近日，腾讯手机管家联合腾讯安全反诈骗实验室更新发布《银行提款机惊现病毒：绕过杀毒软件达到牟利目的》报告(以下简称“报告”)，曝光一批恶意扣费病毒及变种，因恶意扣费的病毒行为，将其命名为“银行提款机”，指出此批病毒变种主要通过自我社工隐藏方式以及动态加载组装，绕开杀毒软件的查杀，完成恶意扣费的黑产变现任务。

“银行提款机”病毒藏身色情、游戏类应用，隐蔽性和对抗查杀特征明显

“我在网页上查信息，突然弹出个色情广告弹窗，立即点击了关闭按钮，但手机还是自动下载安装了一个软件。随后收到了十几条扣费信息，手机话费被扣了二三百，这是什么情况？”相信很多人也都遇到过类似情况，其实频繁出现在网页中色情、游戏类小广告，背后即有可能潜藏着恶意扣费病毒。而且，不法分子设置广告弹窗被点击就会自动下载，即便用户主动点击关闭，但依然无法阻止恶意扣费病毒进入手机。

“银行提款机”恶意扣费病毒早在2018年1月就开始出现，截至6月中旬累计感染量超过百万台设备。随着安全厂商采取必要的防治措施后，恶意开发者也变换了入侵手段，增强隐蔽性，导致病毒感染样本量呈下降趋势、感染用户却上升的现象，在2018年6月-2019年2月期间感染用户40万左右。

2018年6月后，“银行提款机”变种病毒样本呈下降趋势

其实，“银行提款机”病毒最初只是通过广告弹窗进行推广，影响用户使用体验，并不会直接造成财产损失。面对杀毒软件的围追堵截，“银行提款机”病毒变种的隐蔽性和攻防对抗性变强，主要表现在：其一，利用热门软件打包传播，多为游戏、色情、工具类软件；其二，恶意软件开发者利用代码加固技术，实现更高的混淆程度；其三，云端服务器配置更新恶意SDK执行恶意操作；其四，采用公司化运作模式，幕后负责全面的查杀对抗。《报告》数据显示，2018-2019年初，“银行提款机”新增变种病毒类型主要为色情类，占比高达41%；其次为游戏类，占比为35%。

“银行提款机”变种病毒多借助色情、游戏类软件传播

“银行提款机”黑产变现手段曝光，其产业链团伙坐等“利益分成”

当用户不小心下载并安装了“银行提款机”病毒后，手机话费俨然变成了黑产团伙的提款机。《报告》通过病毒运行后的流程图，揭秘了“银行提款机”病毒在用户无察觉、无感知的情况下完成恶意扣费的“内幕”。

“银行提款机”病毒在安装后，会自动操控智能手机，收集手机设备及用户隐私信息到云端，并下发恶意文件，然后控制手机发送某订阅服务短信。这时，运营商会发送二次确认短信到手机，确认用户是否订购该项服务。对此，“银行提款机”病毒会自动拦截、自动回复后并删除短信，相应地，运营商会扣除该项增值服务的费用，这样用户在无感知时订阅了增值服务，被动完成了“恶意扣费”的步骤。

“银行提款机”病毒实现恶意扣费的流程图

一旦“银行提款机”病毒APP产生经济效益，其背后的黑产团伙将进行利益“分成”。《报告》通过对恶意软件动态监控分析，发现恶意软件黑产背后的主要成员包括黑产开发者、广告商、网站和分发平台，其中黑产开发者负责集成病毒插件并嵌入安装包内，而广告商、网站、分发平台负责投放和管理分发。譬如，他们可以将病毒样本投放到某网络推广平台、游戏外挂破解网站，或在小众应用市场、应用内推广，吸引用户下载，进而完成变现操作实现牟利分成。

“银行提款机”病毒及背后的黑色产业链条，成为威胁移动端安全和用户财产安全的“毒瘤”。在防治方面，需要国家政策、社会各方和技术层面协同联动，实现对平台违规行为的有力打击，净化网络文化环境。

告别“银行提款机”恶意扣费，腾讯手机管家建议做好安全防护

大家在了解“银行提款机”病毒黑产作乱的真相后，又该如何避免被偷话费的意外呢？腾讯手机管家安全专家陈列建议从以下方面进行防护：其一，检查每个应用程序的权限，确认程序所申请的权限与该软件相符，尽量避免短信权限授权以减少风险；其二，安装腾讯手机管家并定期更新，及时发现木马病毒并一键清除；其三，下载软件时选择应用宝等正规的应用市场以及官方渠道，避开未进行安全检测的网站；其四，用户购买新手机时尽量选择大型正规卖场，避免手机系统被装入恶意预装软件；其五，建议用户在账单日及时查看消费账单，及时发现可疑的扣费信息。

腾讯手机管家精准查杀“银行提款机”病毒软件

此次“银行提款机”恶意扣费病毒只是黑色产业链的缩影，腾讯手机管家作为移动端的第一道防线，一直在升级完善杀毒能力，依托自研AI反病毒引擎TRP-AI和自研杀毒引擎TAV，实现对手机端木马病毒及其变种的精准查杀，保障用户财产安全。同时，腾讯手机管家还将联动警方、企业共同打击黑色产业链条，为用户营造安全的手机使用环境。