专栏名称: 国家互联网应急中心CNCERT

国家计算机网络应急技术处理协调中心（简称“国家互联网应急中心”，英文简称是CNCERT或CNCERT/CC），成立于2002年9月，为非政府非盈利的网络安全技术中心，是我国网络安全应急体系的核心协调机构。

每周典型移动恶意APP安全监测报告—“Android恶意扣费类病毒”篇（2018-08-27-2018-09-02）

国家互联网应急中心CNCERT · 公众号 · · 2018-09-06 15:19

正文

2018年8月27日至9月2日，国家互联网应急中心(简称“CNCERT”) 通过自主监测和样本交换形式共发现15个恶意扣费类的恶意程序变种，恶意程序在用户未知情的情况下，私自给指定SP号码发送订购短信，消耗用户手机话费，该类恶意程序具有传播广、危害大的特点，对用户的手机安全和资金财产造成严重的威胁。

Android恶意扣费类病毒常见的恶意行为

1）该类恶意程序主要是采用暗扣或明扣的方式进行操作，明扣是采用不明显提示，采用隐藏、模糊的手段，诱骗用户进行支付，暗扣是没有任何提示的情况下进行支付，明扣主要采用支付宝或微信支付，暗扣主要采用发送SP扣费短信或访问WAP业务链接，订购某包月业务。

2）恶意程序会私自上传用户手机号码、IMEI码、IMSI码等固件信息到服务器，请求获取SP号码和指定短信内容，然后私自发送SP短订短信，订购某收费业务。

3）恶意程序会私自拦截或屏蔽运营商的回执短信，并自动回复确认订购短信息，并私自删除用户短信息；

4）恶意程序会私自下载其他恶意程序，创建桌面快捷键，诱骗用户点击下载安装，频繁推送大量banner广告、通知栏广告、插屏广告、全屏广告，以及在屏幕左侧常驻应用入口图标的广告。

Android恶意扣费类病毒本周样本

2.1 本周发现的Android恶意扣费类病毒变种文件MD5、程序名称、安装图标信息分别如下:

序号	程序MD5	程序名称	程序安装图标
1	2AC2F845241DC3F97828A1D0AF5C6E5C	小黄人大作战-变异危机
2	4CF754D7401F88E4400AD0385A6F7A3C	黑猫警长清爽版
3	5B80147D36BED432C4C15EE642BBCC59	Fruit Ninja
4	8BD6C2AD7F1ECD2B1770DBA72EACF292	蛇蛇大乱斗
5	8F951B5E11D6D395CE9E34D4F0B9AEEA	全民切水果
6	89E8F5A9C72A82F7AA98686241B6B1B7	我的世界
7	5487465B1B0A5B2A6EC10900E9C84FE9	天涯亮钻大师
8	A6C15ECCF075B7B361312B917BAE7DE6	跳一跳
9	A66E45F58C3F8AAED8D8A3B40C891A6E	小黄人大作战-变异危机
10	B50E293D70C02A6C8646D9325273FF32	欢乐打地鼠（赢红包）
11	B89459A1D6B12D67DFF5244C9769C771	汤姆猫跑酷
12	C42CA91D2BC41FBDCBA00675E1798982	触摸女神
13	C3285F84BC8219123DFFC44C1CD89B7C	校花梦工厂
14	CEA523E718C7927A00C5A0767CB0A1DB	2017tt.cn王者荣耀插件
15	F335CB0B01F183931C72DD78B9CCD0D7	纪念碑谷2

2.2 本周发现的Android恶意扣费类病毒涉及的用于“恶意扣取用户话费的SP号码”如下：

序号	SP服务号码
1	10690737937333500
2	106581061
3	10658422
4	10690400060663
5	1069073792733590
6	10690390159079
7	1066101703
8	106912114516412
9	10658423
10	1065842232
11	1065888018
12