瑞星卡卡安全论坛

首页 » 技术交流区 » 硬件交流 » SP吸费瞄上Android平台 40%应用被植入扣费代码
钻石☆小男孩 - 2011-1-5 19:31:00
1月4日消息,如果有人告诉你,目前中国1000万Android手机用户常接触到的应用程序(APP)中有30%到40%被人动了手脚,篡改后植入了恶意吸费代码,你很可能觉得他在信口开河或是不良安全厂商的xxx在故意恐吓你。很遗憾,这是真实的,并且有进一步蔓延的趋势。网易科技经过持续调查后了解到,目前国内至少有10家SP(电信增值服务商)或渠道商(借SP的收费渠道)利用第三方软件市场和论坛等渠道在做Android平台的吸费生意,他们的手段比山寨机吸费要高明的多,用户几乎察觉不到;Android应用开发者也是其中的受害者。
网易科技从今日起将刊发系列报道《Android应用程序吸费xxx调查》,揭示Android平台应用程序的吸费现象、原因以及解决办法
莫名消失的话费

网友LZMDZ在论坛上发帖称被SP扣费30元

一位网友公布了自己的话费详单,出现了多条2元的SP代扣费
“啊兴”是一位Android手机发烧友,也是这个领域的技术高手,他经常在论坛里看到用户抱怨被扣了费,他起初一直以为是小白用户一直开着网络流量开关产生的流量费,直到他最近发现自己的话费账单上也出现了五十多块钱的增值业务费。他的话费详单显示,这些增值业务费以SP代收费的方式,每次2元,扣了他二十多次。
他仔细排查后发现,问题出在他安装的一款名为《骷髅卫兵塔防之战》(Tower Master)汉化版的游戏身上。这款通过短信的方式扣掉了他五十多元的话费,尽管他是一个这方面的技术高手,尽管运营商有短信增值业务收费前三次确认,而他却浑然不知。这款游戏在安装时Android系统提示需要用短信权限,他和绝大多数的Android用户一样,直接点了下一步“安装”,几乎没有人会去留意这个程序安装时的系统提示。
和“啊兴”一样有被悄悄吸费遭遇的用户还有很多。
机锋网的网友“xxtwt”近日在一个论坛下载了一款名为“屏幕水雾V1.0”的软件,但在2010年12月23日及24日连续被一家叫“明天网络”的SP扣了6次费,每次2元,共12元。网友“Topk”也是因为在论坛下载了很多Android应用,他的手机在1个多月内被扣掉了70多元话费,最多的一次10元,最少的一次2元。
网易科技编辑在Android手机玩家聚集的机锋网论坛、安卓网论坛上发现,很多用户都在控诉吸费应用或曝光他遇到的吸费应用,且在近期有明显的增多。
而这些还只是发现自己话费被悄悄扣掉并在论坛说出来的用户,可能只是极小的比例,大多数Android手机用户是“沉默的大多数”,他们要么不知道自己被扣掉了话费,或者发现了也没有把它贴在论坛中。
国内一家知名Android社区的高层透露,经过他们反复统计,国内至少有10家Android平台的吸费SP或渠道公司。
中国Android手机用户群体已经有了相当不小的规模。易观国际近期的报告称,截至2010年9月底,中国有861万Android用户,谷歌中国Android平台代表Jack Huang在2010年12月初在一个公开会议上提到,中国有800多万Android用户,按照Android在国内的增长速度,无论这800万是三季度的数据还是11月底的数据,中国的Android用户在2010年底达到1000万没有什么悬念。
四成常见应用程序被植入吸费代码
这些被植入吸费代码的Android应用程序是极个别呢还是普遍存在?如果只是极个别,用户下载量也不大的话,那对用户及移动互联网产业的影响也不会大。
“我们从网上抓过来的Android程序,10个常见程序中就有4个被植入了恶意代码”,N多网创始人陈翀告诉网易科技。陈翀自称是无线应用狂热分子,他也参与创办了国内知名的Android社区安卓网的。由于加入恶意代码的程序太多,N多市场不得不连夜对它库里的游戏进行全面检测。
另外一家国内人气很高的Android社区机锋网的高级副总裁xxx告诉网易科技,他估计论坛等非市场(Market)渠道有30%至40%的常见Android应用程序被植入了恶意代码。手机用户能够用到Android应用的渠道包括国内数十家Android应用程序商店、两百余家Android论坛等。
陈翀及xxx透露的三四成比例对Android用户及产业都是一个令人吃惊的信息。
即使这一比例还不够精确,至少也可以说明,这个问题不再是个别现象。考虑到国内Android手机有1000万部,明年增加2000万至4000万部,这些应用程序都广受欢迎下载量大以及扣费悄无声息,它对Android用户造成的财产总损失及对Android应用程序行业造成的负面影响都是巨大的。

在媒体的大量曝光后,很多手机用户对山寨机吸费的情况都有所了解,SP通过内置到山寨机中的应用诱导点击,从而吸走了用户的话费,在运营商实行短信收费三次确认等针对性打击后情况有所好转。在新兴的智能手机Android平台,SP或中间的渠道商又是如何做到突破层层环节悄悄吸走用户话费的?它和山寨机吸费有何不同?背后的利益链条是怎样的?详细情况请关注网易科技的后续报道。(牛立雄)

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
1
查看完整版本: SP吸费瞄上Android平台 40%应用被植入扣费代码