---

近期,腾讯反诈骗实验室接到用户反馈，手机突然收到大量扣费短信息。经过反病毒工程师的分析确认，这是用户手机感染了暗扣类游戏所致，用户感染暗扣病毒后，会不断收到提示订阅服务的短信。 

1、病毒分析                      

用户下载到的应用本身,从功能或者界面看上去都挺正常的,甚至于它申请的权限都比大多数大牌应用要少,似乎这就是个还算正常的良民应用。

细细观察就会发现该病毒会从云端获取配置参数,这些参数包括延迟时间,分运营商,分地域等,病毒正是利用这些参数控制应用的功能. 一转身就诱导用户安装了一款短信扣费游戏攫取利益 。

如果用户授予了完全的短信权限,该病毒还会尝试清除作案记录。

此外,我们研究了变脸窃贼更新的历史版本,发现其主要更新就是精细化云端配置参数。

2、受影响的应用

3、病毒更新详细分析分析

3.1 更新安装示意图

3.3 关键代码详细分析

软件启动后，从云端下载配置文件，并通过配置文件中的下载链接下载暗扣病毒样本。

 (1) 在主界面中调用Dsp类的handle方法 

(2) 在handle方法中调用process方法

(3) 在process方法中进行下载配置文件、获取配置文件中恶意软件的下载信息、下载恶意软件并安装

(4) 在process方法中调用DspInfoLoader类的getDspInfo方法下载并获取配置文件中的参数信息.获取配置文件的下载路径如下

http://meipi****.gz.bcebos.com/menghuanhuanyuan.properties

调用init的方法获取配置信息

配置文件信息：

(5)在process方法中调用fitProcess方法获取配置文件的信息，此信息为恶意软件的下载信息，包括包名和下载链接。

(6) 在process方法中调用DspMonitor类，启动线程下载恶意软件并进行安装

通过循环下载并安装恶意软件。

(7) 在APKUtils类中安装恶意文件

针对此类病毒，腾讯手机管家无需升级即可全面查杀,同时腾讯手机管家以及腾讯移动安全实验室提醒您：

1、手机用户应通过正规安全的渠道下载官方版支付、工具、游戏等各类手机APP。用户可在腾讯手机管家“软件管理”下载应用，或在类似应用宝等规模较大的安全电子市场进行下载，确保绿色安全，尽量避免在论坛、小型软件资源站等平台下载软件所引发的安全风险。

2、手机用户应养成使用安全软件来保护手机安全的良好习惯。手机用户可下载安装如腾讯手机管家一类的手机安全软件，定期给手机进行体检和病毒查杀，并及时更新病毒库。针对最新流行肆虐危害较大并且难以清除的病毒或者漏洞，可下载专杀工具及时查杀或修复， 提升手机安全。