2017第一季度安卓短信扣费木马研究：七成扣费木马擅长以”用户的名义”骗取话费 - FreeBuf互联网安全新媒体平台 | 关注黑客与极客
2017第一季度安卓短信扣费木马研究：七成扣费木马擅长以”用户的名义”骗取话费
共357824人围观
，发现 3 个不明物体
1.1 话费作为的最便捷的支付，比较适合“闷声发大财”。
隐藏在话费背后的SP服务可以很方便的帮助不怀好意的人将用户话费放到自己的口袋，少则扣费几十元，多则可能消费几百元积少成多累计起来也是暴力。比如前段时间首起恶意扣费软件案影响设备数600万台，非法获利6726余万元。
1.2 短信扣费类木马分为两大流派。
势力最大的一派以暗扣类游戏为主(占据市场份额最大)，它们深谙用户用户心理，利用用户操作习惯，设置陷阱诱骗用户点击通过订阅SP服务进行变现。另外一派则以后台无图标应用为主,通过ROOT恶意木马，ROM预装等方式偷偷潜伏进去用户设备，后台自动发送SP扣费短信进行变现。
1.3 从SP扣费信息来源看，分成本地硬编码和云端平台获取两种。
本地硬编码含有几个或者几十个扣费通道，云端平台是一种无穷无尽的扣费通道,SP不死就可以持续扣费，目前主流的短信扣费以云端获取为主，木马通常还自带清理现场的功能。
1.4 从产业链上看,SP代理商,流量商,以及开发者是产业链中的主要角色。
开发者从SP代理商获取到SP扣费信息植入到应用中，然后从流量商手中购买流量将恶意应用安装到用户手机,最终通过订阅各类SP服务变现。
1.5 短信扣费木马的主要传播渠道主要有五种。
从传播渠道看，主要有游戏破解网站、软件下载站、广告联盟、部分应用市场以及一些地下黑流量推广(比如通过色情播放器传播)。
1.6 从拦截的短信扣费木马的家族看,有能力大规模传播的还是少数。
目前腾讯反诈骗实验室通过海量样本分析发现，短信扣费木马主要包含有以下病毒家族：
2.1 用户安装盗版或者修改版游戏被恶意扣费
2.2 首起恶意扣费软件案涉案金额6700万元
2.3 话费支付的正确打开方式和恶意实现
三、短信扣费木马影响面
3.1 用户感染趋势变化
3.1.1 今年1月份开始感染用户开始飙升,并且逐步处于稳步微增的
3.1.2 从感染区域分布看,从大到小排序 广东,四川,河南,湖南,江苏,贵州,广西等
3.1.3 短信扣费木马变化趋势
从收集样本数看,短信扣费木马样本数处于增长趋势,4月份尚未过半,样本收集量已经接近3月份的总量。
3.2 扣费恶意代码寄生的应用类型
&(1) 刚需色情,用户主动下载或被推广安装&
(2) 娱乐游戏,用户主动下载或推广安装
(3) 无图标或者伪装系统应用,通过恶意推广或ROM内置
&&&&&&&&&&&&&&
3.3 主要传播渠道
(1) 恶意广告推广：用户访问小说、视频网站弹出的恶意广告。
&&&&&&&&&&&&&&&&&
(2) 应用市场：这些应用市场对于应用的安全性要求较低,恶意应用很容易就可以上架传播。
(3) 软件或游戏下载站：提供各种破解,修改版应用下载,存在一些诱导下载广告位或恶意应用下载。
(4) 暗流量：已经潜伏在用户电脑内的恶意应用,通过弹窗,诱导提示或者静默自动推广。
(5) ROM内置：通过与一些山寨机合作直接植入到ROM内,或在终端出厂后在销售环节植入。
3.4 传播四步骤
* 木马作者通过SP代理商获取获得扣费通道。
