《揭开手机吸费病毒的神秘面纱》研究报告

《揭开手机吸费病毒的神秘面纱》研究报告

随着移动互联网的快速发展，手机吸费病毒作为一种新的手机病毒形式开始进入人们的视线。“吸费海盗王”、“美女勾魂吸费大盗”等吸费病毒近期陆续被腾讯移动安全实验室等手机安全机构公之于众，被查获的病毒不仅覆盖了Android、SymbianV3V5等智能机操作系统、也覆盖了Kjava等功能手机操作系统。吸费病毒的频繁出现，引发手机用户不同程度上的疑虑和对移动安全的担忧。腾讯移动安全实验室最新的网络调研数据显示，26%的用户遭遇过手机病毒，而38%的用户对于手机病毒最大的担心在于扣费、吸费。对于手机吸费病毒的成因、吸费原理、传播方式、产业链状况、以及规避对策等相关知识，73%的被调研用户表示希望了解。为了帮助用户更好的了解手机安全，解答手机用户关于吸费病毒的各类疑问，更好地保护用户手机安全，腾讯移动安全实验室专家采用专业的技术手段，对手机吸费病毒的相关信息进行全方位的解读、定位和剖析，并形成了实验室首份移动安全报告——《揭开手机吸费病毒的神秘面纱》，以飨读者。本报告所有内容均为腾讯移动安全实验室及旗下QQ手机管家、在线查毒平台、恶意线索举报平台通过对各类吸费病毒样本和病毒产业链进行细致研究后所得成果，如有引用，请注明出处。第二章：吸费病毒原理腾讯移动安全实验室发现，吸费病毒的主要原理是通过自行发短信、拔打语音扣费电话，同时会删除或屏蔽收费相关的运营商回执短信、拔打电话、Wap上网等记录，让用户完全在不知不觉中被扣费。2.1短信业务的扣费原理：（图1）短信业务扣费原理示意图2.2声讯/IVR业务的扣费原理：在手机后台自动拨打IVR电话，然后把拨打的相应记录删除。2.3WAP业务的扣费原理：自动后台点击扣费节点。2.4其他运营商增值业务的扣费原理：彩铃/炫铃/七彩铃的下载，采用短信、或IVR、或WAP订购的方式。第三章：病毒的传播途径腾讯移动安全实验室研究发现，目前手机吸费病毒一般以嵌入正常功能软件、热门软件为主要载体，散播在众多论坛、电子市场、刷机ROM里，用户把这当作原版、加强版、破解版、美化版进行下载。3.1载体伪装途径：i.嵌在其他热门的正常软件里：嵌在知名游戏软件、工具软件中ii.专门开发出一种带功能性的免费软件，把病毒嵌入iii.扣费病毒不立即安装，先安装一个木马病毒，待用户量一定的时候，通过服务器给指令下载相关的扣费病毒，静默安装iv.伪装在主题类软件中，这是塞班最为常见的病毒载体v.伪装为系统升级软件，诺基亚手机上经常出现vi.伪装为杀毒软件，以前曾出现过伪360、伪卡巴等3.2多种传播方式：i.群发内容为类似运营商发送的服务短信，短信内有链接，链接域名搞成类似运营商网址迷惑用户，如“伪升级扣费木马”，就使用http://1OO86.net（用字母O来伪装数字0）的域名来提供下载。ii.在嵌入到多个热门软件后，把这些软件散布到各热门手机论坛与电子市场中，再运作一些破解、优化、美化、汉化、必装等字眼来诱惑用户下载安装，用户防不胜防。iii.按正常有功能的软件来进行传播。iv.伪装以该品牌该型号的补丁升级进行传播。v.集成在刷机ROM。vi.集成在一键安装包里。第四章愈来愈隐蔽的病毒吸费随着扣费、屏蔽、云端控制技术的不断成熟，病毒吸费呈现出愈来愈隐蔽甚至无声无息的趋势。4.1技术成熟让病毒吸费愈来愈隐蔽i.以前的病毒技术，一般是内置扣费的指令代码到病毒软件中，用户安装软件后，短时间内便会发作进行扣费；ii.