《揭開手機(jī)吸費(fèi)病毒的神秘面紗》研究報(bào)告

《揭開手機(jī)吸費(fèi)病毒的神秘面紗》研究報(bào)告

隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，手機(jī)吸費(fèi)病毒作為一種新的手機(jī)病毒形式開始進(jìn)入人們的視線?！拔M(fèi)海盜王”、“美女勾魂吸費(fèi)大盜”等吸費(fèi)病毒近期陸續(xù)被騰訊移動(dòng)安全實(shí)驗(yàn)室等手機(jī)安全機(jī)構(gòu)公之于眾，被查獲的病毒不僅覆蓋了Android、SymbianV3V5等智能機(jī)操作系統(tǒng)、也覆蓋了Kjava等功能手機(jī)操作系統(tǒng)。吸費(fèi)病毒的頻繁出現(xiàn)，引發(fā)手機(jī)用戶不同程度上的疑慮和對移動(dòng)安全的擔(dān)憂。騰訊移動(dòng)安全實(shí)驗(yàn)室最新的網(wǎng)絡(luò)調(diào)研數(shù)據(jù)顯示，26%的用戶遭遇過手機(jī)病毒，而38%的用戶對于手機(jī)病毒最大的擔(dān)心在于扣費(fèi)、吸費(fèi)。對于手機(jī)吸費(fèi)病毒的成因、吸費(fèi)原理、傳播方式、產(chǎn)業(yè)鏈狀況、以及規(guī)避對策等相關(guān)知識，73%的被調(diào)研用戶表示希望了解。為了幫助用戶更好的了解手機(jī)安全，解答手機(jī)用戶關(guān)于吸費(fèi)病毒的各類疑問，更好地保護(hù)用戶手機(jī)安全，騰訊移動(dòng)安全實(shí)驗(yàn)室專家采用專業(yè)的技術(shù)手段，對手機(jī)吸費(fèi)病毒的相關(guān)信息進(jìn)行全方位的解讀、定位和剖析，并形成了實(shí)驗(yàn)室首份移動(dòng)安全報(bào)告——《揭開手機(jī)吸費(fèi)病毒的神秘面紗》，以饗讀者。本報(bào)告所有內(nèi)容均為騰訊移動(dòng)安全實(shí)驗(yàn)室及旗下QQ手機(jī)管家、在線查毒平臺、惡意線索舉報(bào)平臺通過對各類吸費(fèi)病毒樣本和病毒產(chǎn)業(yè)鏈進(jìn)行細(xì)致研究后所得成果，如有引用，請注明出處。第二章：吸費(fèi)病毒原理騰訊移動(dòng)安全實(shí)驗(yàn)室發(fā)現(xiàn)，吸費(fèi)病毒的主要原理是通過自行發(fā)短信、拔打語音扣費(fèi)電話，同時(shí)會(huì)刪除或屏蔽收費(fèi)相關(guān)的運(yùn)營商回執(zhí)短信、拔打電話、Wap上網(wǎng)等記錄，讓用戶完全在不知不覺中被扣費(fèi)。2.1短信業(yè)務(wù)的扣費(fèi)原理：（圖1）短信業(yè)務(wù)扣費(fèi)原理示意圖2.2聲訊/IVR業(yè)務(wù)的扣費(fèi)原理：在手機(jī)后臺自動(dòng)撥打IVR電話，然后把撥打的相應(yīng)記錄刪除。2.3WAP業(yè)務(wù)的扣費(fèi)原理：自動(dòng)后臺點(diǎn)擊扣費(fèi)節(jié)點(diǎn)。2.4其他運(yùn)營商增值業(yè)務(wù)的扣費(fèi)原理：彩鈴/炫鈴/七彩鈴的下載，采用短信、或IVR、或WAP訂購的方式。