* 木马作者将恶意扣费代码封装到恶意应用。
* 木马作者购买流量,通过各种渠道将恶意应用推广安装到用户手机。
* 用户手机中招,通过SP订阅服务，木马作者牟利，各方按照协议进行分成皆大欢喜.。
四 流行短信扣费木马家族
4.1 短信扣费五大家族
4.2 各家族的技术点对比
4.3 游戏土匪
此类型是目前最常见的类型，影响面也是最广的。通常手段是重打包其他游戏，植入扣费项目，在用户游戏过程中频繁弹出诱导性弹框，经常使用“礼包”，“领取”,”免费”,”优惠”等字眼诱导用户点击，并故意弱化收费提示，让用户误以为可以免费领取，用户点击后将通过话费购买道具。
此类型木马因为来钱快属于暴利行业,为了提升扣费的用户体验以及对抗检测一直处于攻防对抗中，扣费信息从一开始本地硬编码，到如今普遍通过云端控制下发;扣费弹框的提示逐渐弱化扣费提示信息,以诱骗更多的用户点击。
【弱化提示】：扣费提示人眼可见,但是可以放在用户不容易注意的地方。
【背景色隐藏】：将扣费隐藏在浅色背景中,刻意突出游戏按钮。
【游戏过程中扣费提示】：用户玩的如痴如醉,脑袋犯浑的时候,要不要扣个费玩玩?&
【游戏过程中道具】：要想变得更强,装备当然得升级下,当然变强的机会你需要你的手机话费充足。
【进击的用户体验】：用户越来越小心,收入下降了怎么办,于是小伙伴的眼睛就变瞎了T_T
4.4.1 家族简述
该家族通常伪装成色情软件诱骗用户下载安装,同时它也会有一切其它恶意程序合作通过ROOT等强制安装方式将无图标的扣费木马强制安装到用户设备，安装成功了通过云端获取SP扣费信息,伺机窃取用户的话费。常见软件名有魅影视频,美女看看,禁播视频,禁片大全,无码神播。
4.4.2 技术点分析
(1) 从云端通过接口获取扣费信息,如扣费短信信息，包括目标号码，发送内容，发送间隔，拦截确认短信的关键词等信息。
解码后得出下列url：
***:8123/alp***/servlet/GetFeeInfo
***:8123/alp***/servlet/ADGetWapCfg
***:8123/alp***/servlet/GetWapUpload
(2) 启动后，启动activity调用方法检测app状态。
(3) 写入配置信息。
配置文件filter.data的信息。
Filter.data的部分内容如下：
(4) 接收不同action执行不同的操作。
(5) 接收action=com.android.sdk.rev.cmd.WapCfgCust后获取扣费信息。
(6) 抓包抓到从pay/servlet/ADGetWapCfg返回短信扣费的信息，如下：
(7) 读取并解析从网络端返回的数据。
(8) 解析数据后将扣费短信信息传送到SyncaService，设置渠道id并发送扣费短信。
(9) 监听接收短信广播，与Filter.data中的关键字内容进行比较，判断是否进行拦截及获取须回复的确认短信内容。
从Filter.data文件中cnfinfo_rule字段获取确认短信内容，并发送确认短信。
4.4.3 家族溯源信息
通过木马获取扣费信息的服务器域名进行溯源。
此人曾收sp业务壳，具有很大嫌疑。&
该家族伪装成色情播放器或系统应用进行传播,通过色情诱导下载或者恶意病毒安装到用户设备上,成功安装后将通过云端获取SP扣费信息,窃取用户话费.同时该家族还存在私自下载推广其它应用的行为.