现在的技术，则已经发展到很成熟，很隐蔽：发送的扣费短信的指令、端口号、发送时间、发送频率均能做到云端（服务器）控制，做到短信指令、端口号，可以根据用户所在的地区、SIM卡所属的运营商进行可扣费的配置，并且可以随时更改；（图2）吸费海盗王病毒反编译分析iii.[f1]现在的技术都能轻易做到，在本机删除相关的扣费回执记录，包括特定运营商扣费短信、拨号记录、WAP上网记录。4.2“悄悄潜伏”让吸费病毒愈来愈隐蔽：i.不会立即发作，可以选择时间发作，如：等午夜时候才偷偷扣费；ii.不会立即发作，从服务器取指令，按指令配置发作时间与方式；iii.安装后，伪装为正常进程的名字，如系统进程，或其他软件进程进行潜伏；iv.用户量潜伏，一些病毒制造者很有耐性，等被嵌入病毒的软件用户到达一定量后，才偷偷扣费。第五章典型吸费病毒案例5.1伪升级扣费木马病毒传播者利用向用户发送“中国移动提醒您，检测到您的手机存在安全漏洞，请点击下载并安装安全补丁http://1OO86.net/****.apk/sisx”（这里是字母“O”冒充数字“0”）的WAPPUSH短信，分别针对塞班与安卓发送识配的安装包，该病毒应该是拿到部分的用户号码与机型，用户点击下载安装后，病毒安装没有图标产生，并自动向“1062****”等端口号发送业务订购短信，同时还会屏蔽10086发给用户的所有信息，用户在毫不知情的情况下，被恶意扣取资费。（图3）QQ手机管家查杀伪升级扣费木马5.2伪卡巴扣费木马、伪杀毒抢钱王等这几个病毒主要是伪装为杀毒软件，用户安装后，立即假装扫描手机内的文件，然后谎称查到几个杀毒软件，需要用户付费**元查杀病毒。（图4）QQ手机管家扫描伪杀毒病毒报告5.3吸费海盗王此病毒嵌入到一款国外著名的游戏软件里，散布在几个大的论坛与电子市场上，另外，病毒发作时也是隐蔽的短信扣费，扣费指令与发送时机由云端配置，但这个病毒在扣费成功后，还会向固定的几个手机号码发送扣费手机的IMEI号等信息，部分存在分成对帐的可能。（图5）QQ手机管家截获“吸费海盗王”病毒（图6）“吸费海盗王”病毒云端控制功能以及窃取用户隐私5.4美女勾魂吸费大盗病毒嵌入到三款叫“美女**”的工具软件中，安装后，伪装为系统进程，让用户不容易发现，并进行暗中短信扣费。（图7）QQ手机管家查杀美女勾魂吸费大盗病毒（图8）美女勾魂病毒伪装成系统程序“设置”5.5饥渴吸费魔此病毒嵌入了许多款的正常软件中，这些软件曾经遍布多个大论坛与电子市场，发作时，除了由云端配置隐蔽的短信扣费外，还会偷偷盗打IVR电话，此病毒的发现，表明吸费已经从短信，横向跨度到IVR了。（图9）饥渴吸费魔嵌入了许多款正常软件第六章手机吸费病毒发展趋势预测6.1灰色产业链呈现逐渐成熟的趋势。目前，吸费病毒的产业链已经呈现出不断成熟的趋势，从病毒开发、病毒营销传播、病毒吸费拓展（找SP合作）、病毒收益对帐分成等环节，都有相应专业的角色或功能相对应。简单来说，就是病毒从用户手机私自扣费后，相关产业链的角色都能从中分取利益，特别是病毒开发、营销，还有SP。6.2吸费病毒变种越来越多。由于吸费病毒技术已经不断完善，可以通过云端服务器随意控制扣费端口、扣费时间、扣费频率，可根据用户所在地SIM卡运营商对扣费方式进行配置，因此吸费病毒可以不断变种。再加上当前智能手机应用种类丰富，病毒有了可以不断复制的条件，只要将原病毒代码稍作修改一些参数、变量，嵌入不同的手机应用中，都可以成为一款新吸费病毒。6.3规模可能超过PC产业。此外，手机吸费病毒产业链已经开始逐步完善，从制毒到传播，再到找SP扣费等一系列环节都有专人负责，每个环节都能够精准的获得吸费分成，因此手机吸费病毒产业会呈现不断发展壮大趋势，手机用户数量远远大于PC用户数，智能终端大面积普及，手机吸费病毒规模可能会远高于PC病毒产业。