联盟动态>>>联盟报告

每周典型移动恶意APP安全监测报告—“Android恶意扣费类病毒”篇(2018-07-02-2018-07-08)

2018-07-12  (编辑:ANVA)

2018年7月2日至7月8日,国家互联网应急中心(简称“CNCERT”)通过自主监测和样本交换形式共发现20个恶意扣费类的恶意程序变种,恶意程序在用户未知情的情况下,私自给指定SP号码发送订购短信,消耗用户手机话费,该类恶意程序具有传播广、危害大的特点,对用户的手机安全和资金财产造成严重的威胁。

01

Android恶意扣费类病毒常见的恶意行为

1)该类恶意程序主要是采用暗扣或明扣的方式进行操作,明扣是采用不明显提示,采用隐藏、模糊的手段,诱骗用户进行支付,暗扣是没有任何提示的情况下进行支付,明扣主要采用支付宝或微信支付,暗扣主要采用发送SP扣费短信或访问WAP业务链接,订购某包月业务。

2)恶意程序会私自上传用户手机号码、IMEI码、IMSI码等固件信息到服务器,请求获取SP号码和指定短信内容,然后私自发送SP短订短信,订购某收费业务。

3)恶意程序会私自拦截或屏蔽运营商的回执短信,并自动回复确认订购短信息,并私自删除用户短信息;

4)恶意程序会私自下载其他恶意程序,创建桌面快捷键,诱骗用户点击下载安装,频繁推送大量banner广告、通知栏广告、插屏广告、全屏广告,以及在屏幕左侧常驻应用入口图标的广告。

02

Android恶意扣费类病毒本周样本

2.1 本周发现的Android恶意扣费类病毒变种文件MD5、程序名称、安装图标信息分别如下:

序号 程序MD5 程序名称 程序安装图标
1 3CEA10DB5EF818C17CE7696B8B7E8193 帮学妹洗澡

2 4C9C395760B3048C8E9176BB00604036 贪吃蛇大作战

3 7C6060651BDF75001F4048C95B679193 RI你妹

4 7E9BC2717A823DE4F0B6732E5268B31C YO.魅.影

5 8E3EB7AA7C195D427AEB2087A9613475 美女洗刷刷

6 35CAB9229646596FA6C6F42C3FBC7922 调娇初体验

7 38A17A1D9790AECBF729464396F7DCED 靓妹洗刷刷

8 41EEEA2383956E88C31F4E75A9462B60 靓女洗白白

9 326D82726C554C9F72DA2561D8C744BA 人人直播

10 8980ED0E6C12334123C91A949DB51696 无码影院

11 40891852494D944FA6EDCE6FDC5AD0CC 岛国快播

12 529271270842B611F2F9E4B724B79396 恋恋影视

13 A5D41D9A8228E612868F90FE00D8B1F7 恋A夜a视P频

14 A5235380A451F84D8E10A1B76F4B5A86 清纯小女仆

15 AFEDCAE147C9E01B97503F97A1B81732 DJ羞羞合集

16 B69ECF26E875051D1B00719508635BC5 XX美女

17 D3A7A4F674BF29DB9E322E8D065CC292 Z爱

18 D0305BDD9527F655485CF69517094C70 极致诱惑

19 EEEC4AD0DA94612A2C9BB407C7D17768 我的汤姆猫跑酷

20 FFC089D0CD897B88A6157817F86C5BE5 调娇初体验

2.2 本周发现的Android恶意扣费类病毒涉及的用于“恶意扣取用户话费的SP号码”如下:

序号 SP服务号码
1 10660269
2 10666123
3 1065888018
4 10690721522361
5 11802115120
6 118030881076803
7 106498723
8 11802115080
9 1066100502
10 106912114000373000
11 11817173
12 10690999166688
13 1181011
14 106602842
15 10661310
16 1066777
17 11802114190
18 11802115150
19 106581061
20 10658423
21 106912114516430
22 11802115100
23 106912114516212
24 106912114516412
25 106609411
26 12114516401
27 10659861
28 10659862
29 12114516380
30 10690721505460
31 10658000
32 1065888060
33 10658999
34 10691009
35 106912114516407
36 10660644
37 10659872
38 11817175
39 10669538

各成员单位可在网络安全威胁信息共享平台获取该移动互联网恶意程序样本信息。网络安全威胁信息共享平台地址:https://share.anva.org.cn


网络安全威胁信息共享平台

网络安全威胁信息共享平台由中国互联网协会反网络病毒联盟(ANVA)主持并建设, 以方便企业共享威胁信息为出发点,以建立网络安全纵深防御体系为目标,汇总基础电信运营企业、网络安全企业等各渠道提供的恶意程序、恶意地址、恶意手机号、恶意邮箱等网络安全威胁信息数据,建立公开透明、公平公正的信息评价体系,利于各企业获得想要的数据,激励企业贡献有价值的数据,促进信息共享的发展,遏制威胁信息在网络中的泛滥。


关键字:周报
返回联盟公告列表

平台描述

中国反网络病毒联盟,英文全称为“Anti Network-Virus Alliance of China”,英文简称“ANVA”。ANVA通过行业自律机制推动互联网网络病毒的防范、治理工作,净化网络空间,维护公共互联网网络安全。

导航

合作伙伴

关注我们

  • 新浪微博

  • 微信公众号

主办:中国反网络病毒联盟

京ICP备10012421号-1

如有问题请联系    anvaregister@cert.org.cn