第三章：病毒的傳播途徑騰訊移動(dòng)安全實(shí)驗(yàn)室研究發(fā)現(xiàn)，目前手機(jī)吸費(fèi)病毒一般以嵌入正常功能軟件、熱門軟件為主要載體，散播在眾多論壇、電子市場、刷機(jī)ROM里，用戶把這當(dāng)作原版、加強(qiáng)版、破解版、美化版進(jìn)行下載。3.1載體偽裝途徑：i.嵌在其他熱門的正常軟件里：嵌在知名游戲軟件、工具軟件中ii.專門開發(fā)出一種帶功能性的免費(fèi)軟件，把病毒嵌入iii.扣費(fèi)病毒不立即安裝，先安裝一個(gè)木馬病毒，待用戶量一定的時(shí)候，通過服務(wù)器給指令下載相關(guān)的扣費(fèi)病毒，靜默安裝iv.偽裝在主題類軟件中，這是塞班最為常見的病毒載體v.偽裝為系統(tǒng)升級軟件，諾基亞手機(jī)上經(jīng)常出現(xiàn)vi.偽裝為殺毒軟件，以前曾出現(xiàn)過偽360、偽卡巴等3.2多種傳播方式：i.群發(fā)內(nèi)容為類似運(yùn)營商發(fā)送的服務(wù)短信，短信內(nèi)有鏈接，鏈接域名搞成類似運(yùn)營商網(wǎng)址迷惑用戶，如“偽升級扣費(fèi)木馬”，就使用http://1OO86.net（用字母O來偽裝數(shù)字0）的域名來提供下載。ii.在嵌入到多個(gè)熱門軟件后，把這些軟件散布到各熱門手機(jī)論壇與電子市場中，再運(yùn)作一些破解、優(yōu)化、美化、漢化、必裝等字眼來誘惑用戶下載安裝，用戶防不勝防。iii.按正常有功能的軟件來進(jìn)行傳播。iv.偽裝以該品牌該型號的補(bǔ)丁升級進(jìn)行傳播。v.集成在刷機(jī)ROM。vi.集成在一鍵安裝包里。第四章愈來愈隱蔽的病毒吸費(fèi)隨著扣費(fèi)、屏蔽、云端控制技術(shù)的不斷成熟，病毒吸費(fèi)呈現(xiàn)出愈來愈隱蔽甚至無聲無息的趨勢。4.1技術(shù)成熟讓病毒吸費(fèi)愈來愈隱蔽i.以前的病毒技術(shù)，一般是內(nèi)置扣費(fèi)的指令代碼到病毒軟件中，用戶安裝軟件后，短時(shí)間內(nèi)便會(huì)發(fā)作進(jìn)行扣費(fèi)；ii.現(xiàn)在的技術(shù)，則已經(jīng)發(fā)展到很成熟，很隱蔽：發(fā)送的扣費(fèi)短信的指令、端口號、發(fā)送時(shí)間、發(fā)送頻率均能做到云端（服務(wù)器）控制，做到短信指令、端口號，可以根據(jù)用戶所在的地區(qū)、SIM卡所屬的運(yùn)營商進(jìn)行可扣費(fèi)的配置，并且可以隨時(shí)更改；（圖2）吸費(fèi)海盜王病毒反編譯分析iii.[f1]現(xiàn)在的技術(shù)都能輕易做到，在本機(jī)刪除相關(guān)的扣費(fèi)回執(zhí)記錄，包括特定運(yùn)營商扣費(fèi)短信、撥號記錄、WAP上網(wǎng)記錄。4.2“悄悄潛伏”讓吸費(fèi)病毒愈來愈隱蔽：i.不會(huì)立即發(fā)作，可以選擇時(shí)間發(fā)作，如：等午夜時(shí)候才偷偷扣費(fèi)；ii.不會(huì)立即發(fā)作，從服務(wù)器取指令，按指令配置發(fā)作時(shí)間與方式；iii.安裝后，偽裝為正常進(jìn)程的名字，如系統(tǒng)進(jìn)程，或其他軟件進(jìn)程進(jìn)行潛伏；iv.