近日，AVG中国实验室监测到了一款中国本土制造的“吸血狂徒”日历应用，为了吸走用户手机中的资费，制造者可谓是煞费苦心。

　　作者为了减少开发成本并迷惑用户，篡改了国内某日历应用，将其 “改造”为一款看似日历功能的恶意应用，可谓是“挂羊头，卖狗肉”。以日历应用伪装后，首先获取用户服务商及本人所在地，再针对用户所使用的不同服务商及地域，发送短信，实现不同运营商、地区灵活配置，以订阅SP服务，最后截拦SP订阅的确认信息，致使用户在一无所知的情况下被扣费，是名副其实的吸血日历。作者还不忘给他的“新”应用起一个好听的名字，意为祝用户百事大吉大利，同时更换了应用图标，无良与疯狂曝露无遗，这一切，只是为了能更方便取走用户的“血汗”。

　　下图为包名窜改细节，左侧为恶意应用，右侧为原应用：

　　作者在原应用基础上增加了一个名为DownManager的服务和一个名为RegReceiver的通知响应模块：

　　应用申请了：自启动，读取、编写、收发短信，获取位置等权限：

　　<uses-permission android:name="android.permission.GET_TASKS" />
　　<uses-permission android:name="android.permission.INTERNET" />
　　<uses-permission android:name="android.permission.READ_PHONE_STATE" />
　　<uses-permission android:name="android.permission.VIBRATE" />
　　<uses-permission android:name="android.permission.READ_LOGS" />
　　<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
　　<uses-permission android:name="android.permission.ACCESS_COARSE_LOCATION" />
　　<uses-permission android:name="android.permission.ACCESS_FINE_LOCATION" />
　　<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" />
　　<uses-permission android:name="android.permission.ACCESS_WIFI_STATE" />
　　<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" />
　　<uses-permission android:name="android.permission.MANAGE_ACCOUNTS" />
　　<uses-permission android:name="android.permission.USE_CREDENTIALS" />
　　<uses-permission android:name="android.permission.GET_ACCOUNTS" />
　　<uses-permission android:name="android.permission.RESTART_PACKAGES" />
　　<uses-permission android:name="android.permission.READ_CONTACTS" />
　　<uses-permission android:name="android.permission.READ_SMS" />
　　<uses-permission android:name="android.permission.RECEIVE_SMS" />
　　<uses-permission android:name="android.permission.SEND_SMS" />
　　<uses-permission android:name="android.permission.WRITE_SMS" />
　　<uses-permission android:name="android.permission.RECORD_AUDIO" />

　　权限信息

　　DownManager：

　　恶意代码节点关系图

　　经分析DownManager服务为恶意程序主要区域，在开发过程中，作者采用了后台线程;作者同时还考虑了中文系统和英文系统的不同，同时搭建了命令与控制服务器用于控制恶意代码执行开关，程序还可自行随机生成不同的配置文件，且过程并不只发生一次，间隔一段时间，会再次订阅，导致扣费，可谓费尽心思的“吸血狂徒”。

　　一号节点：

　　二号节点

　　A.