手机已经成为人们日常生活必不可少的一部分,近几年越来越多的人习惯了在享受运营商提供服务的同时,也要缴纳相应服务费。随着移动互联的进步与发展,手机资费账户也正在向电子钱包化迈进。正因为这样,恶意应用的血盆大口也毫无遮拦的瞄准了用户的手机资费!
近日,AVG中国实验室监测到了一款中国本土制造的“吸血狂徒”日历应用,为了吸走用户手机中的资费,制造者可谓是煞费苦心。
作者为了减少开发成本并迷惑用户,篡改了国内某日历应用,将其 “改造”为一款看似日历功能的恶意应用,可谓是“挂羊头,卖狗肉”。以日历应用伪装后,首先获取用户服务商及本人所在地,再针对用户所使用的不同服务商及地域,发送短信,实现不同运营商、地区灵活配置,以订阅SP服务,最后截拦SP订阅的确认信息,致使用户在一无所知的情况下被扣费,是名副其实的吸血日历。作者还不忘给他的“新”应用起一个好听的名字,意为祝用户百事大吉大利,同时更换了应用图标,无良与疯狂曝露无遗,这一切,只是为了能更方便取走用户的“血汗”。
下图为包名窜改细节,左侧为恶意应用,右侧为原应用:
作者在原应用基础上增加了一个名为DownManager的服务和一个名为RegReceiver的通知响应模块:
应用申请了:自启动,读取、编写、收发短信,获取位置等权限:
<uses-permission android:name="android.permission.GET_TASKS" />
<uses-permission android:name="android.permission.INTERNET" />
<uses-permission android:name="android.permission.READ_PHONE_STATE" />
<uses-permission android:name="android.permission.VIBRATE" />
<uses-permission android:name="android.permission.READ_LOGS" />
<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
<uses-permission android:name="android.permission.ACCESS_COARSE_LOCATION" />
<uses-permission android:name="android.permission.ACCESS_FINE_LOCATION" />
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" />
<uses-permission android:name="android.permission.ACCESS_WIFI_STATE" />
<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" />
<uses-permission android:name="android.permission.MANAGE_ACCOUNTS" />
<uses-permission android:name="android.permission.USE_CREDENTIALS" />
<uses-permission android:name="android.permission.GET_ACCOUNTS" />
<uses-permission android:name="android.permission.RESTART_PACKAGES" />
<uses-permission android:name="android.permission.READ_CONTACTS" />
<uses-permission android:name="android.permission.READ_SMS" />
<uses-permission android:name="android.permission.RECEIVE_SMS" />
<uses-permission android:name="android.permission.SEND_SMS" />
<uses-permission android:name="android.permission.WRITE_SMS" />
<uses-permission android:name="android.permission.RECORD_AUDIO" />
权限信息
DownManager:
恶意代码节点关系图
经分析DownManager服务为恶意程序主要区域,在开发过程中,作者采用了后台线程;作者同时还考虑了中文系统和英文系统的不同,同时搭建了命令与控制服务器用于控制恶意代码执行开关,程序还可自行随机生成不同的配置文件,且过程并不只发生一次,间隔一段时间,会再次订阅,导致扣费,可谓费尽心思的“吸血狂徒”。
一号节点:
二号节点
A.
B.
三号节点:
RegReceive
RegReceiver为截拦短信恶意代码块,专门用于拦截SP厂商的确认回复信息,使用户无法看到SP或运营商回复的短信,至使用户莫名扣费。
代码部分:
运营商匹配:
命令与控制服务器:
SP信息、服务定制码、运营商信息:
省份信息:
如何清除:
AVG手机安全-永久免费中文版即可轻松防御与清除此类恶意应用,并且提供贴心的加密、优化、备份等各项手机管理功能。无论是应用安装前或安装后,免费且高效。轻击小药丸,轻松解决您的手机安全问题。
如何防范:
1、 谨慎审查您所安装应用的权限,小心一些需要敏感权限的应用。
2、 针对目前恶意修改应用的情况,用户应尽量去市场下载知名厂商的应用,或直接登录该厂商的官方网站下载。
3、 针对目前中国用户的特殊情况,选择市场亦应选择较为正规的市场去下载应用。
4、 如果您勾选了“未知源”,请谨慎对待您所安装的程序。
最后,如果您只想简单的用好您的手机,并不想思考那么多琐碎的安全细节,您可以直接安装AVG手机反病毒软件
下载地址及二维码:https://play.google.com/store/apps/details?id=com.antivirus
轻击小药丸,坐拥安全梦
