你是否遇到過手機突然無法接收10086短信？那意味著你的手機已經(jīng)中病毒，而原因就是你安裝了帶扣費的APP。

在百度、Google等搜索引擎輸入“收不到”三個字，你會發(fā)現(xiàn)一個奇怪的現(xiàn)象：排在搜索“收不到”首位的竟然是“收不到10086短信”。

　　用戶孟冬就遇到過這種情況。4月初，他購買了一部HTC智能手機。興奮之余，小孟安裝了大量的APP軟件，不過，很快他就發(fā)現(xiàn)一個奇怪現(xiàn)象，無法接收到10086的短信。

　　“因為辦了一個移動套餐，對方提示會有短信提示，但是我怎么也收不到”。孟冬說，“開始以為是信號不好，后來到外面測試還是收不到，在電話咨詢10086的客服之后，他們建議我查看手機上是否安裝了可疑的APP。我逐一卸載后，手機才恢復(fù)了正常。”

　　與孟冬有同樣遭遇的用戶其實不在少數(shù)。這些被刪掉的APP軟件到底在背后搞什么鬼？業(yè)內(nèi)資深安全專家劉強向TechWeb透露，如果突然出現(xiàn)無法正常接收10086短信的現(xiàn)象，最大的可能就是你的手機已經(jīng)“被安裝”了扣費程序。

被攔截的10086短信

　　首先，讓我們了解下手機被扣費的模式和流程：

　　惡意APP扣費的模式有兩種：一是本地扣費，直接把代碼寫在程序里。二是遠程控制，把扣費代碼放在云端。APP平常不工作，但會發(fā)送請求，等云端告訴它往哪個號碼發(fā)送短信。這樣使用戶在APP的代碼中看不到病毒，也看不到短信號碼。通過遠程控制，病毒作者可以隨時改變號碼，隨時可控，且很難被發(fā)現(xiàn)是哪家SP廠商。

　　無論何種形式的口扣費，都需要經(jīng)過用戶的“二次確認”。根據(jù)信產(chǎn)部政策規(guī)定，用戶申請訂制包月類、訂閱類移動信息服務(wù)業(yè)務(wù)時，基礎(chǔ)電信企業(yè)應(yīng)當事先請求用戶確認，未經(jīng)用戶確認反饋的，視為訂制不成立，且不得向用戶收費。

　　惡意APP要想在手機上完成扣費，必須經(jīng)過用戶二次確認。一些APP的做法是，攔截10086、10000短信到正常的收件箱，并自動代用戶回復(fù)確認短信，跳過了用戶人工確認這一環(huán)節(jié)，直接操作了用戶的手機。

　　而為何扣費APP可以做到先于系統(tǒng)接收到10086短信？TechWeb了解到，這與優(yōu)先級有關(guān)。

　　開發(fā)者Flylion向TechWeb介紹，在Android平臺上病毒軟件只要注冊了android.provider.Telephony.SMS_RECEIVED事件，都有權(quán)限去接收短信。如果手機中多款軟件都有權(quán)限，就涉及到“誰先誰后”的問題，先后順序是由優(yōu)先級決定的，只要病毒軟件的短信接收優(yōu)先級比系統(tǒng)默認的高，就可以優(yōu)先接收到短信。

　　“寫得數(shù)字越高，越早接收。”安全專家劉強稱。

　　開發(fā)者Flylion以病毒Android.Troj.FakeVaplayer.a為例向TechWeb解釋了它在后臺的操作過程。

　　病毒首先注冊短信接收消息，并把優(yōu)先級上升到100，確保能夠處理短信的接收信息，以便做攔截和處理扣費確認短信。

　　病毒向1066156686發(fā)送內(nèi)容為8的短信，一共發(fā)送了6次。發(fā)送這些短信懷疑與訂購SP服務(wù)，暗中扣費有關(guān)。

病毒將10開頭的短信攔截掉，使SP返回的短信無法被用戶查看。

　　病毒注冊的短信息接收器，會攔截號碼為“10”開頭的短信，手機會無法接收到10開頭的短信。

　　TechWeb致電中國移動的客服，客服人員表示，用戶對“收不到10086短信”的投訴非常多，每天都能接到相關(guān)電話。中國移動方面尚沒有辦法阻止黑客攔截10086短信。她表示，用戶如果遇到相關(guān)情況，請檢查手機所安裝的軟件。

用戶該怎么辦？

　　第一，時刻注意預(yù)防。一般來說，APP需要獲得“接收、編輯”短信的權(quán)限，才有可能通過短信進行扣費。(雖然國際上也有利用系統(tǒng)漏洞直接進行扣費，但成本較高，國內(nèi)尚未找到真實的案例。)

　　用戶在安裝APP時，會彈出“權(quán)限”窗口，提醒用戶“此應(yīng)用程序可訪問您手機上的以下內(nèi)容”，和通信相關(guān)的APP，會有“您的信息”一項顯示：“接受短信，編輯短信或者彩信，讀取短信或彩信”。

　　“如果權(quán)限里有短信相關(guān)，而APP本身與短信無關(guān)，請一定高度注意，如果不是必須請盡量不要安裝。”開發(fā)者Flylion說。

　　第二，如果手機已經(jīng)中招，TechWeb建議你手動卸載可疑軟件，即查看手機軟件中哪些需要“短信”權(quán)限，該軟件本身是否與短信相關(guān)，如果無關(guān)但需要獲取短信權(quán)限的可疑軟件，建議卸載