4.5.1 病毒运行流程
4.5.2 技术点分析
(1) 样本启动后初始化信息
(2) Com.ks.bjt.a.g加载assets/kx调用com.kx.c.KXU
(3) Com.ks.bjt.a.g的a()到o()别对应com.rt.m.Mh.KXU中的a()到o()方法，分别进行获取广告资源，私自下载其他软件，私自发送短信，创建桌面快捷方式，检测手机运营商信息等操作；
(4) com.rt.m.Mh.KXU中各个方法对应的行为
(5) o(Context)方法调用excHqSPs方法从服务器获取扣费短信信息。
从服务器***oft.com/sp/getSPCode获取扣费短信信息。
从网络端返回的扣费短信信息，包括运营商，号码，信息内容，拦截短信关键词，地区等信息：
调用isCheckDay方法对比pre_file_name文件中的值是否过时。
pre_file_name文件内容：
调用saveSp方法，创建数据库sm.db，并把从网络端获取的数据经过筛选后保存进数据库。
数据库sm.db的内容：
(6) e(Context)方法 调用doSm(context)方法读取数据库中的扣费短信信息并发送短信。
拦截包含关键词的短信。
此家族主要伪装成系统应用,并且主要通过其它恶意程序进行传播,病毒成功安装后即向本地配置的SP号码发送扣费信息,导致用户话费被窃取。
该木马启动后通过onCreat方法中判断手机网络的标识号，根据其标识号发送对应的扣费短信内容到对应的号码，短信发送后弹出“程序错误”的信息。同时成功发送扣费信息后将隐藏图标避免用户发现。
主要伪装成游戏或者工具类应用进行传播,该木马在本地配置了一些固定的SP扣费信息,木马成功安装后将根据运营商发送特定的SP扣费短信,伺机窃取用户话费,扣费完成后会删除相关的扣费短信避免用户发现异常。
(1) 软件启动后启动服务MainService和 ForListen。
(2) MainService判断手机运营商类型，分别调用Sms1,Sms2,Sms3私自发送短信。
方法Sms1():
方法Sms2():
方法Sms3():
(3) 广播接收器Forboot拦截指定短信。
(4) 删除用户手机短信记录中的指定号码记录。
五 清理方案
使用腾讯手机管家卸载病毒即可清除，部分安装到手机系统的木马需要授予root权限。
六 安全建议
6.1 检查每个应用程序的权限：安装一个Android应用程序时,需要先确认程序所申请的权限，警惕短信相关的权限申请,一些手机厂商内置有权限管理软件,建议禁用非正规软件的短信权限以减少风险。
6.2 安装安全软件并保持更新： 安装腾讯手机管家之类的安全软件，可以及时发现木马病毒并帮助清除 。
6.3 从正规应用程序商店下载软件：Android应用市场鱼龙混杂，许多不正规的应用市场上线软件时并未经过安全检测，因此存在许多安全隐患,不要在小网站下载破解,修改版程序以减少风险 。
6.4 从正规渠道购买手机： 建议用户在购买新手机时应尽量选择大型正规卖场，避免手机系统被装入恶意预装软件。
6.5 养成产看账单详情的习惯： 建议用户在账单日及时查看消费详情的,及时发现可疑的扣费信息。
* 本文作者：腾讯手机管家（企业帐号），转载请注明来自FreeBuf.COM
必须您当前尚未登录。
必须（保密）
腾讯手机管家是腾讯旗下一款永久免费的手机安全与管理软件。功能包括病毒查杀、骚扰拦截、支付保护、隐私保护、手机防盗等安全防护，此外还支持用户流量监控、垃圾清理、手机加速、手机瘦身、免费WiFi、软件管理、相册管理、来电秀、手机备份、提醒助手等高端智能化功能，不仅是安全专家，更是用户的贴心管家。
关注我们 分享每日精选文章运营商应及时修改代扣费模式漏洞_观点评论_财经_中金在线
