网友秋风最近换了一款Android智能手机，经朋友指点从一些安卓市场安装了一些常用软件。不久秋风发现手机竟莫名其妙欠费了，在打印话费详单后发现扣了许多点播阅读业务信息费。金山手机安全专家在他的手机上发现了Android病毒，正是这个病毒偷偷订购了手机阅读业务。

图1 分析病毒模拟得到的扣费短信

    “这是一个完全基于云端控制的Android手机病毒”，金山手机安全专家这样说，“在详细分析这个名叫Andriod.Troj.FakeSysApp.a的手机病毒后，发现病毒作者用非常巧妙的方式实现了业务订购和扣费。除非查询话费详单，否则用户完全感受不到病毒的存在。”

    Andriod.Troj.FakeSysApp.a手机病毒首先检测中毒手机是否联网，若已联网，就将手机关键信息（包括IMEI、是否安装QQ安全管家、手机型号、SDK版本）上传到指定的服务器。

图2 Andriod.Troj.FakeSysApp.a病毒上传用户信息的部分代码

    当病毒检测到当前手机屏幕关闭时，才会执行扣费动作。病毒首先检查手机联网方式，将APN（移动网络接入点）设置为cmwap，然后访问云端服务器读取病毒作者的扣费指令，订购指定的点播阅读业务。当移动下发确认订购的短信时，病毒再屏蔽短信内容，使用户对扣费过程完全不知情。

图3 Andriod.Troj.FakeSysApp.a病毒订购阅读业务的部分代码