在你玩游戏或上微博的时候神不知鬼不觉的扣掉话费。仔细检查后发现也没有安装什么黑心软件,都是“微博”、“365日历”、“骷髅塔防”这大家常用的应用,怎么话费就变少了呢?!看到这样的帖子也有几次了,一直以为是不会用APN开关的小白被偷跑流量了,根本没当回事。直到今天发现我的话费里突然多了五十多块的增值服务费才警觉起 来。ROM是我自己做的,肯定没有问题,将手里里的软件一个一个清查后,将目标锁定在“骷髅塔防”上。卸载重装,发现塔防游戏提示我要使用短信权限,就是 它了,问题十有八九出在它身上!
分析APK包发现扣费代码会植入到程序启动的最初入口,每次在程序启动之后都会运行。运行过程中会采集我们的手机号、IMSI、ICCID、IMEI等信息,当然这一切都是在我们不知不觉中进行的。然后将这些信息发送到专有服务器上,并且服务器的地址还经过加密混淆,他们也怕被抓出来啊。
黑服务器收到信息后,会返回指令告诉扣费程序">发送短信至指定的电话号码,并且会偷偷安装指定软件,甚至可以指定是否用浏览器批开特殊网址,几乎可以判断目前已有的各类浏览器。
短信发送后,扣费号码一般会返回扣费信息,这时扣费代码会对回执短信进行拦截,你不会收到任何提示,就这样通过短信把钱给付了。
另外我发现有一些软件会做付费推广,比如一些浏览器软件、输入法软件等等。一般的办法是找一个合作方,给合作方提供一个做了该方标记的安装包。比如说一个浏览器软件通过网站A推广,就给对方一个A版本的软件包,这样A网络可以通过自己制作的ROM或其它办法,让A版本软件出现在你的手机中,这时你运行了A版本软件,你就为浏览器增加了一个用户,相应的A网站会得到2块到3块钱的推广费用。大家可以留意一下哪些ROM中内置了哪些国产软件,基本可以知道一个ROM或其它方式会为A带来多少收入。
这次扣费代码强大之处在于,它收集了很多这种做付费推广公司的软件标记,在你运行了植入扣费代码的软件时,不但自己损失了电话费,这些做传费推广的公司还会收到增加用户的统计信息,以为你成为了他们的用户,因此付费给这个扣费代码的制造者。真够坏的!
现在大家应该基本了解扣费代码是以怎么样的机制动作了吧。这次先给兄弟们讲到这里,版主又找到新的扣费软件样本了,我继续分析,争取晚上把分析工具完成!
初级科普以及如何人肉避免扣费代码软件,请看kitaroshi版主的《恶意扣费软件普及贴,请各位机友提高警惕!防患于未然!》。
不知道自己是否中招的同学,先核对kitaroshi版主每天更新的《N多网每日更新恶意植入扣费软件黑名单列表,请各位机友提高警惕!【更新至 20101229】》,如果发现黑名单列表中有你安装过的软件,打查询电话查查话费有没有异常。
当然,即使黑名单列表中没有你安装过的软件,也还是查一下话费保险些,特别注意增值服务费一项。