為泰文,并包含服務條款以及取消訂閱和停止收費的說明:
圖13.泰國IP顯示的屏幕
在俄羅斯,用戶不會看到任何圖像。該應用欺騙性地通過WAP收費向用戶收費,同時啟用3G并禁用Wi-Fi:
圖14.強制使用3G來啟動WAP收費欺詐
從2016年末就出現了類似的冒充合法的流行app,通過短信欺詐要求用戶支付費用。這些內容與2018年攻擊行動中看到的文字相似,但標記為Term of user:
圖15.虛假安裝程序要求用戶支付流行的合法應用程序
如果用戶點擊“否”,則應用按預期執行。但是,如果用戶點擊“是”,則應用程序通過發送具有特定關鍵字的SMS消息到短號碼來向用戶訂閱付費服務。接下來,移動運營商通過SMS向設備發送PIN碼;惡意軟件會攔截PIN并通過網絡請求返回以確認訂閱。
一旦用戶被欺詐,訂閱了高級付費服務在官方應用程序商店下載免費應用程序的副本,則惡意軟件顯示對話“下載游戲...”并繼續下載存儲在第三方服務器上的另一APK。盡管我們從遠程服務器下載的APK文件是合法流行應用程序的副本,但該文件可以隨時更改為其他惡意軟件。
與之前的攻擊不同,我們沒有找到證據證明這些偽裝應用程序是通過Google Play分發的。我們相信他們是通過虛假的第三方市場發布的,用戶在這些市場上尋找受歡迎的應用程序,從未知來源下載APK文件會被欺騙。2018年6月,ESET和Sophos發現這個變種的新版本偽裝成流行的游戲Fortnite。通過YouTube視頻誘導用戶從特定URL下載假應用來傳播。最近的這項行動表明,這種威脅背后的網絡犯罪分子仍然在積極誘騙用戶安裝這些虛假應用程序。
所有這些攻擊都依賴針對東南亞和中亞地區用戶的收費欺詐app,并使用幾乎相同的文字和圖片來欺騙用戶訂閱付費服務。三個攻擊行動的其他潛在關聯表明,所有應用都可能來自同一個攻擊組織。例如,所有攻擊的應用都使用與調試日志標記相同的字符串:
圖16.用作日志標記的“SonLv”字符串出現在所有的攻擊中
在包和類名稱以及使用通用框架(telpoo.frame)執行典型任務(如數據庫,網絡和接口支持)方面也存在顯著的相似性:
圖17.所有攻擊中的常見包名和類名
最后,Google Play攻擊中的app使用域名vilandsoft[.]買粉絲來檢查更新。虛假安裝程序活動中的應用程序也使用相同的域名來提供遠程執行命令,例如action_sendsms:
圖18.一個虛假安裝程序檢查action_sendsms命令
下述時間表標識了我們找到的該組織的攻擊行動,誘騙用戶安裝應用、分發方式、主要payload和目標國家的策略:
圖19. Sonvpay活動的時間表
Sonvpay行動是AsiaHitGroup網絡犯罪分子如何不斷調整策略,誘騙用戶訂購收費服務并提高利潤的一個例子。這些攻擊從2016年底開始,用非常簡單的虛假安裝程序,向用戶收取流行應用程序副本的費用。2017年底,Google Play應用濫用WAP收費服務,并使用IP地址地理位置定位特定國家/地區。 2018年,Google Play應用使用無聲背景推送通知來觸發顯示偽造的更新消息并收集移動收費欺詐數據。我們預計網絡犯罪分子將繼續開發和分發新的收費欺詐,瞄準更多的國家并影響全球更多的用戶。
網絡犯罪分子總是追逐金錢,而從用戶那里竊取金錢的最有效方法之一就是通過收費欺詐。例如,受害者可能不會注意到欺詐性收費,因為收費的信息直到月底才會出現在移動賬單上。即使提前發現付款,大部分情況都是訂閱收費而非一次性付款。因此,受害者需要找到一種方法來取消訂閱付費服務。但如果訂閱是悄無聲息的發生,或者如果應用程序不提供該信息,這可能并不容易分別。此外,WAP收費欺詐不需要將SMS消息發送到付費號碼使得更容易提交。網絡犯罪分子只需要通過強制他們加載WAP收費服務頁面并點擊按鈕來靜默訂閱用戶。由于這些原因,我們預計移動收費欺詐將繼續針對Android用戶。
McAfee Mobile Security將此威脅檢測為Android/Sonvpay。為了保護自己免受此類和類似威脅,請在移動設備上使用安全軟件,在Google Play上檢查應用的用戶評論,并且不要在應用打開后立即接受或信任通過SMS消息要求付款功能的任何互動。
一、卸載應用程序的一般方法,點擊:系統設置—應用程序—管理應用程序—全部—點擊要卸載的程序—點擊“卸載”—彈出提示后點擊“確定”。
二、但大多手機自帶的程序屬于系統應用或預裝的合作方應用程序,不開放用戶卸載權限。若想卸載該類程序需要Root后才可以使用re管理器進行刪除或卸載。具體方法是:
1. 下載并安裝Root Explorer的軟件。
2. 首次開啟Root Explorer的時候會彈出提示,選擇“總是同意”。
3. 接著在文件目錄中找到“system”文件夾并點擊進入。
4. 進入“system”文件夾后再進入“APP”文件夾。
5. 這時會看到很多以APK和odex結尾的文件。首先要先點擊下右上角的“Remount as R/W”,點擊后這個按鈕會變成“Remount as R/O”,說明用戶已獲取讀寫權限!下面以系統自帶的平衡球游戲—Teeter為例說明卸載過程。首先找到Teeter.apk與Teeter.odex這兩個文件。(兩個文件都要刪除)然后常按文件名就會彈出下圖中的對話框,選擇Delete就可以刪除該程序了。當彈出對話框詢問是否要刪除該文件時,選擇“Yes”。當Teeter.apk與Teeter.odex這兩個文件完成刪除后,再點擊下Remount as R/O把讀取權限改為只讀,以免誤操作!