扫描或点击关注中金在线客服
下次自动登录
其它账号登录：
|||||||||||||||||||||||
>>&&>> &正文
运营商应及时修改代扣费模式漏洞
来源：东方网
作者：江德斌&&&
中金在线微博
扫描二维码
中金在线微信
扫描或点击关注中金在线客服
　　点击了手机上的“街机斗地主”图标，发现自己被扣了10元钱，因认为移动北京公司属于乱收费，法学教授何先生将该公司告上法院，要求退还10元钱及立案产生的相关费用等共计55元。移动北京公司辩称，这笔费用是根据与斯凯网络公司协议的代收行为，移动北京公司并不存在多收费用的问题，何先生也没有证据证明移动北京公司多扣话费。(9月12日《北京青年报》)
　　很显然，何先生点到了游戏公司的收费软件，移动公司是以代扣话费的形式，帮助游戏公司收费。虽然这是移动公司与游戏公司之间的合作，但因涉及到用户的经济利益，应依法提前告知，并经过用户同意、点击确认之后，才能扣费。而在该案里，何先生并未接收到收费提示信息，就被移动公司扣掉10元钱，显然是有违相关规定的做法，北京移动公司应退还何先生被扣掉的10元钱，并向其道歉。
　　目前，手机游戏公司与运营商合作收费模式非常普遍，主要是利用运营商的通道，可以直接拿用户的话费抵扣，这种模式确实很方便快捷，一度被称为运营商的创新服务。但是，用户的话费一般是按月结算账单，代扣费又往往不显示游戏费，而是以短信息费、服务费等名义扣除，用户不容易察觉到。近年来，频频曝光的“熊孩子”玩游戏“天价花费”事件，其中就有因手机代扣程序过于简单，导致小孩子都能轻易操作，家长却被蒙在鼓里。
　　手游公司的推广服务，又大多由第三方代理公司负责，如此就存在可乘之机，部分推广公司利用代扣话费的程序漏洞，发送诱导链接，未经过用户授权或同意，就擅自代扣话费，实则属于侵权行为。
　　而且，由于话费账单结算存在周期，还给游戏推广商和“羊毛党”创造机会。部分人购买后付费手机卡，透支运营商的话费购买游戏币、QQ钻石等牟利，形成所谓的爆卡产业链，造成三大运营商话费坏账高企，近几年坏账准备均维持在百亿以上。
　　可见，运营商替游戏公司代扣话费的收费模式，存在很大的程序漏洞和坏账率，给用户和运营商造成巨大的经济损失。应尽快修改代扣费模式，完善提示告知流程，让用户能够及时了解被扣费的原因所在，并反复确认用户是否清楚认知和同意，再去完成扣费手续，以避免用户不知情，或者被游戏公司、代理公司钻空子。同时，运营商也要加强后付费卡的管理，将消费额度降低，以控制爆卡风险，防范“羊毛党”借机牟利。
　　代扣话费本是一种较为先进的移动支付，可以拓展运营商的消费渠道，打通运营商与消费市场，扩大经营范围，连接更多商家，形成利润增长点。但是，因代扣话费模式存在的爆卡漏洞，以及合作商家的不规范行为，令代扣话费沦为部分人的非法牟利工具，损害到运营商信誉和用户权益，拖累运营商错过了移动支付产业的最佳发展期，实则太过可惜。运营商应以此为鉴，对于创新业务要慎重推动，并及时根据市场反馈信息，进行快速迭代升级，弥补相关漏洞，避免给不法分子利用。
责任编辑：cnfol001
我来说两句
24小时热门文章
栏目最新文章怎样能在手机上玩游戏而不扣话费_百度知道
怎样能在手机上玩游戏而不扣话费
像冒泡游戏，斯凯mrp游戏，在下载后必须支费才能玩
我有更好的答案
可以在下载游戏那个网页里，找资费全免的游戏，那种游戏就只有下载时会用些流量，下载完了，玩游戏时，里面都不会真正的扣钱的……望采纳
1、关闭梦网开关；2、改中心号码；3、用废卡
为您推荐：
其他类似问题
玩游戏的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。手机今天被亲戚家小孩玩神庙逃亡扣了20话费，我是移动卡，能不能要过来，怎么要？_百度宝宝知道