首页
社区
课程
招聘
转帖:揭秘恶意APP软件如何吸费:内置SP收费代码
发表于: 2014-12-9 11:07 803

转帖:揭秘恶意APP软件如何吸费:内置SP收费代码

2014-12-9 11:07
803
新闻链接:http://tech.sina.com.cn/i/2014-12-08/00599858880.shtml?17bRq_www.fatongjidi.com_caiyun
新闻时间:2014年12月08日 00:59
新闻正文:
本报记者 陈时俊 上海报道

  作为集通讯、支付、社交多功能于一体的新型信息交互工具,一个移动智能终端(手机及平板电脑等)往往能装载一个现代人大部分的隐私与账户信息。也正因此,许多不法分子会以APP(应用程序)为掩护、“黑”进一部手机从而获取隐私信息与金钱财产。

  中国移动官方新公布的警惕名单中,“s.spread.backup.a(僵尸相册)、s.system.ChaosEngine.a(混沌机器)、s.payment.pluginserver.a(伪诺基亚扣费补丁)”等恶意手机软件都榜上有名。

  以“僵尸相册”为例,这类软件会通过短信链接进行传播,向用户发送短信“你有一条未读彩信相片,请免费下载安装彩信相册查看”,诱骗用户下载安装;安装后恶意软件隔一段时间就与后台联网并自动向某批号码发送短信。

  这类软件安装后会自动运行,并在开机后自启。它们隐瞒用户发送短信,在不知不觉中消耗手机资费,最终影响手机的正常使用。

  其中,水货品牌与中小杂牌是恶意APP的重灾区。“现阶段我国存在众多小品牌手机甚至山寨手机,这些终端出厂时安装的软件很难保证。即便是一些大牌的手机商有时也防不胜防,部分员工会通过隐蔽手段把一些恶意APP装上去。”手机中国联盟秘书长王艳辉告诉21世纪经济报道记者。

  恶意扣费何时休

  作为监管部门授予的国内首批应用自律白名单企业,中国移动总结列举了多个“吸血”APP的运行特点。

  为操作系统为Symbian 6.0第三版、第五版的手机终端用户“量身订作”的“吸血”APP,便是通过网络下载进行传播。恶意软件伪装成功能软件诱骗用户下载,用户下载安装后不显示图标,安装完成后在后台联网。一旦使用了这一APP,智能手机将会自动屏蔽10086短信,用户手机无法正常看到收到的10086短信。同时,这类软件会在消费者毫不知情的情况下通过手机后台自动联网,从而消耗客户网络漫游的资费。

  此外,一些恶意广告APP会保持手机处理器后台长时间唤醒,用于上传和下载广告数据。这也造成有些用户手机的电量即便在待机状态也迅速消耗。有统计数据显示:每款恶意广告应用平均每天要消耗电量 630 mAh,相当于普通手机电池总容量的35%。

  更有甚者,一些“恶意扣费”软件会自动拨打一些固定号码,并自动连接部分链接,从而在用户浑然不知时就产生一大笔费用。

  这些APP之所以如此神通广大,是因为其在手机内置了一些SP收费(移动信息费,多为增值服务收费)代码,这些代码从一开始就以APP为掩护内置或下载到用户的手机中。对于非法获得利益,这些APP的设计者会与相关利益获得方进行分成。

  中国互联网协会12321网络不良与垃圾信息举报受理中心副主任曾明发指出,智能手机一个很大的特点就是缴费渠道众多、收费方便。随着用户在手机中存留的信息越来越多,很多不法分子动了邪念,开发一些恶意代码、程序换取利益。恶意软件在手机终端中很容易进行扣费或窃取信息。

  要命的是,对这些恶意扣费的软件,发现察觉都存在难度。曾明发说,手机恶意扣费主要是凭借在用户毫不知情的情况下内嵌软件,并在规定的时间发送一些代码和信息,对用户进行扣费。运营商对用户的二次确认信息也会被屏蔽,从而使整个过程不被察觉,再加上不少用户对日常手机费用的帐单不太关注,因而使其实施犯罪更为隐蔽。

  弹窗链接暗藏陷阱

  王艳辉告诉记者,在上游有专门的第三方公司提供恶意APP包,将一系列软件打包后一同装进去。而在下游的一些“专业”公司如今已可以做到出厂装机时在不开手机的情况下就把恶意APP装进去,并躲过厂家的出厂检验。如此里应外合,可谓防不胜防。

  除通过APP产生上网流量与短信费用之外,窃取并多次贩卖手机使用者信息的做法也日渐猖獗。手机用户的金融账户、银行密码都暴露在高风险之下。

  扎根于众多博彩、游戏APP中的广告彩页与弹窗广告常携带声色犬马的不良信息,部分用户被其吸引、点击相关页面后,便会被软件自动诱使下载插件或提供个人信息。前者往往带来难以根除的顽固软件和手机病毒,后者则有可能被不法分子使用作为日后窃取财务账户的依据。

  此前美国电子安全公司“侦查墙”(snoopwall)对外宣称:手机APP库中非常受欢迎的手电筒软件就可能存在这样的“暗门”。一旦上述软件被运行,就可能盗取用户的隐私,比如通讯录、手机定位、信息内容,这些信息转而就被偷偷发送给市场调研公司或广告公司。

  而在窃取账户密码方面,据360公司公开的数据:2013年其互联网安全中心共截获手机支付及购物类恶意程序2962个。这些恶意程序可以盗取用户在智能终端上的支付帐号和密码,拦截并转发银行发来的短信,或直接洗劫支付账户中的资金余额。

  在监管部门和大型厂商持续打击之下,各类APP“吸血”事件正转而变得愈发隐蔽和多样化。记者发现,今年高考期间,智能手机APP库中的高考真题测评软件便十分走俏,而在这些APP中不乏借高考名义恶意捆绑广告和弹窗的软件。

  据悉,这些APP大多伪装成“高中文科理科汇”、“高考必备知识大全”等热门关键词,吸引用户下载并浏览。据360手机安全中心数据显示,今年高考前夕共有142款此类手机恶意软件出现。考生一旦安装,就将面临隐私被窃取、广告弹窗、手机后台私自下载软件、恶意扣费等多种风险。

  在各类APP陷阱面前,专家劝告用户,必须提高警惕避免上当。曾明发表示,依靠现有技术,在Wifi环境下窃取用户信息已相对容易,这也使得一些专门阻击恶意手机软件的程序也应运而生。(编辑 王洁)

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//