用戶量潛伏，一些病毒制造者很有耐性，等被嵌入病毒的軟件用戶到達(dá)一定量后，才偷偷扣費(fèi)。第五章典型吸費(fèi)病毒案例5.1偽升級扣費(fèi)木馬病毒傳播者利用向用戶發(fā)送“中國移動(dòng)提醒您，檢測到您的手機(jī)存在安全漏洞，請點(diǎn)擊下載并安裝安全補(bǔ)丁http://1OO86.net/****.apk/sisx”（這里是字母“O”冒充數(shù)字“0”）的WAPPUSH短信，分別針對塞班與安卓發(fā)送識配的安裝包，該病毒應(yīng)該是拿到部分的用戶號碼與機(jī)型，用戶點(diǎn)擊下載安裝后，病毒安裝沒有圖標(biāo)產(chǎn)生，并自動(dòng)向“1062****”等端口號發(fā)送業(yè)務(wù)訂購短信，同時(shí)還會(huì)屏蔽10086發(fā)給用戶的所有信息，用戶在毫不知情的情況下，被惡意扣取資費(fèi)。（圖3）QQ手機(jī)管家查殺偽升級扣費(fèi)木馬5.2偽卡巴扣費(fèi)木馬、偽殺毒搶錢王等這幾個(gè)病毒主要是偽裝為殺毒軟件，用戶安裝后，立即假裝掃描手機(jī)內(nèi)的文件，然后謊稱查到幾個(gè)殺毒軟件，需要用戶付費(fèi)**元查殺病毒。（圖4）QQ手機(jī)管家掃描偽殺毒病毒報(bào)告5.3吸費(fèi)海盜王此病毒嵌入到一款國外著名的游戲軟件里，散布在幾個(gè)大的論壇與電子市場上，另外，病毒發(fā)作時(shí)也是隱蔽的短信扣費(fèi)，扣費(fèi)指令與發(fā)送時(shí)機(jī)由云端配置，但這個(gè)病毒在扣費(fèi)成功后，還會(huì)向固定的幾個(gè)手機(jī)號碼發(fā)送扣費(fèi)手機(jī)的IMEI號等信息，部分存在分成對帳的可能。（圖5）QQ手機(jī)管家截獲“吸費(fèi)海盜王”病毒（圖6）“吸費(fèi)海盜王”病毒云端控制功能以及竊取用戶隱私5.4美女勾魂吸費(fèi)大盜病毒嵌入到三款叫“美女**”的工具軟件中，安裝后，偽裝為系統(tǒng)進(jìn)程，讓用戶不容易發(fā)現(xiàn)，并進(jìn)行暗中短信扣費(fèi)。（圖7）QQ手機(jī)管家查殺美女勾魂吸費(fèi)大盜病毒（圖8）美女勾魂病毒偽裝成系統(tǒng)程序“設(shè)置”5.5饑渴吸費(fèi)魔此病毒嵌入了許多款的正常軟件中，這些軟件曾經(jīng)遍布多個(gè)大論壇與電子市場，發(fā)作時(shí)，除了由云端配置隱蔽的短信扣費(fèi)外，還會(huì)偷偷盜打IVR電話，此病毒的發(fā)現(xiàn)，表明吸費(fèi)已經(jīng)從短信，橫向跨度到IVR了。（圖9）饑渴吸費(fèi)魔嵌入了許多款正常軟件第六章手機(jī)吸費(fèi)病毒發(fā)展趨勢預(yù)測6.1灰色產(chǎn)業(yè)鏈呈現(xiàn)逐漸成熟的趨勢。目前，吸費(fèi)病毒的產(chǎn)業(yè)鏈已經(jīng)呈現(xiàn)出不斷成熟的趨勢，從病毒開發(fā)、病毒營銷傳播、病毒吸費(fèi)拓展（找SP合作）、病毒收益對帳分成等環(huán)節(jié)，都有相應(yīng)專業(yè)的角色或功能相對應(yīng)。簡單來說，就是病毒從用戶手機(jī)私自扣費(fèi)后，相關(guān)產(chǎn)業(yè)鏈的角色都能從中分取利益，特別是病毒開發(fā)、營銷，還有SP。