手机已经成为人们日常生活必不可少的一部分，近几年越来越多的人习惯了在享受运营商提供服务的同时，也要缴纳相应服务费。随着移动互联的进步与发展，手机资费账户也正在向电子钱包化迈进。正因为这样，恶意应用的血盆大口也毫无遮拦的瞄准了用户的手机资费!

近日，AVG中国实验室监测到了一款中国本土制造的“吸血狂徒”日历应用，为了吸走用户手机中的资费，制造者可谓是煞费苦心。

作者为了减少开发成本并迷惑用户，篡改了国内某日历应用，将其 “改造”为一款看似日历功能的恶意应用，可谓是“挂羊头，卖狗肉”。以日历应用伪装后，首先获取用户服务商及本人所在地，再针对用户所使用的不同服务商及地域，发送短信，实现不同运营商、地区灵活配置，以订阅SP服务，最后截拦SP订阅的确认信息，致使用户在一无所知的情况下被扣费，是名副其实的吸血日历。作者还不忘给他的“新”应用起一个好听的名字，意为祝用户百事大吉大利，同时更换了应用图标，无良与疯狂曝露无遗，这一切，只是为了能更方便取走用户的“血汗”。

下图为包名窜改细节，左侧为恶意应用，右侧为原应用：

作者在原应用基础上增加了一个名为DownManager的服务和一个名为RegReceiver的通知响应模块：

应用申请了：自启动，读取、编写、收发短信，获取位置等权限：

DownManager：

恶意代码节点关系图

经分析DownManager服务为恶意程序主要区域，在开发过程中，作者采用了后台线程;作者同时还考虑了中文系统和英文系统的不同，同时搭建了命令与控制服务器用于控制恶意代码执行开关，程序还可自行随机生成不同的配置文件，且过程并不只发生一次，间隔一段时间，会再次订阅，导致扣费，可谓费尽心思的“吸血狂徒”。

一号节点：

二号节点

A.

B.

三号节点：

RegReceive

RegReceiver为截拦短信恶意代码块，专门用于拦截SP厂商的确认回复信息，使用户无法看到SP或运营商回复的短信，至使用户莫名扣费。

代码部分：

运营商匹配：

命令与控制服务器:

SP信息、服务定制码、运营商信息：

省份信息：

如何清除：

AVG手机安全-永久免费中文版即可轻松防御与清除此类恶意应用，并且提供贴心的加密、优化、备份等各项手机管理功能。无论是应用安装前或安装后，免费且高效。轻击小药丸，轻松解决您的手机安全问题。

如何防范：

1、 谨慎审查您所安装应用的权限，小心一些需要敏感权限的应用。

2、 针对目前恶意修改应用的情况，用户应尽量去市场下载知名厂商的应用，或直接登录该厂商的官方网站下载。

3、 针对目前中国用户的特殊情况，选择市场亦应选择较为正规的市场去下载应用。

4、 如果您勾选了“未知源”，请谨慎对待您所安装的程序。

最后，如果您只想简单的用好您的手机，并不想思考那么多琐碎的安全细节，您可以直接安装AVG手机反病毒软件

下载地址：https://play.google.com/store/apps/details?id=com.antivirus