扣费软件的运转机制与原理解析

在你玩游戏或上微博的时候神不知鬼不觉的扣掉话费。仔细检查后发现也没有安装什么黑心软件，都是“微博”、“365日历”、“骷髅塔防”这大家常用的应用，怎么话费就变少了呢？！看到这样的帖子也有几次了，一直以为是不会用APN开关的小白被偷跑流量了，根本没当回事。直到今天发现我的话费里突然多了五十多块的增值服务费才警觉起 来。ROM是我自己做的，肯定没有问题，将手里里的软件一个一个清查后，将目标锁定在“骷髅塔防”上。卸载重装，发现塔防游戏提示我要使用短信权限，就是 它了，问题十有八九出在它身上！

分析APK包发现扣费代码会植入到程序启动的最初入口，每次在程序启动之后都会运行。运行过程中会采集我们的手机号、IMSI、ICCID、IMEI等信息，当然这一切都是在我们不知不觉中进行的。然后将这些信息发送到专有服务器上，并且服务器的地址还经过加密混淆，他们也怕被抓出来啊。

黑服务器收到信息后，会返回指令告诉扣费程序发送短信至指定的电话号码，并且会偷偷安装指定软件，甚至可以指定是否用浏览器批开特殊网址，几乎可以判断目前已有的各类浏览器。

短信发送后，扣费号码一般会返回扣费信息，这时扣费代码会对回执短信进行拦截，你不会收到任何提示，就这样通过短信把钱给付了。

另外我发现有一些软件会做付费推广，比如一些浏览器软件、输入法软件等等。一般的办法是找一个合作方，给合作方提供一个做了该方标记的安装包。比如说一个浏览器软件通过网站A推广，就给对方一个A版本的软件包，这样A网络可以通过自己制作的ROM或其它办法，让A版本软件出现在你的手机中，这时你运行了A版本软件，你就为浏览器增加了一个用户，相应的A网站会得到2块到3块钱的推广费用。大家可以留意一下哪些ROM中内置了哪些国产软件，基本可以知道一个ROM或其它方式会为A带来多少收入。

这次扣费代码强大之处在于，它收集了很多这种做付费推广公司的软件标记，在你运行了植入扣费代码的软件时，不但自己损失了电话费，这些做传费推广的公司还会收到增加用户的统计信息，以为你成为了他们的用户，因此付费给这个扣费代码的制造者。真够坏的！

现在大家应该基本了解扣费代码是以怎么样的机制动作了吧。这次先给兄弟们讲到这里，版主又找到新的扣费软件样本了，我继续分析，争取晚上把分析工具完成！

初级科普以及如何人肉避免扣费代码软件，请看kitaroshi版主的《恶意扣费软件普及贴，请各位机友提高警惕！防患于未然！》。

不知道自己是否中招的同学，先核对kitaroshi版主每天更新的《N多网每日更新恶意植入扣费软件黑名单列表，请各位机友提高警惕！【更新至 20101229】》，如果发现黑名单列表中有你安装过的软件，打查询电话查查话费有没有异常。

当然，即使黑名单列表中没有你安装过的软件，也还是查一下话费保险些，特别注意增值服务费一项。