6.2吸費(fèi)病毒變種越來越多。由于吸費(fèi)病毒技術(shù)已經(jīng)不斷完善，可以通過云端服務(wù)器隨意控制扣費(fèi)端口、扣費(fèi)時(shí)間、扣費(fèi)頻率，可根據(jù)用戶所在地SIM卡運(yùn)營商對扣費(fèi)方式進(jìn)行配置，因此吸費(fèi)病毒可以不斷變種。再加上當(dāng)前智能手機(jī)應(yīng)用種類豐富，病毒有了可以不斷復(fù)制的條件，只要將原病毒代碼稍作修改一些參數(shù)、變量，嵌入不同的手機(jī)應(yīng)用中，都可以成為一款新吸費(fèi)病毒。6.3規(guī)?？赡艹^PC產(chǎn)業(yè)。此外，手機(jī)吸費(fèi)病毒產(chǎn)業(yè)鏈已經(jīng)開始逐步完善，從制毒到傳播，再到找SP扣費(fèi)等一系列環(huán)節(jié)都有專人負(fù)責(zé)，每個(gè)環(huán)節(jié)都能夠精準(zhǔn)的獲得吸費(fèi)分成，因此手機(jī)吸費(fèi)病毒產(chǎn)業(yè)會(huì)呈現(xiàn)不斷發(fā)展壯大趨勢，手機(jī)用戶數(shù)量遠(yuǎn)遠(yuǎn)大于PC用戶數(shù)，智能終端大面積普及，手機(jī)吸費(fèi)病毒規(guī)?？赡軙?huì)遠(yuǎn)高于PC病毒產(chǎn)業(yè)。6.4用戶維權(quán)取證難。與此同時(shí)，手機(jī)吸費(fèi)病毒相比PC病毒更容易直接獲益，而且對于每個(gè)被吸費(fèi)用戶來說只是幾元到幾十元不等，由于數(shù)額較小，單個(gè)受害者很難維權(quán)。加上其高超的偽裝術(shù)，自動(dòng)定制服務(wù)，自動(dòng)刪除扣費(fèi)回執(zhí)信息，導(dǎo)致用戶很難發(fā)現(xiàn)被吸費(fèi)，即使發(fā)現(xiàn)被吸費(fèi)之后，也難以對吸費(fèi)病毒的作案行為進(jìn)行有效取證，無法通過技術(shù)手段證明是病毒私自定制了服務(wù)，而不是用戶定制了服務(wù)，因此最終都不了了之。第七章關(guān)于移動(dòng)安全的用戶常見誤區(qū)誤區(qū)一：手機(jī)病毒、木馬很可怕1)正確看待手機(jī)病毒和木馬可能帶來的危害病毒與木馬，可以實(shí)現(xiàn)多種危害，危害從高至低排序有：惡意扣費(fèi)、遠(yuǎn)程控制、隱私竊取、惡意傳播、資費(fèi)消耗、系統(tǒng)破壞、詐騙欺詐、流氓行為等，取其中幾項(xiàng)舉例說明如下：a)危害比較高的：（1）惡意扣費(fèi)：通過隱蔽執(zhí)行、欺騙用戶點(diǎn)擊等手段，訂購各類收費(fèi)業(yè)務(wù)或使用手機(jī)支付，導(dǎo)致用戶經(jīng)濟(jì)損失的；（2）遠(yuǎn)程控制：能夠接受遠(yuǎn)程控制端指令并進(jìn)行相關(guān)操作。（3）獲取涉及用戶隱私信息，如用戶的通訊內(nèi)容、郵件內(nèi)容，各種手機(jī)上的帳號密碼，各種文件、照片、通訊錄等。b)危害比較低的：流氓行為，如自動(dòng)添加、修改、刪除收藏夾、快捷方式，彈出廣告窗口，不能退出軟件，無法正常卸載、刪除等。