的緩存目錄,比如QQ。(與上面的.QQ文件夾并不相同)
27、TitaniumBackup:鈦備份備份的程序所保存的目錄。
28、TunnyBrowser:感覺是海豚瀏覽器的緩存目錄,但為什么叫這個名字?金槍魚瀏覽器...。.
29、UCDLFiles:UC迅雷下載文件的保存目錄。
30、UCDownloads:UC瀏覽器下載文件緩存的保存目錄。
31、VIE:Vig買粉絲te(暈影相機)的緩存目錄。
32、yd_historys:有道詞典搜索歷史的緩存目錄
33、yd_speech:有道詞典單詞發音的緩存目錄。
34、youmicache:刪掉后還會自動生成,悠米廣告的緩存目錄,廣告程序內嵌在其程序中。
35、Glu:Glu系列游戲的資料包存放地,如3D獵鹿人,勇猛二兄弟等。
36、apadqq-images:QQ for pad的緩存目錄。
37、DunDef:地牢守護者的數據包。
38、KuwoMusic:酷我音樂的相關文件夾。
39、MxBrowser:遨游的緩存目錄。
40、Camera360:相機camera360的隨機緩存目錄,可以定期清除。
41、TTPod:天天動聽的緩存目錄。
42、downloaded:刷了MIUI,升級后的ZIP刷機包,保存在downloaded_rom里。
43、.estrongs:當你使用了ES文件管理器解壓文件,會有這個緩存記錄。它反映使用進程,可以刪除。
44、silentR:用了后臺錄音軟件,自生的音頻文件夾,子文件夾phoneCalls,定期管理清除
45、3D-買粉絲pass:這是使用實景指南針軟件,生成的景象圖片(圖像和數字比較詳細)文件夾,可以清除。
46、PDF:可移植文檔格式,Pdf閱讀器存儲文件夾。
47、Zidan you:是字典的詞庫文件儲存,刪除了要重新下載詞庫。
48、Callre買粉絲rds:采用第三方強制雙向錄音軟件(手機未root),音頻文件保存。
49、VPlayer Pro:是MOBO等視頻播放器使用后的記錄定期刪除。
50、BeWeather(Videos):是氣象類軟件(如黑莓天氣.。.等)附加下載音頻或動畫圖標的儲存地址,刪除了會無圖無聲顯示。
51、thumbnails:用第三方播放器觀看手持移動類視頻媒體時,存放點擊暫停、隨機截圖以及文件儲存時產生的內容。
52、iQuran(meta2):可蘭經瀏覽文本和音頻的儲存文件。
53、Autodesk:手機系統自帶存儲器命令生成文件夾:儲存圖像或編寫文稿,可以查看、備份或者刪除。
54、PixlrOMatic:后期特效處理圖片軟件Pixlo,儲存文件夾,打開可以預覽看效果。
55、mapbar:圖吧導航地圖存放文件,有必須主文件和不同地區具體地圖,主文件刪掉要重下!
56、antTTS:是使用了高德導航選擇語音種類導航、語種的下載地址,刪掉了語音提示會丟失。
57、kingsoft:金山詞霸專用文件夾下載儲存詞庫、更新拓展文匯(官方發布修正補充)。
58、NightVisionCamera:夜間拍照相機相片存放的地址。
59、DSA:電子狗專用夾,收錄各地區道路探頭監控位置信息,會定期更新。已測試配合高德、凱立德提前預警,效果不錯。
60、apexlauncher:尖端桌面啟動器文件夾,位置在andriod/data/,放置桌面設置備份bak文件。
McAfee Mobile Research團隊發現了一個新的收費欺詐行動,2018年在Google Play上至少發布了15個應用。根據Android Security 2017 Year in Review.,電話欺詐(包括WAP billing 欺詐)是Google Play上的主流的有害應用。這項新的行動表明,網絡犯罪分子不斷尋找新的方式,利用官方商店(如Google Play)上的應用盜取受害者的錢。
AsiaHitGroup Gang至少從2016年底開始活躍,分發虛假安裝應用程序Sonvpay.A,試圖向泰國和馬來西亞的至少20,000名受害者收取下載受歡迎應用程序副本的費用。一年后,2017年11月,Google Play上發現了一項新的活動,Sonvpay.B使用IP地址地理位置確認受害國的國籍,并將俄羅斯受害者添加到WAP收費欺詐中,從而增加從毫無警惕的用戶身上竊取資金的可能性。
2018年1月,AsiaHitGroup團隊利用重新打包的應用程序Sonvpay.C重返Google Play,該應用程序使用背景推送通知觸發虛假更新對話框。當受害者開始“更新”時,他們會訂閱高級付費服務。訂閱主要通過WAP收費進行,不需要將SMS消息發送到付費電話號碼。相反,只需要用戶使用移動網絡訪問特定網站并自動點擊按鈕即可啟動訂閱流程。根據Google Play的大致安裝次數,優質服務訂閱的費用以及這些應用可用的日期,我們估計自1月份以來,AsiaHitGroup Gang大致賺取了\$ 60,500- \$ 145,000。
McAfee Mobile Research團隊最初在Google Play上發現了如下重新打包的Sonvpay應用程序,所有這些應用程序都在今年發布:
圖1.在Google Play上找到的Sonvpay應用程序
