一種名為 MMarketPay.A 的新型手機(jī)病毒已經(jīng)在中國(guó)傳播，目前已有大約 10 萬(wàn)臺(tái)手機(jī)感染，涉及國(guó)內(nèi)的 9 個(gè)應(yīng)用商店。

這個(gè)病毒是由 TrustGo 發(fā)現(xiàn)的并將其命名為 ‘MMarketPay.A’ — 該惡意軟件會(huì)自動(dòng)從中國(guó)移動(dòng)的應(yīng)用商店(M-Market)購(gòu)買軟件。而且 TrustGo 提供證據(jù)表明下列第三方的應(yīng)用商店的應(yīng)用已經(jīng)受影響： nDuoa, GFan, AppChina, LIQU, ANFONE, Soft.3g.cn, TalkPhone, 159.com 和 AZ4SD.

當(dāng)用戶從這些商店中下載被感染的應(yīng)用時(shí)，可能會(huì)存在賬單累積的風(fēng)險(xiǎn)。MMarketPay.A 可以屏蔽短信安全步驟，無(wú)需用戶確認(rèn)直接定制來(lái)自 M-Market 的收費(fèi)服務(wù)。

TrustGo 團(tuán)隊(duì)解釋 M-Market 支付系統(tǒng)的工作原理，以及病毒是如何破解：

用戶登錄到 M-Market 網(wǎng)站 (http://mm.10086.cn/).

如果你使用 cmwap 接入點(diǎn)則會(huì)自動(dòng)進(jìn)行登錄，一旦你購(gòu)買某個(gè)應(yīng)用或者內(nèi)容時(shí)，M-Market 會(huì)通過(guò)短信發(fā)送一個(gè)驗(yàn)證碼到你手機(jī)，你需要在購(gòu)買時(shí)填寫這個(gè)驗(yàn)證碼。

一旦驗(yàn)證過(guò)程完成，就會(huì)自動(dòng)下載應(yīng)用，然后中國(guó)移動(dòng)會(huì)將從你手機(jī)中扣除購(gòu)買應(yīng)用的費(fèi)用。

[The virus] MMarketPay.A 可自動(dòng)通過(guò) M-Market 支付系統(tǒng)發(fā)起訂購(gòu)

首先將 APN 修改為 CMWAP，這樣就可以自動(dòng)登錄 MMarket

找出收費(fèi)應(yīng)用，并在后臺(tái)模擬點(diǎn)擊行為

屏蔽掉接收到的短信，并從短信中獲取驗(yàn)證碼，如果要求 CAPTCHA 圖片，則發(fā)送到遠(yuǎn)程服務(wù)器上去分析驗(yàn)證碼。

提交驗(yàn)證碼給 M-Market 服務(wù)器

下載應(yīng)用讓用戶買單

M-Market 同時(shí)包含很多收費(fèi)的視頻內(nèi)容，病毒同樣可以搜索、播放和下載這些內(nèi)容，而這個(gè)過(guò)程對(duì)手機(jī)用戶來(lái)說(shuō)是不知道的。

MMarketPlay.A 目前只影響國(guó)內(nèi)的應(yīng)用生態(tài)系統(tǒng)，Google Play 不受此影響。