sp利用android平臺吸費的利益鏈也在網易科技的調查下被理清：sp或與sp合作的渠道商，先組織技術人員將正規的android應用程序(國內開發的或國外漢化版)進行篡改，在其中加入惡意扣費代碼；然后將修改后的應用程序通過各種方式推廣給用戶的手機中，包括內置到第三方刷機rom、在第三方應用程序商店做免費或付費推廣、論壇推廣等；用戶安裝這些軟件后吸費代碼在遠端服務器的控制下啟動，通過發短信訂購服務的方式吸走用戶的費用或騙取其他開發商的推廣費；sp吸走了用戶的話費后再與電信運營商分成，分到屬于自己的部分。

51電子網公益庫存:

AM7204

CA3280

EF68A09P

G31-00

JULIA

MAX1290

OPA637AP

QMV554BT5

SFH600-2

W5280

很多android用戶在被吸費后，首先罵的是吸走他話費的那款android應用程序，認為是這個應用的開發者吸走了自己的話費。就像我們的上一篇系列報道中提到的，android應用開發者實際上也是受害者。pc及iphone、android多平臺應用程序“365日歷”最近的遭遇能很好的說明這個問題。

“365日歷”的負責人最近發現，有網友在論壇上罵他們吸費，這讓他很納悶，自己開發的軟件自己最清楚，怎么會有吸費的情況呢？他們把吸費的365日歷軟件進行解析后發現，這不是他們發布的原版軟件，這個軟件被人動了手腳，里面加入了惡意扣費代碼。365日歷近日發布了官方公告，提醒用戶有人篡改軟件，用戶如需下載要到官網或谷歌官方電子市場下載。

除了365日歷外，n多網創始人陳狼凹溉沼齙降囊桓鑾榭鲆材艽硬嗝嫠得髡飧鑫侍狻?/p>

一個公司一周前找他們推廣幾款android應用程序，推廣一個用戶7毛錢，但他發現這幾款軟件都是自己公司漢化的，對方怎么會要求推廣自己漢化的軟件呢？他覺得這里面一定有貓膩，把軟件解析后一看，發現里面被植入了扣費代碼。

一個是國產的應用程序，一個是國外軟件的漢化版，他們都是被篡改后加上了扣費代碼。

吸費公司除了成本極低的小應用(如簡單拼湊的應用，如“高清美女壁紙”之類的)以外，開發一款應用來吸費的情況非常的少，而一般選擇在受歡迎的應用中加入惡意代碼，他們可能是優秀的國產軟件，也可能國外軟件的漢化版，因為這樣省時又省力。

應用安裝前的功能調用提示會讓吸費應用露出馬腳，但大部分用戶沒仔細看這個提示

在山寨機吸費的案例中，最常見的情況是sp將吸費程序內置到了山寨機中，然后誘導手機用戶點擊。但在android平臺中，這些應用都是用戶一個個安裝上去的，他們是如何繞過層層環節，做到悄無聲息扣費的？

這其中就涉及到四個環節，首先是將扣費代碼加入到各種android應用程序中；其次是讓用戶能夠下載到這些應用程序；再次是讓下載的用戶能夠成功安裝這些應用程序；包括過了android平臺“功能調用提示”這一關；最后就是內置到應用程序中的扣費代碼在遠端服務器的控制下開始吸費了。

在第一步的內置扣費代碼中，sp需要組織技術人員在目前受歡迎的國產或國外漢化版android程序中加入扣費代碼，其中一些程序代碼還需要有加密處理，以免被外界發現。這些扣費代碼的其中一種方案是利用一種名為“給你米”(geinimi)的手機木馬。路透社在2010年12月31日報道說，“給你米”是目前手機上最先進的手機病毒，并援引國外信息安全公司lookout mobile security的預計稱，它已經感染了數萬至數十萬部手機。

第二步是讓用戶能夠下載到這些應用程序，這是sp們最難的一步。android平臺是一個開放的系統，其中的一條開放便是允許用戶到谷歌官方應用程序商店“電子市場”(google market)以外的任何渠道下載，包括論壇、第三方市場等，這就給了sp們制造了溫床，他們利用論壇及第三方市場推廣植入了扣費代碼的軟件，甚至花錢做付費推廣，比如上文提到的n多網接到的下載一個用戶sp吸費公司支付7毛錢。

除了下載外，刷機rom也是一個可能藏有吸費應用程序的途徑。由于目前刷機的用戶以手機玩家居多，辨別能力強，目前這種情況的比例并不算高。隨著android手機出現在山寨機市場，這類將扣費應用內置到手機中的情況可能會躲起來。

