手机吸费逃离“北上广” 黑色产业链成形

   
手机吸费黑色产业链已成形（腾讯科技配图）
腾讯科技讯（乐果）7月26日消息，腾讯科技获得的一份网秦报告显示，2012年上半年，手机吸费软件正在逃离“北上广”等敏感地区。伴随吸费软件在形式、形态、特性上的不断变换，以及传播量的增强，手机吸费的黑色产业链已基本形成。
逃离“北上广” 行踪更隐蔽
顾名思义，吸费软件，以诱骗下载，后台发送短信吸费的方式威胁用户话费安全。今年3月起肆虐，6月衍生新变种的“吸费蝙蝠”（a.payment.GeoFeeBot）、“吸费蝙蝠二代”（a.payment.GeoFeeBot II）Android吸费软件，以超过62万的总感染量，位居手机病毒感染量首位。其破坏力让人现在回想起来都觉得后怕。

吸费软件运行时会屏蔽本地和特定区域（腾讯科技配图）
报告显示，目前中国大陆地区的恶意吸费软件已具备选择威胁区域，屏蔽自身所在区域和“北上广”等敏感地区的趋势，而这一新特性使得扣费软件的行踪更加隐蔽。
以“吸费蝙蝠”、“吸费蝙蝠二代”为例，首先其会默认屏蔽产生费用的SP服务公司所在的区域，并已默认屏蔽北京、广州、上海三地，而通过服务器配置，只在如江苏、河南、内蒙古等地生效，借以躲避“北上广”地区的审查力度，增高取证门槛，且利用二线、三线城市可能存在的部分安全监管隐患继续实施扣费行为。
在扣费方式上，目前恶意吸费软件多已可屏蔽掉来自各地运营商的业务确认短信同时，通过自动回复，且完全模拟用户的订购行为模拟短信来往操作的行为。
此外，2012年上半年中，大多数Android吸费软件的扣费形式已从过去通过本体配置好的特征与行为进行扣费，升级为通过接收远程服务器指令来灵活配置扣费，如全部通过服务器下发的指令来进行操作，灵活配置扣费地区，时段，并采用小额、多次的扣费方式有降低用户对话费损失的感知。
由于吸费软件默认读取的是服务器中预设的服务器配置表，更根据配置表路径，实际黑客可随意通过更新、替换新的扣费号段，从而通过一次传播而满足不同非法SP广告主的“需求”，甚至可在一天内变换几次扣费对象，灵活性更强。
黑色产业链成形
2012年上半年中，伴随吸费软件在形式、形态、特性上的不断变换，以及传播量的增强，已在2010、2011年便出现的手机吸费黑色产业链也加速了成型的步伐，至2012年上半年，通过分析、模拟，手机吸费的黑色产业链实际已基本形成。

吸费软件传播过程和背后黑色利益链条（腾讯科技配图）
如图所示，目前，制作恶意软件的黑客已和相关的非法SP公司形成了紧密的“合作关系”，黑客通过技术手段将非法SP提供的扣费号段植入到应用中诱骗用户下载，而在用户感染吸费软件后则会利用非法SP公司的短信计费和服务定制通道来产生费用，而在产生资费之后，还会按照不等的分成比例来合取暴利。
根据央视《每周质量播报》记者在多次探访后了解到的分成比例，非法SP与黑客的分成比例在30%-60%之间，部分暗自传播吸费软件和刷机商、渠道商也会有10%的收益。