一种名为 MMarketPay.A 的新型手机病毒已经在中国传播,目前已有大约 10 万台手机感染,涉及国内的 9 个应用商店。
这个病毒是由 TrustGo 发现的并将其命名为 ‘MMarketPay.A’ — 该恶意软件会自动从中国移动的应用商店(M-Market)购买软件。而且 TrustGo 提供证据表明下列第三方的应用商店的应用已经受影响: nDuoa, GFan, AppChina, LIQU, ANFONE, Soft.3g.cn, TalkPhone, 159.com 和 AZ4SD.
当用户从这些商店中下载被感染的应用时,可能会存在账单累积的风险。MMarketPay.A 可以屏蔽短信安全步骤,无需用户确认直接定制来自 M-Market 的收费服务。
TrustGo 团队解释 M-Market 支付系统的工作原理,以及病毒是如何破解:
用户登录到 M-Market 网站 (http://mm.10086.cn/).
如果你使用 cmwap 接入点则会自动进行登录,一旦你购买某个应用或者内容时,M-Market 会通过短信发送一个验证码到你手机,你需要在购买时填写这个验证码。
一旦验证过程完成,就会自动下载应用,然后中国移动会将从你手机中扣除购买应用的费用。
[The virus] MMarketPay.A 可自动通过 M-Market 支付系统发起订购
首先将 APN 修改为 CMWAP,这样就可以自动登录 MMarket
找出收费应用,并在后台模拟点击行为
屏蔽掉接收到的短信,并从短信中获取验证码,如果要求 CAPTCHA 图片,则发送到远程服务器上去分析验证码。
提交验证码给 M-Market 服务器
下载应用让用户买单
M-Market 同时包含很多收费的视频内容,病毒同样可以搜索、播放和下载这些内容,而这个过程对手机用户来说是不知道的。
MMarketPlay.A 目前只影响国内的应用生态系统,Google Play 不受此影响。