2017第一季度安卓簡訊扣費木馬研究：七成扣費木馬擅長以」用戶的名義」騙取話費

一、摘要

1.1 話費作為的最便捷的支付，比較適合「悶聲發大財」。

隱藏在話費背後的SP服務可以很方便的幫助不懷好意的人將用戶話費放到自己的口袋，少則扣費幾十元，多則可能消費幾百元積少成多累計起來也是暴力。比如前段時間首起惡意扣費軟體案影響設備數600萬台，非法獲利6726餘萬元。

1.2 簡訊扣費類木馬分為兩大流派。

勢力最大的一派以暗扣類遊戲為主(佔據市場份額最大)，它們深諳用戶用戶心理，利用用戶操作習慣，設置陷阱誘騙用戶點擊通過訂閱SP服務進行變現。另外一派則以後台無圖標應用為主,通過ROOT惡意木馬，ROM預裝等方式偷偷潛伏進去用戶設備，後台自動發送SP扣費簡訊進行變現。

1.3 從SP扣費信息來源看，分成本地硬編碼和雲端平台獲取兩種。

本地硬編碼含有幾個或者幾十個扣費通道，雲端平台是一種無窮無盡的扣費通道,SP不死就可以持續扣費，目前主流的簡訊扣費以雲端獲取為主，木馬通常還自帶清理現場的功能。

1.4 從產業鏈上看,SP代理商,流量商,以及開發者是產業鏈中的主要角色。

開發者從SP代理商獲取到SP扣費信息植入到應用中，然後從流量商手中購買流量將惡意應用安裝到用戶手機,最終通過訂閱各類SP服務變現。

1.5 簡訊扣費木馬的主要傳播渠道主要有五種。

從傳播渠道看，主要有遊戲破解網站、軟體下載站、廣告聯盟、部分應用市場以及一些地下黑流量推廣(比如通過色情播放器傳播)。

1.6 從攔截的簡訊扣費木馬的家族看,有能力大規模傳播的還是少數。

目前騰訊反詐騙實驗室通過海量樣本分析發現，簡訊扣費木馬主要包含有以下病毒家族：

二、背景

2.1 用戶安裝盜版或者修改版遊戲被惡意扣費

2.2 首起惡意扣費軟體案涉案金額6700萬元

2.3 話費支付的正確打開方式和惡意實現

三、簡訊扣費木馬影響面

3.1 用戶感染趨勢變化

3.1.1 今年1月份開始感染用戶開始飆升,並且逐步處於穩步微增的

3.1.2 從感染區域分布看,從大到小排序 廣東,四川,河南,湖南,江蘇,貴州,廣西等

3.1.3 簡訊扣費木馬變化趨勢

從收集樣本數看,簡訊扣費木馬樣本數處於增長趨勢,4月份尚未過半,樣本收集量已經接近3月份的總量。

3.2 扣費惡意代碼寄生的應用類型

(1) 剛需色情,用戶主動下載或被推廣安裝

(2) 娛樂遊戲,用戶主動下載或推廣安裝

(3) 無圖標或者偽裝系統應用,通過惡意推廣或ROM內置

3.3 主要傳播渠道

(1) 惡意廣告推廣：用戶訪問小說、視頻網站彈出的惡意廣告。

(2) 應用市場：這些應用市場對於應用的安全性要求較低,惡意應用很容易就可以上架傳播。

(3) 軟體或遊戲下載站：提供各種破解,修改版應用下載,存在一些誘導下載廣告位或惡意應用下載。

(4) 暗流量：已經潛伏在用戶電腦內的惡意應用,通過彈窗,誘導提示或者靜默自動推廣。

(5) ROM內置：通過與一些山寨機合作直接植入到ROM內,或在終端出廠後在銷售環節植入。

3.4 傳播四步驟

* 木馬作者通過SP代理商獲取獲得扣費通道。

* 木馬作者將惡意扣費代碼封裝到惡意應用。

* 木馬作者購買流量,通過各種渠道將惡意應用推廣安裝到用戶手機。

* 用戶手機中招,通過SP訂閱服務，木馬作者牟利，各方按照協議進行分成皆大歡喜.。

四 流行簡訊扣費木馬家族

4.1 簡訊扣費五大家族

4.2 各家族的技術點對比

4.3 遊戲土匪

此類型是目前最常見的類型，影響面也是最廣的。通常手段是重打包其他遊戲，植入扣費項目，在用戶遊戲過程中頻繁彈出誘導性彈框，經常使用「禮包」，「領取」,」免費」,」優惠」等字眼誘導用戶點擊，並故意弱化收費提示，讓用戶誤以為可以免費領取，用戶點擊後將通過話費購買道具。

此類型木馬因為來錢快屬於暴利行業,為了提升扣費的用戶體驗以及對抗檢測一直處於攻防對抗中，扣費信息從一開始本地硬編碼，到如今普遍通過雲端控制下發;扣費彈框的提示逐漸弱化扣費提示信息,以誘騙更多的用戶點擊。

【弱化提示】：扣費提示人眼可見,但是可以放在用戶不容易注意的地方。

【背景色隱藏】：將扣費隱藏在淺色背景中,刻意突出遊戲按鈕。

【遊戲過程中扣費提示】：用戶玩的如痴如醉,腦袋犯渾的時候,要不要扣個費玩玩?