第三步是讓用戶過了“功能調用提示”這一關，將應用程序成功安裝這些應用程序。android系統為了保證各個應用程序的安全，在安裝之前加了一個提示環節，它會提示用戶這個程序會調用哪些功能，如果用戶覺得這個應用越權(如游戲應用調用短信功能)，可以拒絕安裝。遺憾的是，android用戶對這一全新的安全機制缺乏了解以及習慣問題(電腦上直接裝軟件直接習慣性直接點“下一步”)，絕大多數根本不看這些提示，或者看了提示后沒引起警覺，這就讓android安全的最后一道防線被用戶主動打開了。這一步目前是sp們最容易的一步。隨著更多的用戶開始關注這個問題，相信會有所好轉。

此外，吸費應用如果內置到修改過的刷機rom中，這些應用直接出現在手機中，用戶也看不到“功能調用提示”；部分電腦端在安裝android應用的程序時也不出現功能調用提示。

第四步就是吸費了。android技術高手“啊興”在前幾日寫下了一篇《扣費軟件的運轉機制與原理解析》的文章，其中介紹了吸費的技術原因：吸費公司將扣費代碼會植入到程序啟動的最初入口，每次在程序啟動之后都會運行，吸費代碼在運行過程中會采集手機號碼、imsi、iccid、imei等信息，然后將這些信息悄悄發給專用的服務器，服務器收到信息后，會返回指令告訴扣費程序發送設定好的短信至指定的sp特服號碼。根據運營商的要求，短信訂購增值服務要三次短信確認，吸費代碼就直接將運營商的確信短信給回復了，用戶根本看不到提示短信。

根據上面提到的屏蔽短信惡意代碼直接回復的原理，有智慧的網友總結出了只要收不到運營商短信特服號(如移動10086、聯通10010)的短信就代表可能中了惡意吸費程序的簡易方法。

目前中國移動的wap計費通道關閉后還未重新開放，ivr語音電話通道容易被發現，所以在android平臺上目前的吸費的方式就是短信，惡意吸費代碼就是通過偷偷發送短信又自己回復確認的辦法吸走話費。如果wap計費通道重新開放，還可能出現利用手機自動聯網訂閱wap服務的吸費方式。

除了上面四部曲提到的幾個原因外，sp利用android應用吸費與目前手機安全公司在android平臺針對吸費問題上還不夠“給力”也有關系。

以上sp的吸費四部曲初步可以理清這個灰色的利益鏈——

sp或與sp合作的渠道商，先組織技術人員將正規的android應用程序(國內開發的或國外漢化版)進行篡改，在其中加入惡意扣費代碼，然后將修改后的應用程序通過各種方式推廣給用戶的手機中，包括內置到第三方刷機rom、在第三方應用程序商店做免費或付費推廣、論壇推廣等，用戶安裝這些軟件后吸費代碼在遠端服務器的控制下啟動，通過發短信訂購短信增值服務的方式吸走用戶的話費。

在整個利益鏈中，sp是直接受益者，借助sp通道的吸費公司是受益者，幫助其推廣的廣告聯盟是受益者，幫助其論壇推廣的水軍是受益者，承接推廣的網站或第三方應用程序商店是受益者，最大的受害者是手機用戶，其次是應用程序的開發者及花錢做應用推廣的廣告主。

國內一家android社區的高層透露，，經過他們反復統計，在最核心的sp環節，國內至少有10家android平臺的吸費sp或渠道公司。

這些被植入的惡意代碼除了吸費外，還可以有其他掙錢的方法，比如一些應用程序的開發商在花錢推廣它的產品，每安裝一個用戶付一點錢，如uc瀏覽器的價格為安裝一個1.5元，惡意代碼可以搜集用戶已經安裝的應用程序信息，然后發給推廣企業，從而騙取推廣費，這種方式對手機用戶危害不大，但對產業有負面影響，再比如搜集用戶的個人隱私信息出售。

uc優視一位負責安全瀏覽器的市場產品經理說，搜集用戶隱私信息出售賺到的利潤不如扣費和賺推廣費來的直接，目前應用的并不廣泛。

在理清了sp利用android應用吸費的利益鏈和吸費步驟后，android應用程序開發行業應該如何對付這些害群之馬，以讓剛剛起步的android生態體系能有健康發展？作為一名普通的android用戶，如何才能發現、刪除已經裝進手機的吸費應用，以及如何避免安裝有吸費代碼的android應用，詳細情況請繼續關注網易科技的后續報道。