国内的手机应用商店、论坛较多,有相当多的商店、论坛只需要提交、填写下资料和描述后一点就可以完成上传,根本没有审核,如此宽松的机制,刚好给黑客制造了“作案”机会,他们通过精心设局,一步一步让手机用户落入吸费陷阱。下面,我们就跟随爱加密技术人员去了解一下手机吸费软件的“作案”过程。
吸费软件又是如何扣费的呢?
首先,这些披着“画皮”的应用被俺们误装到手机里后,会在手机的后台偷偷的运行,之后趁着“月黑风高”便开始了它们的行动,第一步是发短信,编写预设好的那些开通某些服务的短信出去。
其次,是拦截扣费短信,这开服务必然会有确认啊,让机主看到了可不得了,因此,吸费软件在编写个回复指令,比如“Y”等的同时把这些罪证拦截删除,就这么在不经意间把服务开通了。
于是乎,这发短信、回确认,再“自动回复”,来来往往之间就把我们的手机话费吸干,关键在于这一切都是在暗地里进行的,我们根本就不知道,而黑客靠这种手段,一次批量制作几十款App再进行传播,还真能获得一笔不小的收益,这有一组数据,2012年初,一个叫“吸费蝙蝠”的吸费软件就曾经伪装成近百款应用,感染了超过50万用户,而按照其每月扣费5块钱算,一个月的收入最高达250万元,“躺着挣钱”名副其实。
我们如何避免吸费软件侵害呢?
爱加密安全专家指出,吸费软件的运作机制是将吸费软件植入存在漏洞的正常App后,二次打包成“画皮”App进入渠道,手机用户在真假难辨的情况下安装此类App之后就会造成话费损失。
要避免吸费软件侵害,除了应用商店、论坛严于审核外,开发者从根本上做好App防护尤为重要。首先,开发者需要及时发现App漏洞并修补,基于此种需求,爱加密移动应用保护平台提供App漏洞分析服务,只需一键上传APK就可检测App漏洞,检测结果清晰、详细,并可一键生成漏洞分析报告,极大地提高开发者的工作效率,有效帮助开发者了解App安全状况,提高App安全性。
其次,爱加密提供App加密服务,让开发者无需对产品源码做任何修改,只要注册并完善个人信息,经过审核后提交 APK 文件,只需5到10分钟便可在线完成 App 高级加固,用更便捷、更廉价的方式保护App安全,防止沦为吸费软件的“作案”工具。