欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

安卓色情木马病毒过去与现在

来源:本站整理 作者:佚名 时间:2017-09-14 TAG: 我要投稿

图4-10服务器返回扣费信息
病毒同时会对关键字短信进行拦截,导致用户无法发现扣费情况。例如银色魅影木马就会屏蔽以”10086″”1065″”1066″”118010″”10001888″开头,或内容包含”成功订购”"和视频”"和视界”的短信。如图 4-11所示:

 图4-11病毒屏蔽相关号码
传统的扣费方式中,其中SP服务商是关键,一般制作人员不具备申请SP业务的资格,所以制作人员只能拿到不多的广告费或者盈利分成。
4.2.2 当前流程扣费方式
随着移动支付业务的兴起,色情软件也随之搭上了移动支付的便车。微信支付、支付宝支付等第三方支付开始成为色情软件支付的主流;同时病毒制作者就可以申请第三方支付插件使用,从而支付之后可以直接受益,因此该类病毒开始更加注重使用第三方支付插件。
以我们手里的“色色看片”为例,病毒运行后弹出相关页面,点击任意视频后直接展现试看内容,试看视频播放完成之后,会弹出窗口,要求用户支付。如图 4-12、4-13、4-14 所示:
  

图4-12病毒弹出支付界面
支付方式集成了微信、支付宝等现有的主流支付插件,当用户点击支付宝支付或者微信支付时,病毒会发起各自的支付接口进行支付操作。
使用微信支付插件支付代码如下图:
 

 

图4-13微信请求界面
使用支付宝点击确认付款会弹出支付宝的支付界面
 

 

图4-14支付宝请求界面
用户付款后一笔交易随即结束,查看此病毒的代码结构可以发现,此病毒集成了四种支付插件,支付宝,微信,威富通,中兴付,而此类支付插件一般以微信支付和支付宝支付为主,暂未发现银联支付或者短信支付的情况,未来不排除可能。如图 4-15所示:
 

图4-15第三方支付插件
此类方式相比SP服务扣费简单高效,可以进行大额支付,而且少了中间SP服务商的环节,增加了病毒制作者或传播者的盈利能力。
5 黑色产业链分析
5.1 历史演变
从最初的SP业务扣费到现在微信支付宝等网络付费,病毒的支付方式在不断前进。如图 5-1所示:
 

图5-1病毒历史演变
发现时间
 病毒名称
病毒描述
2014/8/25
A.Payment.gyt.a
该程序是一款被插入病毒插件的视频播放软件。嵌入程序的病毒插件主要行为是在未经用户允许的情况下发送订购短信,具有恶意扣费属性。
2015/2/3
A.Expense.ppcool.a
该程序是一款被插入病毒插件的视频类软件,嵌入程序的病毒插件主要行为私自下载应用,消耗用户流量,属于资费消耗;并诱骗用户安装系统更新,让用户安装恶意软件,属于诱骗欺诈。
2015/11/17
A.Payment.sxx.a
该程序是一款被插入病毒插件的视频影音软件。病毒主要行为是在未经用户允许的情况下,发送订购短信,订购扣费业务;私自下载未知插件,属于资费消耗;私自拦截用户短信,属于系统破坏;并创建色情类应用快捷方式,属于流氓行为。
2016/7/7
A.Payment.seqingVip.a
该程序是一款被插入病毒插件的视频影音软件。病毒主要行为是在未经用户允许的情况下,发送订购短信,订购增值业务;病毒后台下载未知应用,具有资费消耗属性;病毒在用户未知情的情况下屏蔽订购返回短信,强制弹出窗口,造成系统破坏。
2016/12/26
A.Fraud.sexfd.a
该应用是一款内含病毒的视频应用,该应用在运行之后会经常提示用户进行付费操作,并且提示不明显,具有诱骗欺诈行为,私自拦截用户短信,具有系统破坏行为,强行设置开机启动,私自弹出广告,具有流氓行为特征。
5.2 诱骗手法
色情软件一般使用惹火的图标和暧昧的名称诱骗用户下载安装,下图为排名前十的色情软件安装名称占比。如图 5-2所示:
 

图5-2色情软件安装名称统计
5.3 获利方式
如图 5-3所示:
 

上一页  [1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载