360手机安全专家分析发现,手机中招后,“扣费黑帮”会首先向指定手机号码发送一条短信,告知黑客这台手机已被控制。随后可通过云端控制,让手机偷偷向任意指定号码发送扣费短信。为防止用户发现扣费行为,木马还同时将回馈短信屏蔽。扣费的同时,“扣费黑帮”还会将手机号码、IMSI、网络类型等隐私信息偷偷上传至指定服务器。
更为严重的是,木马还会扫描手机中的联系人信息,并向这些号码群发短信。由于短信内容是“扣费黑帮”通过联网向服务器获取,所以黑客可以随时更改发送内容,以机主名义实施诈骗,如操纵木马群发流氓推广、汇款诈骗等短信内容。
更可怕的是,“扣费黑帮”系列木马具备少见的“反侦察”机制,入侵手机后会首先检测手机中是否安装了手机安全软件,如果这些软件处于运行状态,则“扣费黑帮”不会触发恶意行为,隐蔽性和自我保护能力极强。
360手机安全专家表示,由于扣费木马直接与黑客“收入”挂钩,使扣费类木马的质量越来越“精良”。从早期的屏蔽回馈短信提高隐蔽性,到云端操纵扣费指令,到此次截获样本中的“侦察”安全软件功能,一款手机木马同时包含多种恶意行为的现象越来越普遍。
《2013年上半年手机安全状况报告》显示,恶意扣费是仅次于资费耗损和隐私窃取的第三大恶意行为,新增样本量超过2.5万款,感染人次近500万。360手机安全专家认为,“扣费黑帮”如此大批量出现尚属首次,未来扣费类恶意软件的数量很可能持续猛增。
目前,扣费黑帮通过篡改工具游戏、即时通讯、银行理财等各类热门手机应用疯狂传播,“染毒”应用已超过5000款。360手机安全专家提醒,360手机卫士已独家实现对这类木马的彻底查杀,建议手机用户,并选择360手机助手等安全、可靠的第三方市场下载手机软件,以防“扣费黑帮”趁虚而入。