǎng)址鏈接，以防下載木馬。遇到升級(jí)要求或者下載提示，不要隨便點(diǎn)“同意”，要保持充分的警惕性。

2） 盡量到軟件的官網(wǎng)、或官網(wǎng)授權(quán)進(jìn)行下載，或是安全可靠的站點(diǎn)下載軟件。一定不要輕易從手機(jī)論壇、不知名的應(yīng)用市場(chǎng)中下載手機(jī)軟件，而是要到經(jīng)過(guò)安全認(rèn)證，有品牌知名度的手機(jī)應(yīng)用下載站下載手機(jī)軟件，比如，手機(jī)騰訊網(wǎng)應(yīng)用中心、QQ手機(jī)管家的“人氣推薦”“裝機(jī)必備”。也可以使用QQ電腦管家的手機(jī)管理功能，可以直接在電腦上安裝QQ手機(jī)管家，同時(shí)還提供萬(wàn)款手機(jī)軟件免費(fèi)下載。

3） 安裝專業(yè)大品牌手機(jī)安全軟件，并經(jīng)常更新最新病毒庫(kù)，實(shí)時(shí)監(jiān)控各種可能原來(lái)沒(méi)有毒，但后來(lái)升級(jí)或安裝新的病毒的軟件。比如，QQ手機(jī)管家、金山手機(jī)衛(wèi)士等。

QQ手機(jī)管家 Android版：http://www.innovatechautomation.com/soft/17294.html