我們于4月10日通知了Google,這些應用立即被刪除了。幾天后,應用程序“Despacito for Ringtone”再次在商店被發現,但很快被刪除。自從2018年1月在Google Play上發布第一個應用程序Cut Ringtones 2018以來,我們共發現了15個應用程序,總安裝次數超過50,000次。下表列出了15個惡意應用程序:
在下載時,用戶可能注意到的唯一預警標志是該應用程序需要訪問SMS消息。一旦安裝并執行,應用程序的功能是正常的(QR 買粉絲de reader, ring tones等)。但是,在后臺用戶不知情的情況下,Sonvpay會偵聽傳入推送通知,其中包含執行移動收費欺詐的數據。
Sonvpay采用oneignal推送通知服務獲取信息啟用訂閱用戶付費服務。為了在不顯示通知的情況下在后臺接收數據,Sonvpay采用了“onNotificationProcessing”方法并返回“true”以使通知保持靜默:
圖2.無聲背景通知
接收到的數據與假更新通知一并執行WAP和SMS欺詐。重新封裝的應用使用一段時間之后向用戶顯示假更新信息。這個假通知只有一個假按鈕。如果用戶滾動到結尾,則出現誤導性短語“點擊跳過同意”:
圖3.偽更新通知
如果用戶點擊唯一的按鈕,Sonvpay將完成其工作。但是,即使沒有與此窗口進行交互,如果推送通知中的“price”值為空,Sonvpay仍會繼續訂閱付費服務:
圖4.如果“price”值為空,則啟動移動收費欺詐
從靜默推送通知中獲得的參數之一是請求執行移動收費欺詐功能的URL。一旦顯示偽更新通知,Sonvpay會請求從另一個遠程服務器下載該庫:
圖5. Sonvpay請求提供額外功能的庫文件
新的APK文件被下載并存儲在/sdcard/Android/<package_name>/cache/路徑中,以便可以在運行時動態加載和執行。我們獲取的執行移動收費欺詐的庫僅針對哈薩克斯坦和馬來西亞,但由于該庫位于遠程服務器中,并且可以動態加載,因此它可能隨時更新以鎖定更多國家或移動運營商。
在哈薩克斯坦,Sonvpay會加載通過靜默推送通知傳遞的特定買粉絲,并使用JavaScript點擊“激活”按鈕來欺騙用戶訂閱付費服務:
圖6.哈薩克斯坦的WAP收費欺詐
在馬來西亞,惡意軟件會創建一個新的WebView,將“Short買粉絲de”和“Keyword”參數發送到特定的URL,促使用戶訂閱WAP付費服務:
圖7.馬來西亞的WAP收費欺詐
但是,在馬來西亞,app需要攔截移動運營商通過SMS發送的PIN碼。Sonvpay在重新打包的應用程序中實現了SMS攔截功能:
圖8.處理截獲的SMS消息以獲取PIN
一旦獲得PIN碼,它就會通過網絡請求發送給移動運營商,以自動確認訂閱。如果哈薩克斯坦或馬來西亞的參數不匹配,Sonvpay仍嘗試通過將SMS消息發送至靜默推送通知提供的付費號碼來執行移動收費欺詐:
圖9.將SMS消息發送到付費電話號碼的函數
在2018年攻擊活動中進行模式匹配時,我們找到了應用程序DJ Mixer-Music Mixer。只要此應用程序執行,它會檢查設備是否具有Inter買粉絲連接。如果設備處于脫機狀態,則應用程序將顯示錯誤消息“請您連接到互聯網以繼續”并結束。如果設備處于在線狀態,則應用程序會執行針對特定買粉絲的web請求:
圖10.對AsiaHitGroup Gang URL的Web請求
我們了解到開發者SHINY Team 2017創建的應用程序已于2017年9月在Google Play上發布;較早的Sonvpay變體是在2017年11月發現的。兩種變體的主要行為幾乎相同,包括將主圖標和應用程序名稱更改為下載管理器,以便向用戶隱藏其身份。DJ Mixer可通過IP地址的地理位置識別受感染設備所屬的國家并執行移動收費欺詐:
圖11.使用IP地理定位針對特定國家/地區
在本案例中,通過地理定位服務僅針對三個國家:俄羅斯(RU),泰國(TH)和馬來西亞(MY)。如果受感染設備的IP地址不是來自這些國家中的任何一個,則會出現一個對話框,聲稱該應用程序未處于活動狀態,用戶需要卸載并更新到最新版本。
如果是泰國或馬來西亞,惡意應用程序會隨機選擇一個關鍵字來選擇圖像,向用戶提供高級服務。在馬來西亞,圖片中包含服務條款的英文文本和“訂閱”按鈕來接受隨機選擇的付費服務:
圖12.馬來西亞IP顯示的屏幕
在泰國,文本內容為泰文,并包含服務條款以及取消訂閱和停止收費的說明:
圖13.泰國IP顯示的屏幕
在俄羅斯,用戶不會看到任何圖像。該應用欺騙性地通過WAP收費向用戶收費,同時啟用3G并禁用Wi-Fi:
圖14.強制使用3G來啟動WAP收費欺詐
從2016年末就出現了類似的冒充合法的流行app,通過短信欺詐要求用戶支付費用。這些內容與2018年攻擊行動中看到的文字相似,但標記為Term of user:
圖15.虛假安裝程序要求用戶支付流行的合法應用程序
如果用戶點擊“否”,則應用按預期執行。但是,如果用戶點擊“是”,則應用程序通過發送具有特定關鍵字的SMS消息到短號碼來向用戶訂閱付費服務。接下來,移動運營商通過SMS向設備發送PIN碼;惡意軟件會攔截PIN并通過網絡請求返回以確認訂閱。
一旦用戶被欺詐,訂閱了高級付費服務在官方應
2024-07-18 16:31
2024-07-18 16:13
2024-07-18 15:33
2024-07-18 15:23
2024-07-18 14:24
2024-07-18 14:10