你是否遇到过手机突然无法接收10086短信?那意味着你的手机已经中病毒,而原因就是你安装了带扣费的APP。
在百度、Google等搜索引擎输入“收不到”三个字,你会发现一个奇怪的现象:排在搜索“收不到”首位的竟然是“收不到10086短信”。
用户孟冬就遇到过这种情况。4月初,他购买了一部HTC智能手机。兴奋之余,小孟安装了大量的APP软件,不过,很快他就发现一个奇怪现象,无法接收到10086的短信。
“因为办了一个移动套餐,对方提示会有短信提示,但是我怎么也收不到”。孟冬说,“开始以为是信号不好,后来到外面测试还是收不到,在电话咨询10086的客服之后,他们建议我查看手机上是否安装了可疑的APP。我逐一卸载后,手机才恢复了正常。”
与孟冬有同样遭遇的用户其实不在少数。这些被删掉的APP软件到底在背后搞什么鬼?业内资深安全专家刘强向TechWeb透露,如果突然出现无法正常接收10086短信的现象,最大的可能就是你的手机已经“被安装”了扣费程序。
被拦截的10086短信
首先,让我们了解下手机被扣费的模式和流程:
恶意APP扣费的模式有两种:一是本地扣费,直接把代码写在程序里。二是远程控制,把扣费代码放在云端。APP平常不工作,但会发送请求,等云端告诉它往哪个号码发送短信。这样使用户在APP的代码中看不到病毒,也看不到短信号码。通过远程控制,病毒作者可以随时改变号码,随时可控,且很难被发现是哪家SP厂商。
无论何种形式的口扣费,都需要经过用户的“二次确认”。根据信产部政策规定,用户申请订制包月类、订阅类移动信息服务业务时,基础电信企业应当事先请求用户确认,未经用户确认反馈的,视为订制不成立,且不得向用户收费。
恶意APP要想在手机上完成扣费,必须经过用户二次确认。一些APP的做法是,拦截10086、10000短信到正常的收件箱,并自动代用户回复确认短信,跳过了用户人工确认这一环节,直接操作了用户的手机。
而为何扣费APP可以做到先于系统接收到10086短信?TechWeb了解到,这与优先级有关。
开发者Flylion向TechWeb介绍,在Android平台上病毒软件只要注册了android.provider.Telephony.SMS_RECEIVED事件,都有权限去接收短信。如果手机中多款软件都有权限,就涉及到“谁先谁后”的问题,先后顺序是由优先级决定的,只要病毒软件的短信接收优先级比系统默认的高,就可以优先接收到短信。
“写得数字越高,越早接收。”安全专家刘强称。
开发者Flylion以病毒Android.Troj.FakeVaplayer.a为例向TechWeb解释了它在后台的操作过程。
病毒首先注册短信接收消息,并把优先级上升到100,确保能够处理短信的接收信息,以便做拦截和处理扣费确认短信。
病毒向1066156686发送内容为8的短信,一共发送了6次。发送这些短信怀疑与订购SP服务,暗中扣费有关。
病毒将10开头的短信拦截掉,使SP返回的短信无法被用户查看。
病毒注册的短信息接收器,会拦截号码为“10”开头的短信,手机会无法接收到10开头的短信。
TechWeb致电中国移动的客服,客服人员表示,用户对“收不到10086短信”的投诉非常多,每天都能接到相关电话。中国移动方面尚没有办法阻止黑客拦截10086短信。她表示,用户如果遇到相关情况,请检查手机所安装的软件。
用户该怎么办?
第一,时刻注意预防。一般来说,APP需要获得“接收、编辑”短信的权限,才有可能通过短信进行扣费。(虽然国际上也有利用系统漏洞直接进行扣费,但成本较高,国内尚未找到真实的案例。)
用户在安装APP时,会弹出“权限”窗口,提醒用户“此应用程序可访问您手机上的以下内容”,和通信相关的APP,会有“您的信息”一项显示:“接受短信,编辑短信或者彩信,读取短信或彩信”。
“如果权限里有短信相关,而APP本身与短信无关,请一定高度注意,如果不是必须请尽量不要安装。”开发者Flylion说。
第二,如果手机已经中招,TechWeb建议你手动卸载可疑软件,即查看手机软件中哪些需要“短信”权限,该软件本身是否与短信相关,如果无关但需要获取短信权限的可疑软件,建议卸载
相关阅读