2)移動(dòng)病毒和木馬的產(chǎn)業(yè)鏈發(fā)展?fàn)顩r目前尚未成熟移動(dòng)病毒和木馬已經(jīng)發(fā)展到產(chǎn)業(yè)鏈驅(qū)動(dòng)，如惡意扣費(fèi)木馬，就分為病毒制造者、病毒傳播運(yùn)營、病毒扣費(fèi)商務(wù)拓展、病毒扣費(fèi)SP等的角色?，F(xiàn)在，惡意扣費(fèi)木馬的技術(shù)一般包括軟件篡改、偽裝傳播、云端控制、根據(jù)用戶不同的區(qū)域進(jìn)行不同形式的扣費(fèi)等技術(shù)，這些技術(shù)已經(jīng)比較成熟，使用同樣的技術(shù)，只要修改不同的類名，進(jìn)行不同的打包，就可以復(fù)制為新的病毒。整個(gè)移動(dòng)病毒和木馬的產(chǎn)業(yè)鏈發(fā)展?fàn)顩r相對PC尚不成熟。誤區(qū)二：沒有多少移動(dòng)病毒和木馬，因?yàn)槲液臀业呐笥讯紱]有遇到過現(xiàn)發(fā)現(xiàn)的手機(jī)病毒與木馬已超千種，被感染的軟件已超萬個(gè)?，F(xiàn)在的病毒與木馬技術(shù)日漸成熟，且趨向于隱蔽化與智能化，可以使手機(jī)用戶在感覺不到中毒的情況下就已經(jīng)產(chǎn)生了危害。拿惡意扣費(fèi)木馬來舉例：1)例一：隱蔽偽裝與傳播方式：病毒和木馬采用多種方式進(jìn)行偽裝，如：把惡意代碼嵌入到眾多的熱門軟件中，或者開發(fā)一個(gè)正常功能類的軟件，然后把這些軟件散布到各熱門論壇與電子市場中，再運(yùn)作一些破解、優(yōu)化、美化、漢化、必裝、最強(qiáng)等字眼來誘惑用戶下載安裝，用戶安裝了這個(gè)軟件后，病毒和木馬就已經(jīng)被安裝到移動(dòng)設(shè)備上了。2)例二：采用提示升級的方式進(jìn)行安裝：先提供完全沒有問題的正常的軟件給用戶安裝，軟件在使用一段時(shí)間后，提示軟件升級，在用戶確認(rèn)同意升級時(shí)，才下升安裝了病毒包。3)例三：潛伏伺機(jī)發(fā)作：一般是安裝的時(shí)候不立即發(fā)作，伺機(jī)聯(lián)網(wǎng)從云端獲取指令，再按指令控制發(fā)起扣費(fèi)操作時(shí)間，扣費(fèi)發(fā)送目標(biāo)端口等。4)例四：攔截刪掉所有發(fā)送的扣費(fèi)與確認(rèn)扣費(fèi)的短信或IVR電話等通訊記錄，用戶在不知不覺的情況下就已經(jīng)被扣費(fèi)。誤區(qū)三：安裝知名軟件或是正規(guī)電子市場、網(wǎng)站或論壇下載一定無風(fēng)險(xiǎn)通常知名的軟件也是被病毒和木馬篡改或嵌入的重點(diǎn)目標(biāo)之一，而一般的用戶是難以在安裝的過程中進(jìn)行判斷的，在安裝后也難以判斷，因?yàn)檫@些軟件的正常功能還是可以使用的。所以，不是軟件名稱為知名的軟件就安全。而是要從知名軟件的官方網(wǎng)站下載安裝，以確保手機(jī)安全軟件未被嵌入病毒。部分的病毒和木馬也是通過正規(guī)的電子市場、網(wǎng)站、論壇進(jìn)行傳播的，而病毒和木馬的后發(fā)作型或后安裝型，都會(huì)使一般的用戶難以判斷現(xiàn)在下載與安裝的是否為安全軟件。第八章專家支招：如何規(guī)避手機(jī)吸費(fèi)病毒