文章总结： Android恶意软件通过伪装成热门应用诱骗用户安装，利用SIM卡运营商识别、WebView自动化、短信API滥用等技术在用户不知情时订阅付费服务。该活动自2025年3月活跃于多国，涉及近250个恶意应用。建议用户仅从官方渠道下载应用、谨慎审核权限并监控账单异常。 综合评分： 100 文章分类： 恶意软件,移动安全,漏洞分析,安全运营

Android恶意软件会在用户不知情的情况下为其注册高级服务

原创

ZM ZM

暗镜

2026年5月24日 06:00 北京

在小说阅读器读本章

去阅读

Android 用户正成为大规模恶意软件攻击的目标，这些恶意软件会在用户不知情的情况下悄悄地将他们订阅到付费移动服务。

该恶意软件攻击活动主要针对运营商计费欺诈，滥用付费短信服务为攻击者牟利。此次攻击的危险之处在于，它能够根据受害者使用的移动运营商进行选择性攻击。

如果用户的 SIM 卡与预定义的运营商列表匹配，恶意软件就会启动欺诈性订阅流程；否则，它会显示无害内容以避免被检测。

为了最大限度地扩大感染范围，攻击者将恶意应用程序伪装成热门平台，例如 Facebook、Instagram、TikTok、Minecraft 和 Grand Theft Auto。这些虚假应用程序通过多种渠道传播，诱骗用户安装。

zLabs 发现了该恶意软件使用的几种高级技术：

• 使用硬编码运营商列表的基于 SIM 卡的定向。
• 结合 WebView 操作和 JavaScript 注入，实现订阅流程自动化。
• 通过滥用谷歌短信检索 API 拦截 OTP。
• 强制禁用 WiFi，以确保计费交易通过蜂窝网络进行。
• 利用 Telegram 窃取设备数据和欺诈活动日志。

如果恶意软件检测到非目标操作者，它会加载良性网页内容，从而使其在受感染的设备上不被检测到。

zLabs 在一份与 GBhackers 分享的报告中表示，该行动涉及近 250 个恶意 Android 应用程序，并且自 2025 年 3 月以来一直在积极攻击马来西亚、泰国、罗马尼亚和克罗地亚的用户。

研究人员发现了三种不同的变种，每一种都越来越复杂。

该活动利用各种仿冒的应用程序图标，从 Minecraft 和 GTA 等热门游戏到社交媒体平台，诱骗受害者安装这些应用程序。

变体 1 充当全自动订阅引擎。它会验证受害者的运营商，然后加载隐藏的运营商计费页面。利用注入的 JavaScript 代码，它会自动点击按钮、请求 OTP 验证码、填写验证码并确认订阅。受害者可能会看到虚假提示，例如游戏验证信息，从而掩盖欺诈行为。

变种2引入了一种针对泰国用户的多阶段攻击。它会分阶段发送高价短信以逃避检测，同时加载隐藏的计费页面。

它还会利用 Android 应用程序的CookieManager窃取会话 cookie ，使攻击者能够维持已认证的会话并提高成功率。

变体 3 增加了通过 Telegram 进行实时监控的功能。每次感染事件、权限授予或短信交易都会立即报告给攻击者控制的频道，包括设备元数据、操作员详细信息和时间戳。

该行动依赖于分布式指挥控制基础设施，其中包括以下领域：

• apizep.mwmze[.]com。
• modobomz[.]com。
• api.modobomco[.]com。

这些服务器负责处理订阅自动化、受害者追踪和数据窃取。攻击者还会使用中间重定向 URL 来记录订阅尝试，然后再将用户重定向到合法的运营商计费门户网站。

Google 的 SMS Retriever API 是一项合法功能，旨在帮助应用程序自动读取 OTP 消息，方便用户使用。

Zimperium公司报告称，其移动威胁防御（MTD）和zDefend解决方案利用设备端行为分析来检测并阻止所有已识别的样本。与基于特征码的工具不同，这些解决方案能够识别不断演变的恶意软件模式，并防止未经授权的短信活动和数据泄露。

建议用户避免从非官方渠道下载应用程序，仔细检查应用程序权限，并留意手机账单，避免出现意外费用。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《Android恶意软件会在用户不知情的情况下为其注册高级服务》