三、由于獲取Root權限,刪除系統程序或文件存在一定的風險,可能導致系統異常從而無法正常使用。另外操作后可能影響設備的正常保修,為了后續正常使用,聯想官方不建議用戶進行root操作。
四、 為防止不小心刪錯系統程序,把不該刪的系統軟件給刪除,導致手機出現問題,下面提供一個精簡列表,可對照進行聯想A60自帶程序刪簡。
不可刪除程序
1 Ac買粉絲untAndSyncSettings.apk同步與帳戶設定 不可以刪除
2 ApplicationsProvider.apk應用程序支持服務 不可以刪除
3 CertInstaller.apk證書服務 不可以刪除
4 ContactsProvider.apk通訊錄/聯系人數據存儲服務 不可以刪除
5 DefaultContainerService.apk默認通訊錄服務 不可以刪除
6 DownloadProvider.apk下載管理器 不可以刪除
7 DownloadProviderUi.apk下載管理器 不可以刪除
8 DrmProvider.apk DRM受保護數據存儲服務 不可以刪除
9 LenovoApplicationsManager.apk程序管理,不可刪除
10 MediaProvider.apk媒體數據存儲服務 不可以刪除
11 MtkBt.apk全球衛星定位系統接收器 不可以刪除
12 PackageInstaller.apk程序安裝 不可以刪除
13 Phone.apk電話撥號程序 不可以刪除
14 Settings.apk系統設置 不可以刪除
15 SettngsProvider.apk設置服務程序 不可以刪除
16 SystemUI.apk上欄狀態,不可刪除
17 TelephonyProvider.apk撥號記錄存儲服務 不可以刪除
建議保留程序
1 AcwfDialog.APK系統類建議保留
2 ActivityNetwork.apk系統類建議保留
3 APKInstaller.apk建議保留
4 CellConnService.apk系統類建議保留
5 Bluetooth.apk藍牙(刪了就沒有藍牙了)建議保留
6 Calculator.apk計算器(自帶計算器較弱,可用其他替代)
7 CameraOpen.apk自帶相機(用360的可刪)
8 Contacts.apk通訊錄/聯系人(用第三方通訊錄的可刪)
9 DataDialog.apk數據對話框 不確定,沒刪
10 EngineerMode.apk工程師模式 不確定,沒刪
11 EngineerModeSim.apk sim卡模式,建議保留
12 fmradio.apk收音機(可刪)
13 Gallery3D.apk相機相框(可刪)
14 Launcher2.apk主題,可用其他主題替換
15 LenovoSDAC.apk系統相關,建議保留
16 LenovoClock.apk自帶鬧鐘(用第三方鬧鐘的可刪)
17 LenovoSystemInformation.apk系統信息,建議保留
18 Mms.apk自帶信息(可刪,用第三方短信的就刪了吧
19 MobileLog.apk可刪除
20 ModemLog.apk可刪除
21 Music.apk自帶音樂(可刪,換成其他播放器)
22 SmsReg.apk sms存儲,建議保留
23 Provision.apk開機引導程序
24 v*p*nServices.apk v*p*n服務(v*p*n服務,建議保留)
25 YGPS.apk GPS相關,建議保留
可刪除程序
1 116114.apk聯通的116114,可刪除
2 A8MusicWidget.apk音樂播放,可刪除
3 Browser.apk谷歌瀏覽器(喜歡UC的可用UC替代)
4 Calendar.apk日歷(不用日歷的可刪)
5 CalendarProvider.apk日歷(不用日歷的可刪)
6 Citynum.apk來電地區查詢,可刪除
7 FileBrowser.apk文件管理,不用可刪除,也可用第三方替代
8 Email.apk email(不用自帶email接受郵件的可刪)
9 FilterList.apk防擾助手,類似防火墻,可刪除。
10 facebook.apk facebook (用不到的刪)
11 HYF_Android_R_V2.5.17forLenovo.apk金山office,可刪除
12 HTMLViewer.apk HTML瀏覽器(本地看買粉絲,用不到可刪)
13 KaiXinAc買粉絲untService.apk放在userdata中,未知程序,沒敢刪
14 Lemei.apk樂媒,聯想定制軟件,可刪