2018年11月05日至11月11日,国家互联网应急中心(简称“CNCERT”)通过自主监测和样本交换形式共发现12个恶意扣费类的恶意程序变种,恶意程序在用户未知情的情况下,私自给指定SP号码发送订购短信,消耗用户手机话费,该类恶意程序具有传播广、危害大的特点,对用户的手机安全和资金财产造成严重的威胁。
1)该类恶意程序主要是采用暗扣或明扣的方式进行操作,明扣是采用不明显提示,采用隐藏、模糊的手段,诱骗用户进行支付,暗扣是没有任何提示的情况下进行支付,明扣主要采用支付宝或微信支付,暗扣主要采用发送SP扣费短信或访问WAP业务链接,订购某包月业务。
2)恶意程序会私自上传用户手机号码、IMEI码、IMSI码等固件信息到服务器,请求获取SP号码和指定短信内容,然后私自发送SP短订短信,订购某收费业务。
3)恶意程序会私自拦截或屏蔽运营商的回执短信,并自动回复确认订购短信息,并私自删除用户短信息;
4)恶意程序会私自下载其他恶意程序,创建桌面快捷键,诱骗用户点击下载安装,频繁推送大量banner广告、通知栏广告、插屏广告、全屏广告,以及在屏幕左侧常驻应用入口图标的广告。
2.1 本周发现的Android恶意扣费类病毒变种文件MD5、程序名称、安装图标信息分别如下:
| 序号 | 程序MD5 | 程序名称 | 程序安装图标 |
| 1 | 05B27EDBF9A30E8509CA9A4D70BF1931 | 夜色的寂寞 | 
|
| 2 | 7C772959F99DDD2DA1D2D65920DC489D | 堡垒之夜 | 
|
| 3 | 09DE644EBBF6B35F194F01505F09E0EB | 球球大作战2 | 
|
| 4 | 9E61B4070B08756B7031BC460DF19D93 | 激情福利社 | 
|
| 5 | 088E99F9F9E7BD7C73CE366BD09749AD | 激情福利社 | 
|
| 6 | 95C7D03BFBD917DF5849FC6DF0322A53 | 海盗来了-升级版 | 
|
| 7 | 2056C966BF4EDCCA748C955B640F8886 | 别踩白块儿4 | 
|
| 8 | 54661ACC2338A49DC78CF1C61B829002 | 调皮女仆 | 
|
| 9 | 802024389D3F4F15AE46577ABADEE3F1 | 超级马里奥酷跑 | 
|
| 10 | A464DEAD66F55109FA2244F5547B4A3E | 全民打鸟 | 
|
| 11 | C1943F57EDCDEBD3F8310298D8908DD6 | 激情福利社 | 
|
| 12 | F279FD9F0F122B5D2A18022D6B06A47C | 激情福利社 | 
|
2.2 本周发现的Android恶意扣费类病毒涉及的用于“恶意扣取用户话费的SP号码”如下:
| 序号 | SP服务号码 |
| 1 | 11802115100 |
| 2 | 106630303 |
| 3 | 10658000 |
| 4 | 1066101703 |
| 5 | 10658999 |
| 6 | 1065890070 |
| 7 | 106912114000373087 |
| 8 | 10690999166688 |
| 9 | 1065842232 |
| 10 | 11817175 |
| 11 | 11802115200 |
| 12 | 106912114516412 |
| 13 | 1065800886839 |
| 14 | 18801232237 |
| 15 | 10658423 |
| 16 | 1065890010 |
| 17 | 12114516410 |
各成员单位可在网络安全威胁信息共享平台获取该移动互联网恶意程序样本信息。网络安全威胁信息共享平台地址:https://share.anva.org.cn
网络安全威胁信息共享平台由中国互联网协会反网络病毒联盟(ANVA)主持并建设, 以方便企业共享威胁信息为出发点,以建立网络安全纵深防御体系为目标,汇总基础电信运营企业、网络安全企业等各渠道提供的恶意程序、恶意地址、恶意手机号、恶意邮箱等网络安全威胁信息数据,建立公开透明、公平公正的信息评价体系,利于各企业获得想要的数据,激励企业贡献有价值的数据,促进信息共享的发展,遏制威胁信息在网络中的泛滥。
