2018年第11月19日至11月25日,国家互联网应急中心(简称“CNCERT”)通过自主监测和样本交换形式共发现13个恶意扣费类的恶意程序变种,恶意程序在用户未知情的情况下,私自给指定SP号码发送订购短信,消耗用户手机话费,该类恶意程序具有传播广、危害大的特点,对用户的手机安全和资金财产造成严重的威胁。
Android恶意扣费类病毒常见的恶意行为
1)该类恶意程序主要是采用暗扣或明扣的方式进行操作,明扣是采用不明显提示,采用隐藏、模糊的手段,诱骗用户进行支付,暗扣是没有任何提示的情况下进行支付,明扣主要采用支付宝或微信支付,暗扣主要采用发送SP扣费短信或访问WAP业务链接,订购某包月业务。
2)恶意程序会私自上传用户手机号码、IMEI码、IMSI码等固件信息到服务器,请求获取SP号码和指定短信内容,然后私自发送SP短订短信,订购某收费业务。
3)恶意程序会私自拦截或屏蔽运营商的回执短信,并自动回复确认订购短信息,并私自删除用户短信息;
4)恶意程序会私自下载其他恶意程序,创建桌面快捷键,诱骗用户点击下载安装,频繁推送大量banner广告、通知栏广告、插屏广告、全屏广告,以及在屏幕左侧常驻应用入口图标的广告。
Android恶意扣费类病毒本周样本
2.1 本周发现的Android恶意扣费类病毒变种文件MD5、程序名称、安装图标信息分别如下:
| 序号 | 程序MD5 | 程序名称 | 程序安装图标 |
| 1 | 8DCE7C6C601D0251957A8F03F1F08FFE | Tom猫大冒险 |
|
| 2 | 55BB52C6EDA9E6AC53D5F6DEDB7414E9 | 浅塘 |
|
| 3 | 63DC1FB19568293003BC042D4BCFBD7D | 拍美女 |
|
| 4 | 326D82726C554C9F72DA2561D8C744BA | 人人直播 |
|
| 5 | 2839A493B95E2D66392E3B8558CA0A49 | 激情福利社 |
|
| 6 | 48356F808541BF7DBBE5C9A93FB32C4C | 绝地求生大逃杀 |
|
| 7 | 227004B48844943EFA86CE147F1162BC | 马里奥 |
|
| 8 | A1270949A6B7240663D08CE2A7C32FB5 | 激情播吧 |
|
| 9 | AB503F7B793901A622DEA362074D4C3D | 植物大战僵尸免费版 |
|
| 10 | B298588329EA10196A1561EE796E8B0E | 消失的方块 |
|
| 11 | D58AD59DA8097E4EAB64AD96929FC1A4 | 激情福利社 |
|
| 12 | D59A1284FD1BCBEB0254CB1845F99C02 | 跳一跳 |
|
| 13 | EC27AE73091F662D5ABC1D273CE3527B | 跳一跳 |
|
2.2 本周发现的Android恶意扣费类病毒涉及的用于“恶意扣取用户话费的SP号码”如下:
| 序号 | SP服务号码 |
| 1 | 10658008101815200 |
| 2 | 106912114516407 |
| 3 | 11802115250 |
| 4 | 10691009 |
| 5 | 106608405 |
| 6 | 1065890070 |
| 7 | 10658423 |
各成员单位可在网络安全威胁信息共享平台获取该移动互联网恶意程序样本信息。网络安全威胁信息共享平台地址:https://share.anva.org.cn
网络安全威胁信息共享平台
网络安全威胁信息共享平台由中国互联网协会反网络病毒联盟(ANVA)主持并建设, 以方便企业共享威胁信息为出发点,以建立网络安全纵深防御体系为目标,汇总基础电信运营企业、网络安全企业等各渠道提供的恶意程序、恶意地址、恶意手机号、恶意邮箱等网络安全威胁信息数据,建立公开透明、公平公正的信息评价体系,利于各企业获得想要的数据,激励企业贡献有价值的数据,促进信息共享的发展,遏制威胁信息在网络中的泛滥。