2018年7月2日至7月8日,国家互联网应急中心(简称“CNCERT”)
通过自主监测和样本交换形式共发现20个恶意扣费类的恶意程序变种,恶意程序在用户未知情的情况下,私自给指定SP号码发送订购短信,消耗用户手机话费,该类恶意程序具有传播广、危害大的特点,对用户的手机安全和资金财产造成严重的威胁。
1)
该类恶意程序主要是采用暗扣或明扣的方式进行操作,明扣是采用不明显提示,采用隐藏、模糊的手段,诱骗用户进行支付,暗扣是没有任何提示的情况下进行支付,明扣主要采用支付宝或微信支付,暗扣主要采用发送SP扣费短信或访问WAP业务链接,订购某包月业务。
2)恶意程序会私自上传用户手机号码、IMEI码、IMSI码等固件信息到服务器,请求获取SP号码和指定短信内容,然后私自发送SP短订短信,订购某收费业务。
3)恶意程序会私自拦截或屏蔽运营商的回执短信,并自动回复确认订购短信息,并私自删除用户短信息;
4)恶意程序会私自下载其他恶意程序,创建桌面快捷键,诱骗用户点击下载安装,频繁推送大量banner广告、通知栏广告、插屏广告、全屏广告,以及在屏幕左侧常驻应用入口图标的广告。
2.1
本周发现的Android恶意扣费类病毒变种文件MD5、程序名称、安装图标信息分别如下:
|
序号
|
程序MD5
|
程序名称
|
程序安装图标
|
|
1
|
3CEA10DB5EF818C17CE7696B8B7E8193
|
帮学妹洗澡
|
|
|
2
|
4C9C395760B3048C8E9176BB00604036
|
贪吃蛇大作战
|
|
|
3
|
7C6060651BDF75001F4048C95B679193
|
RI你妹
|
|
|
4
|
7E9BC2717A823DE4F0B6732E5268B31C
|
YO.魅.影
|
|
|
5
|
8E3EB7AA7C195D427AEB2087A9613475
|
美女洗刷刷
|
|
|
6
|
35CAB9229646596FA6C6F42C3FBC7922
|
调娇初体验
|
|
|
7
|
38A17A1D9790AECBF729464396F7DCED
|
靓妹洗刷刷
|
|
|
8
|
41EEEA2383956E88C31F4E75A9462B60
|
靓女洗白白
|
|
|
9
|
326D82726C554C9F72DA2561D8C744BA
|
人人直播
|
|
|
10
|
8980ED0E6C12334123C91A949DB51696
|
无码影院
|
|
|
11
|
40891852494D944FA6EDCE6FDC5AD0CC
|
岛国快播
|
|
|
12
|
529271270842B611F2F9E4B724B79396
|
恋恋影视
|
|
|
13
|
A5D41D9A8228E612868F90FE00D8B1F7
|
恋A夜a视P频
|
|
|
14
|
A5235380A451F84D8E10A1B76F4B5A86
|
清纯小女仆
|
|
|
15
|
AFEDCAE147C9E01B97503F97A1B81732
|
DJ羞羞合集
|
|
|
16
|
B69ECF26E875051D1B00719508635BC5
|
XX美女
|
|
|
17
|
D3A7A4F674BF29DB9E322E8D065CC292
|
Z爱
|
|
|
18
|
D0305BDD9527F655485CF69517094C70
|
极致诱惑
|
|
|
19
|
EEEC4AD0DA94612A2C9BB407C7D17768
|
我的汤姆猫跑酷
|
|
|
20
|
FFC089D0CD897B88A6157817F86C5BE5
|
调娇初体验
|
|
2.2 本周发现的Android恶意扣费类病毒涉及的用于“恶意扣取用户话费的SP号码”如下:
|
序号
|
SP服务号码
|
|
1
|
10660269
|
|
2
|
10666123
|
|
3
|
1065888018
|
|
4
|
10690721522361
|
|
5
|
11802115120
|
|
6
|
118030881076803
|
|
7
|
106498723
|
|
8
|
11802115080
|
|
9
|
1066100502
|
|
10
|
106912114000373000
|
|
11
|
11817173
|
|
12
|
10690999166688
|
|
13
|
1181011
|
|
14
|
106602842
|
|
15
|
10661310
|
|
16
|
