从应用商店下载的看似正常的虚拟键盘、拍照、游戏等应用软件,因为携带恶意模块,可能会在用不知情的情况下自动发送短信订阅增值业务,让用户话费瞬间蒸发。
近日,世界著名反病毒产品提供商Dr. web称,在华为官方应用商城AppGallery中,就存在十款这样的App,已造成53.8万台设备感染。这也是该应用商店中首次发现携带Joker病毒的恶意软件。目前已被官方下架。
不过,这并不是Joker病毒首次现身。早在2017年,Joker病毒就已经在谷歌应用商城Google Play中被检测到,其诈骗手段与此次发现的恶意软件如出一辙。此外,这些“带毒”软件很可能是通过将病毒模块植入正规软件的做法,诱骗用户下载。
Dr. web发布的报告
伪装成功能App,发送短信订阅增值业务
研究人员发现,这些App的功能与其描述一致,比较简单,包括虚拟键盘、在线消息、拍照、游戏等,但都植入了恶意模块。用户下载后,这些软件可以正常使用,但需要请求用户手机的通知和短信权限。
Dr. web报告中提到的十款“带毒”App
一旦激活,这些恶意软件便与它的远程服务器通信以获取配置文件,该文件包含任务列表、增值服务网站和模仿用户交互的代码。
之后,软件中的恶意模块就以一种隐蔽的方式开始运行,它会自动发送短信订阅增值服务,为了不让用户察觉这些恶意模块,这些软件还会利用通知权限拦截订阅服务向SMS发送的确认码。这样,用户在不知情的情况下,就开通了增值业务,话费就被窃取。
此外,为了保证让设备成功订阅增值业务,恶意软件需要确保用户使用的是移动网络。因此,如果用户使用的是WiFi网络,软件的内置模块会导致WiFi网络中断,必须使用移动数据联网。
为了防止话费蒸发太快引起用户怀疑,该恶意模块默认的每台设备订阅增值服务的数量最多为5个。但这个限制可以被更改,Dr. web的研究人员拦截到的模块中,增值订阅的上限达到了10个。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
