域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

近日，騰訊手機(jī)管家聯(lián)合騰訊安全反詐騙實(shí)驗(yàn)室更新發(fā)布《銀行提款機(jī)驚現(xiàn)病毒：繞過(guò)殺毒軟件達(dá)到牟利目的》報(bào)告（以下簡(jiǎn)稱“報(bào)告”），曝光一批惡意扣費(fèi)病毒及變種，因惡意扣費(fèi)的病毒行為，將其命名為“銀行提款機(jī)”，指出此批病毒變種主要通過(guò)自我社工隱藏方式以及動(dòng)態(tài)加載組裝，繞開(kāi)殺毒軟件的查殺，完成惡意扣費(fèi)的黑產(chǎn)變現(xiàn)任務(wù)。

“銀行提款機(jī)”病毒藏身色情、游戲類應(yīng)用，隱蔽性和對(duì)抗查殺特征明顯

“我在網(wǎng)頁(yè)上查信息，突然彈出個(gè)色情廣告彈窗，立即點(diǎn)擊了關(guān)閉按鈕，但手機(jī)還是自動(dòng)下載安裝了一個(gè)軟件。隨后收到了十幾條扣費(fèi)信息，手機(jī)話費(fèi)被扣了二三百，這是什么情況？”相信很多人也都遇到過(guò)類似情況，其實(shí)頻繁出現(xiàn)在網(wǎng)頁(yè)中色情、游戲類小廣告，背后即有可能潛藏著惡意扣費(fèi)病毒。而且，不法分子設(shè)置廣告彈窗被點(diǎn)擊就會(huì)自動(dòng)下載，即便用戶主動(dòng)點(diǎn)擊關(guān)閉，但依然無(wú)法阻止惡意扣費(fèi)病毒進(jìn)入手機(jī)。

“銀行提款機(jī)”惡意扣費(fèi)病毒早在2018年1月就開(kāi)始出現(xiàn)，截至6月中旬累計(jì)感染量超過(guò)百萬(wàn)臺(tái)設(shè)備。隨著安全廠商采取必要的防治措施后，惡意開(kāi)發(fā)者也變換了入侵手段，增強(qiáng)隱蔽性，導(dǎo)致病毒感染樣本量呈下降趨勢(shì)、感染用戶卻上升的現(xiàn)象，在2018年6月-2019年2月期間感染用戶40萬(wàn)左右。

（圖：2018年6月后，“銀行提款機(jī)”變種病毒樣本呈下降趨勢(shì)）

其實(shí)，“銀行提款機(jī)”病毒最初只是通過(guò)廣告彈窗進(jìn)行推廣，影響用戶使用體驗(yàn)，并不會(huì)直接造成財(cái)產(chǎn)損失。面對(duì)殺毒軟件的圍追堵截，“銀行提款機(jī)”病毒變種的隱蔽性和攻防對(duì)抗性變強(qiáng)，主要表現(xiàn)在：其一，利用熱門(mén)軟件打包傳播，多為游戲、色情、工具類軟件；其二，惡意軟件開(kāi)發(fā)者利用代碼加固技術(shù)，實(shí)現(xiàn)更高的混淆程度；其三，云端服務(wù)器配置更新惡意SDK執(zhí)行惡意操作；其四，采用公司化運(yùn)作模式，幕后負(fù)責(zé)全面的查殺對(duì)抗?！秷?bào)告》數(shù)據(jù)顯示，2018-2019年初，“銀行提款機(jī)”新增變種病毒類型主要為色情類，占比高達(dá)41%；其次為游戲類，占比為35%。

（圖：“銀行提款機(jī)”變種病毒多借助色情、游戲類軟件傳播）

“銀行提款機(jī)”黑產(chǎn)變現(xiàn)手段曝光，其產(chǎn)業(yè)鏈團(tuán)伙坐等“利益分成”

當(dāng)用戶不小心下載并安裝了“銀行提款機(jī)”病毒后，手機(jī)話費(fèi)儼然變成了黑產(chǎn)團(tuán)伙的提款機(jī)?！秷?bào)告》通過(guò)病毒運(yùn)行后的流程圖，揭秘了“銀行提款機(jī)”病毒在用戶無(wú)察覺(jué)、無(wú)感知的情況下完成惡意扣費(fèi)的“內(nèi)幕”。