【遊戲過程中道具】：要想變得更強,裝備當然得升級下,當然變強的機會你需要你的手機話費充足。

【進擊的用戶體驗】：用戶越來越小心,收入下降了怎麼辦,於是小夥伴的眼睛就變瞎了T_T

4.4 梵偷

4.4.1 家族簡述

該家族通常偽裝成色情軟體誘騙用戶下載安裝,同時它也會有一切其它惡意程序合作通過ROOT等強制安裝方式將無圖標的扣費木馬強制安裝到用戶設備，安裝成功了通過雲端獲取SP扣費信息,伺機竊取用戶的話費。常見軟體名有魅影視頻,美女看看,禁播視頻,禁片大全,無碼神播。

4.4.2 技術點分析

(1) 從雲端通過介面獲取扣費信息,如扣費簡訊信息，包括目標號碼，發送內容，發送間隔，攔截確認簡訊的關鍵詞等信息。

解碼後得出下列url：

http://139.196.36.***:8123/alp***/servlet/GetFeeInfo

http://139.196.36.***:8123/alp***/servlet/ADGetWapCfg

http://139.196.36.***:8123/alp***/servlet/GetWapUpload

(2) 啟動後，啟動activity調用方法檢測app狀態。

(3) 寫入配置信息。

配置文件filter.data的信息。

Filter.data的部分內容如下：

(4) 接收不同action執行不同的操作。

(5) 接收action=com.android.sdk.rev.cmd.WapCfgCust後獲取扣費信息。

(6) 抓包抓到從pay/servlet/ADGetWapCfg返回簡訊扣費的信息，如下：

(7) 讀取並解析從網路端返回的數據。

(8) 解析數據後將扣費簡訊信息傳送到SyncaService，設置渠道id並發送扣費簡訊。

(9) 監聽接收簡訊廣播，與Filter.data中的關鍵字內容進行比較，判斷是否進行攔截及獲取須回復的確認簡訊內容。

從Filter.data文件中cnfinfo_rule欄位獲取確認簡訊內容，並發送確認簡訊。

4.4.3 家族溯源信息

通過木馬獲取扣費信息的伺服器域名進行溯源。

此人曾收sp業務殼，具有很大嫌疑。

4.5 雲偷

該家族偽裝成色情播放器或系統應用進行傳播,通過色情誘導下載或者惡意病毒安裝到用戶設備上,成功安裝後將通過雲端獲取SP扣費信息,竊取用戶話費.同時該家族還存在私自下載推廣其它應用的行為.

4.5.1 病毒運行流程

4.5.2 技術點分析

(1) 樣本啟動後初始化信息

(2) Com.ks.bjt.a.g載入assets/kx調用com.kx.c.KXU

(3) Com.ks.bjt.a.g的a()到o()別對應com.rt.m.Mh.KXU中的a()到o()方法，分別進行獲取廣告資源，私自下載其他軟體，私自發送簡訊，創建桌面快捷方式，檢測手機運營商信息等操作；

(4) com.rt.m.Mh.KXU中各個方法對應的行為

(5) o(Context)方法調用excHqSPs方法從伺服器獲取扣費簡訊信息。

從伺服器http://ldjk.t***oft.com/sp/getSPCode獲取扣費簡訊信息。

從網路端返回的扣費簡訊信息，包括運營商，號碼，信息內容，攔截簡訊關鍵詞，地區等信息：

調用isCheckDay方法對比pre_file_name文件中的值是否過時。

pre_file_name文件內容：

調用saveSp方法，創建資料庫sm.db，並把從網路端獲取的數據經過篩選後保存進資料庫。

資料庫sm.db的內容：

(6) e(Context)方法 調用doSm(context)方法讀取資料庫中的扣費簡訊信息並發送簡訊。

攔截包含關鍵詞的簡訊。

4.6 笨偷

此家族主要偽裝成系統應用,並且主要通過其它惡意程序進行傳播,病毒成功安裝後即向本地配置的SP號碼發送扣費信息,導致用戶話費被竊取。

該木馬啟動後通過onCreat方法中判斷手機網路的標識號，根據其標識號發送對應的扣費簡訊內容到對應的號碼，簡訊發送後彈出「程序錯誤」的信息。同時成功發送扣費信息後將隱藏圖標避免用戶發現。

4.7 截偷

主要偽裝成遊戲或者工具類應用進行傳播,該木馬在本地配置了一些固定的SP扣費信息,木馬成功安裝後將根據運營商發送特定的SP扣費簡訊,伺機竊取用戶話費,扣費完成後會刪除相關的扣費簡訊避免用戶發現異常。

(1) 軟體啟動後啟動服務MainService和 ForListen。

(2) MainService判斷手機運營商類型，分別調用Sms1,Sms2,Sms3私自發送簡訊。

方法Sms1():

方法Sms2():

方法Sms3():

(3) 廣播接收器Forboot攔截指定簡訊。

(4) 刪除用戶手機簡訊記錄中的指定號碼記錄。

五 清理方案

使用騰訊手機管家卸載病毒即可清除，部分安裝到手機系統的木馬需要授予root許可權。

六 安全建議

6.1 檢查每個應用程序的許可權

：安裝一個Android應用程序時,需要先確認程序所申請的許可權，警惕簡訊相關的許可權申請,一些手機廠商內置有許可權管理軟體,建議禁用非正規軟體的簡訊許可權以減少風險。

6.2 安裝安全軟體並保持更新

： 安裝騰訊手機管家之類的安全軟體，可以及時發現木馬病毒並幫助清除 。

6.3 從正規應用程序商店下載軟體

：Android應用市場魚龍混雜，許多不正規的應用市場上線軟體時並未經過安全檢測，因此存在許多安全隱患,不要在小網站下載破解,修改版程序以減少風險 。

6.4 從正規渠道購買手機

： 建議用戶在購買新手機時應盡量選擇大型正規賣場，避免手機系統被裝入惡意預裝軟體。

6.5 養成產看賬單詳情的習慣

： 建議用戶在賬單日及時查看消費詳情的,及時發現可疑的扣費信息。

* 本文作者：騰訊手機管家（企業帳號），轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: