ITBear旗下自媒体矩阵:

“吸血狂徒”来袭,AVG提醒您小心您的手机资费

   时间:2012-03-27 11:41:24 来源:互联网编辑:星辉 发表评论无障碍通道

手机已经成为人们日常生活必不可少的一部分,近几年越来越多的人习惯了在享受运营商提供服务的同时,也要缴纳相应服务费。随着移动互联的进步与发展,手机资费账户也正在向电子钱包化迈进。正因为这样,恶意应用的血盆大口也毫无遮拦的瞄准了用户的手机资费!

近日,AVG中国实验室监测到了一款中国本土制造的“吸血狂徒”日历应用,为了吸走用户手机中的资费,制造者可谓是煞费苦心。

作者为了减少开发成本并迷惑用户,篡改了国内某日历应用,将其 “改造”为一款看似日历功能的恶意应用,可谓是“挂羊头,卖狗肉”。以日历应用伪装后,首先获取用户服务商及本人所在地,再针对用户所使用的不同服务商及地域,发送短信,实现不同运营商、地区灵活配置,以订阅SP服务,最后截拦SP订阅的确认信息,致使用户在一无所知的情况下被扣费,是名副其实的吸血日历。作者还不忘给他的“新”应用起一个好听的名字,意为祝用户百事大吉大利,同时更换了应用图标,无良与疯狂曝露无遗,这一切,只是为了能更方便取走用户的“血汗”。

下图为包名窜改细节,左侧为恶意应用,右侧为原应用:

作者在原应用基础上增加了一个名为DownManager的服务和一个名为RegReceiver的通知响应模块:

应用申请了:自启动,读取、编写、收发短信,获取位置等权限:

<uses-permission android:name="android.permission.GET_TASKS" />
<uses-permission android:name="android.permission.INTERNET" />
<uses-permission android:name="android.permission.READ_PHONE_STATE" />
<uses-permission android:name="android.permission.VIBRATE" />
<uses-permission android:name="android.permission.READ_LOGS" />
<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
<uses-permission android:name="android.permission.ACCESS_COARSE_LOCATION" />
<uses-permission android:name="android.permission.ACCESS_FINE_LOCATION" />
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" />
<uses-permission android:name="android.permission.ACCESS_WIFI_STATE" />
<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" />
<uses-permission android:name="android.permission.MANAGE_ACCOUNTS" />
<uses-permission android:name="android.permission.USE_CREDENTIALS" />
<uses-permission android:name="android.permission.GET_ACCOUNTS" />
<uses-permission android:name="android.permission.RESTART_PACKAGES" />
<uses-permission android:name="android.permission.READ_CONTACTS" />
<uses-permission android:name="android.permission.READ_SMS" />
<uses-permission android:name="android.permission.RECEIVE_SMS" />
<uses-permission android:name="android.permission.SEND_SMS" />
<uses-permission android:name="android.permission.WRITE_SMS" />
<uses-permission android:name="android.permission.RECORD_AUDIO" />

权限信息

DownManager:

恶意代码节点关系图

经分析DownManager服务为恶意程序主要区域,在开发过程中,作者采用了后台线程;作者同时还考虑了中文系统和英文系统的不同,同时搭建了命令与控制服务器用于控制恶意代码执行开关,程序还可自行随机生成不同的配置文件,且过程并不只发生一次,间隔一段时间,会再次订阅,导致扣费,可谓费尽心思的“吸血狂徒”。

一号节点:

二号节点

A.

B.

三号节点:

RegReceive

RegReceiver为截拦短信恶意代码块,专门用于拦截SP厂商的确认回复信息,使用户无法看到SP或运营商回复的短信,至使用户莫名扣费。

代码部分:

运营商匹配:

命令与控制服务器:

SP信息、服务定制码、运营商信息:

省份信息:

如何清除:

AVG手机安全-永久免费中文版即可轻松防御与清除此类恶意应用,并且提供贴心的加密、优化、备份等各项手机管理功能。无论是应用安装前或安装后,免费且高效。轻击小药丸,轻松解决您的手机安全问题。

如何防范:

1、 谨慎审查您所安装应用的权限,小心一些需要敏感权限的应用。

2、 针对目前恶意修改应用的情况,用户应尽量去市场下载知名厂商的应用,或直接登录该厂商的官方网站下载。

3、 针对目前中国用户的特殊情况,选择市场亦应选择较为正规的市场去下载应用。

4、 如果您勾选了“未知源”,请谨慎对待您所安装的程序。

最后,如果您只想简单的用好您的手机,并不想思考那么多琐碎的安全细节,您可以直接安装AVG手机反病毒软件

下载地址及二维码:https://play.google.com/store/apps/details?id=com.antivirus

轻击小药丸,坐拥安全梦

举报 0 收藏 0 打赏 0评论 0
 
 
更多>同类资讯
全站最新
热门内容
网站首页  |  关于我们  |  联系方式  |  版权声明  |  RSS订阅  |  开放转载  |  滚动资讯  |  争议稿件处理  |  English Version