微软警告称，收费欺诈Android恶意软件应用程序的功能正在演变

微软详细介绍了安卓系统上收费欺诈恶意软件应用的不断发展的能力，指出其“复杂的多步骤攻击流”和一种逃避安全分析的改进机制。

收费欺诈属于计费欺诈的一类，恶意的移动应用程序附带隐藏的订阅费，在用户不知情或未经其同意的情况下将其吸引到优质内容。

它也不同于其他fleeceware威胁，因为恶意功能仅在受损设备连接到其目标网络运营商之一时执行。

微软365 Defender研究团队的Dimitrios Valsamaras和Sang Shin Jung在一份详尽的分析中表示：“默认情况下，它的活动也使用蜂窝连接，并强制设备连接到移动网络，即使有Wi-Fi连接可用”。

“一旦与目标网络的连接得到确认，它就会秘密发起欺诈性订阅，并在未经用户同意的情况下进行确认，在某些情况下甚至会拦截一次性密码（OTP）来进行确认”。

收费欺诈的核心是利用支付方式，使消费者能够从支持无线应用协议（WAP）的网站订阅付费服务。该订阅费直接计入用户的手机账单，因此无需设置信用卡或借记卡或输入用户名和密码。

“如果用户通过移动数据连接到互联网，移动网络运营商可以通过IP地址识别他/她，”卡巴斯基在2017年关于WAP计费特洛伊木马点击器的报告中指出。“移动网络运营商仅在成功识别用户时才向用户收费”。

研究人员说：“在收费欺诈的情况下，恶意软件以一种无法感知整个过程的方式代表用户进行订阅”。“恶意软件将与[命令和控制]服务器通信，以检索提供的服务列表”。

它通过首先关闭Wi-Fi并打开移动数据来实现这一点，然后使用JavaScript秘密订阅服务，并拦截和发送OTP代码（如果适用）来完成这一过程。

成功欺诈订阅后，恶意软件要么隐藏订阅通知消息，要么滥用其SMS权限，从移动网络运营商处删除包含订阅服务信息的传入文本消息。

收费欺诈恶意软件还可以通过动态代码加载来掩盖其恶意行为，这是安卓系统中的一项功能，允许应用程序在运行时从远程服务器提取额外模块，使其成为恶意行为者滥用的时机。

从安全角度来看，这也意味着恶意软件作者可以设计应用程序，使恶意功能仅在满足某些先决条件时加载，从而有效地挫败静态代码分析检查。

“如果一个应用程序允许动态代码加载，并且动态加载的代码正在提取文本消息，那么它将被归类为后门恶意软件，”谷歌在其关于潜在有害应用程序（PHA）的开发人员文档中指出。

2022年第一季度，收费欺诈应用的安装率为0.022%，占安卓应用市场安装的所有PHA的34.8%，仅次于间谍软件。大多数装置来自印度、俄罗斯、墨西哥、印度尼西亚和土耳其。

为了减轻收费欺诈恶意软件的威胁，建议用户仅从谷歌Play商店或其他可信来源安装应用程序，避免对应用程序授予过多权限，并考虑在停止接收软件更新的情况下升级到新设备。