“銀行提款機(jī)”病毒在安裝后，會(huì)自動(dòng)操控智能手機(jī)，收集手機(jī)設(shè)備及用戶隱私信息到云端，并下發(fā)惡意文件，然后控制手機(jī)發(fā)送某訂閱服務(wù)短信。這時(shí)，運(yùn)營(yíng)商會(huì)發(fā)送二次確認(rèn)短信到手機(jī)，確認(rèn)用戶是否訂購(gòu)該項(xiàng)服務(wù)。對(duì)此，“銀行提款機(jī)”病毒會(huì)自動(dòng)攔截、自動(dòng)回復(fù)后并刪除短信，相應(yīng)地，運(yùn)營(yíng)商會(huì)扣除該項(xiàng)增值服務(wù)的費(fèi)用，這樣用戶在無(wú)感知時(shí)訂閱了增值服務(wù)，被動(dòng)完成了“惡意扣費(fèi)”的步驟。

（圖：“銀行提款機(jī)”病毒實(shí)現(xiàn)惡意扣費(fèi)的流程圖）

一旦“銀行提款機(jī)”病毒APP產(chǎn)生經(jīng)濟(jì)效益，其背后的黑產(chǎn)團(tuán)伙將進(jìn)行利益“分成”?！秷?bào)告》通過(guò)對(duì)惡意軟件動(dòng)態(tài)監(jiān)控分析，發(fā)現(xiàn)惡意軟件黑產(chǎn)背后的主要成員包括黑產(chǎn)開(kāi)發(fā)者、廣告商、網(wǎng)站和分發(fā)平臺(tái)，其中黑產(chǎn)開(kāi)發(fā)者負(fù)責(zé)集成病毒插件并嵌入安裝包內(nèi)，而廣告商、網(wǎng)站、分發(fā)平臺(tái)負(fù)責(zé)投放和管理分發(fā)。譬如，他們可以將病毒樣本投放到某網(wǎng)絡(luò)推廣平臺(tái)、游戲外掛破解網(wǎng)站，或在小眾應(yīng)用市場(chǎng)、應(yīng)用內(nèi)推廣，吸引用戶下載，進(jìn)而完成變現(xiàn)操作實(shí)現(xiàn)牟利分成。

“銀行提款機(jī)”病毒及背后的黑色產(chǎn)業(yè)鏈條，成為威脅移動(dòng)端安全和用戶財(cái)產(chǎn)安全的“毒瘤”。在防治方面，需要國(guó)家政策、社會(huì)各方和技術(shù)層面協(xié)同聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)平臺(tái)違規(guī)行為的有力打擊，凈化網(wǎng)絡(luò)文化環(huán)境。

告別“銀行提款機(jī)”惡意扣費(fèi)，騰訊手機(jī)管家建議做好安全防護(hù)

大家在了解“銀行提款機(jī)”病毒黑產(chǎn)作亂的真相后，又該如何避免被偷話費(fèi)的意外呢？騰訊手機(jī)管家安全專家陳列建議從以下方面進(jìn)行防護(hù)：其一，檢查每個(gè)應(yīng)用程序的權(quán)限，確認(rèn)程序所申請(qǐng)的權(quán)限與該軟件相符，盡量避免短信權(quán)限授權(quán)以減少風(fēng)險(xiǎn)；其二，安裝騰訊手機(jī)管家并定期更新，及時(shí)發(fā)現(xiàn)木馬病毒并一鍵清除；其三，下載軟件時(shí)選擇應(yīng)用寶等正規(guī)的應(yīng)用市場(chǎng)以及官方渠道，避開(kāi)未進(jìn)行安全檢測(cè)的網(wǎng)站；其四，用戶購(gòu)買(mǎi)新手機(jī)時(shí)盡量選擇大型正規(guī)賣(mài)場(chǎng)，避免手機(jī)系統(tǒng)被裝入惡意預(yù)裝軟件；其五，建議用戶在賬單日及時(shí)查看消費(fèi)賬單，及時(shí)發(fā)現(xiàn)可疑的扣費(fèi)信息。

（圖：騰訊手機(jī)管家精準(zhǔn)查殺“銀行提款機(jī)”病毒軟件）

此次“銀行提款機(jī)”惡意扣費(fèi)病毒只是黑色產(chǎn)業(yè)鏈的縮影，騰訊手機(jī)管家作為移動(dòng)端的第一道防線，一直在升級(jí)完善殺毒能力，依托自研AI反病毒引擎TRP-AI和自研殺毒引擎TAV，實(shí)現(xiàn)對(duì)手機(jī)端木馬病毒及其變種的精準(zhǔn)查殺，保障用戶財(cái)產(chǎn)安全。同時(shí)，騰訊手機(jī)管家還將聯(lián)動(dòng)警方、企業(yè)共同打擊黑色產(chǎn)業(yè)鏈條，為用戶營(yíng)造安全的手機(jī)使用環(huán)境。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！