6.4用户维权取证难。与此同时，手机吸费病毒相比PC病毒更容易直接获益，而且对于每个被吸费用户来说只是几元到几十元不等，由于数额较小，单个受害者很难维权。加上其高超的伪装术，自动定制服务，自动删除扣费回执信息，导致用户很难发现被吸费，即使发现被吸费之后，也难以对吸费病毒的作案行为进行有效取证，无法通过技术手段证明是病毒私自定制了服务，而不是用户定制了服务，因此最终都不了了之。第七章关于移动安全的用户常见误区误区一：手机病毒、木马很可怕1)正确看待手机病毒和木马可能带来的危害病毒与木马，可以实现多种危害，危害从高至低排序有：恶意扣费、远程控制、隐私窃取、恶意传播、资费消耗、系统破坏、诈骗欺诈、流氓行为等，取其中几项举例说明如下：a)危害比较高的：（1）恶意扣费：通过隐蔽执行、欺骗用户点击等手段，订购各类收费业务或使用手机支付，导致用户经济损失的；（2）远程控制：能够接受远程控制端指令并进行相关操作。（3）获取涉及用户隐私信息，如用户的通讯内容、邮件内容，各种手机上的帐号密码，各种文件、照片、通讯录等。b)危害比较低的：流氓行为，如自动添加、修改、删除收藏夹、快捷方式，弹出广告窗口，不能退出软件，无法正常卸载、删除等。2)移动病毒和木马的产业链发展状况目前尚未成熟移动病毒和木马已经发展到产业链驱动，如恶意扣费木马，就分为病毒制造者、病毒传播运营、病毒扣费商务拓展、病毒扣费SP等的角色。现在，恶意扣费木马的技术一般包括软件篡改、伪装传播、云端控制、根据用户不同的区域进行不同形式的扣费等技术，这些技术已经比较成熟，使用同样的技术，只要修改不同的类名，进行不同的打包，就可以复制为新的病毒。整个移动病毒和木马的产业链发展状况相对PC尚不成熟。误区二：没有多少移动病毒和木马，因为我和我的朋友都没有遇到过现发现的手机病毒与木马已超千种，被感染的软件已超万个。现在的病毒与木马技术日渐成熟，且趋向于隐蔽化与智能化，可以使手机用户在感觉不到中毒的情况下就已经产生了危害。拿恶意扣费木马来举例：1)例一：隐蔽伪装与传播方式：病毒和木马采用多种方式进行伪装，如：把恶意代码嵌入到众多的热门软件中，或者开发一个正常功能类的软件，然后把这些软件散布到各热门论坛与电子市场中，再运作一些破解、优化、美化、汉化、必装、最强等字眼来诱惑用户下载安装，用户安装了这个软件后，病毒和木马就已经被安装到移动设备上了。2)例二：采用提示升级的方式进行安装：先提供完全没有问题的正常的软件给用户安装，软件在使用一段时间后，提示软件升级，在用户确认同意升级时，才下升安装了病毒包。3)例三：潜伏伺机发作：一般是安装的时候不立即发作，伺机联网从云端获取指令，再按指令控制发起扣费操作时间，扣费发送目标端口等。4)例四：拦截删掉所有发送的扣费与确认扣费的短信或IVR电话等通讯记录，用户在不知不觉的情况下就已经被扣费。误区三：安装知名软件或是正规电子市场、网站或论坛下载一定无风险通常知名的软件也是被病毒和木马篡改或嵌入的重点目标之一，而一般的用户是难以在安装的过程中进行判断的，在安装后也难以判断，因为这些软件的正常功能还是可以使用的。所以，不是软件名称为知名的软件就安全。而是要从知名软件的官方网站下载安装，以确保手机安全软件未被嵌入病毒。部分的病毒和木马也是通过正规的电子市场、网站、论坛进行传播的，而病毒和木马的后发作型或后安装型，都会使一般的用户难以判断现在下载与安装的是否为安全软件。第八章专家支招：如何规避手机吸费病毒