> &>&&>&&>&正文
　　你知道每月的流量都去哪儿了吗？你的手机最高网速多少，秒杀多少全国用户？近日，360手机卫士5.2.5正式版发布，其中基于大数据分析的个性化流量报告，让你分分钟了解手机流量使用情况，好玩又有用。为了给用户更详尽的流量分析，360手机卫士也是蛮拼的。
图：360手机卫士新版流量报告功能 全面分析手机流量使用情况
　　随着3G、4G的迅猛发展，手机上网流量日益成为移动生活主力军。但越来越多的人发现，如今流量已明显不够用，每月流量超过套餐上限对不少人来说都是常有的事，因此我们非常有必要了解下手机流量的去向，以便更加有效地进行管理。　　新版360手机卫士中的流量报告功能，对用户每月流量使用情况进行全面智能分析，比如每月哪五个应用消耗你的流量最多，你的流量套餐总量在本地用户中趋于什么位置，网速如何，等等等等，通过直观的信息图的方式，为你进行解答。　　通过报告，手机用户不仅能对每月流量使用情况有了全面了解，还可以进一步核实这些排名靠前的应用是否为自己常用应用，从而找出后台流偷偷消耗的那些流量“耗子”。据了解，在待机状态下，智能手机通常会因网络不稳定断线、重复下载内容、推送服务广告弹窗、应用程序或内置软件自动更新等，消耗数据流量。此外，一些恶意应用还会伪装成正常应用，藏匿在手机系统后台中，长期消耗大量流量，若不借助相关流量监控软件很难察觉。　　除流量报告外，360手机卫士新版还新增防通知打扰功能，通过该功能可清除各类通知栏广告推送，让手机通知栏瞬间干净清爽。首家支持将盗版支付软件替换为相应正版软件功能，彻底阻断恶意软件。同时优化检测短信恶意网址、标记拦截来电等流程，更多全新体验期待您来发现。　　360手机卫士新版下载地址：
提示：支持键盘“← →”键翻页拒绝访问 | www.199it.com | 百度云加速
请打开cookies.
此网站 (www.199it.com) 的管理员禁止了您的访问。原因是您的访问包含了非浏览器特征(3ed67dd7b593436a-ua98).
重新安装浏览器，或使用别的浏览器恶意来电拦截 该怎么防范？_百度知道
恶意来电拦截 该怎么防范？
我有更好的答案
譬如“骚扰电话”、“诈骗电话”通过“腾讯手机管家号码鉴定”小程序提供的智能比对号码类型，可一键呈现搜索结果、“广告推销”等。也就是说，用户通过微信搜索栏输入电话号码，即可一键获悉该号码的标记类型
采纳率：94%
来自团队：
为您推荐：
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。　　最近电话被恶意骚扰，手机总是来电显示无主叫号码来电，一分钟能来电好多次，好像是被某样软件设置自动拨号，求问怎么屏蔽掉？
楼主发言：7次 发图：0张 | 更多
　　没有人吗，大家都没有遇到过这种情况？　　
　　有 有一段时间被骚扰到崩溃　　
　　后来那一段时间我就把电话设置成只能接受白名单的电话了 也就是说只有我电话本里有的人给我打电话我手机才响　　
　　@绵绵gg
23:28:15.0　　有 有一段时间被骚扰到崩溃 　　—————————————　　抱住，谢谢回复。。然后你是怎么解决的啊，要疯了都，手机什么都做不了。　　
　　@绵绵gg
23:29:30.0　　后来那一段时间我就把电话设置成只能接受白名单的电话了 也就是说只有我电话本里有的人给我打电话我手机才响 　　—————————————　　这个我也百度到了，但是其它的号码就打不进来了，我下载了360安全管家，和手机软件，并没有什么用　　
　　补充下，手机是苹果手机5s　　没有越狱　　
　　@宛宛-07 23:33:29.0　　这个我也百度到了，但是其它的号码就打不进来了，我下载了360安全管家，和手机软件，并没有什么用 　　—————————————　　这是打败骚扰的唯一办法 我那个时候是碰到小人把我电话登到58同城上了说要卖房子 那时候中介还有租房的真要把电话打爆了，半夜电话也响个不停，我也是试了很多办法但是没有用 只能接受白名单　　
　　@绵绵gg
00:11:05.0　　这是打败骚扰的唯一办法 我那个时候是碰到小人把我电话登到58同城上了说要卖房子 那时候中介还有租房的真要把电话打爆了，半夜电话也响个不停，我也是试了很多办法但是没有用 只能接受白名单 　　—————————————　　我的这个也是被小人干的，他肯定是下载了一个，呼死你软件，用网络电话不停的骚扰　　
　　@宛宛-08 08:33:46.0　　我的这个也是被小人干的，他肯定是下载了一个，呼死你软件，用网络电话不停的骚扰 　　—————————————　　你先这么干一段时间他会觉得你这个号码不用了就停了
不然打到你崩溃 真的　　
　　@绵绵gg
08:43:47.0　　你先这么干一段时间他会觉得你这个号码不用了就停了 不然打到你崩溃 真的 　　—————————————　　好的，我先这样做，谢谢你哈　　
　　我正在被骚扰中，无号码显示，自己挂断然后继续打，电话飞行模式中，你的解决了吗？怎么解决的？？　　
请遵守言论规则，不得违反国家法律法规回复(Ctrl+Enter)新的电话拦截恶意软件
我的图书馆
新的电话拦截恶意软件
FireEye研究实验室最近发现一个新的Android恶意软件，有六个变种，并且能窃取短信、拦截电话。所有样本一致使用相同的Activity名称，所以命名为“Android.HeHe”。
这是已知变种的列表：
VirusTotal 检测率
1caa31272daabbbca5e23c1
8265041aca378dfa471d9
2af4de1dfdcefededaedae
2b41fbfb3d8c1f5efb4c
aa0ed916ff70258daf6c
a64d1bf354e6f
&&&&该应用程序伪装成一个给用户推送系统更新的软件，名字为“android security”（图1）。它主动连接C&C服务器，并自动注册，然后就开始监视收到的短信。从C&C服务器获取定义好的一个电话号码列表。如果其中任意一个号码发信息或者打电话给一个感染后的手机，恶意软件会拦截短信或电话，关闭设备自身的通知，并删除相关痕迹或日志。并且该条短信会被记录到内部数据库，发送到C&C服务器。而来自这个列表里的任意来电都将会被拒接，并且悄无声息。
&&&&程序启动时，HeHeActivity主函数就开始运行了。其构造函数调用android.os.Handle新建一个句柄，作为一个线程等待android.os.Message从而去执行不同的动作，这也是下面将要提到的。
&&&&因为HeHeActivity遵循DailogInterfaceOnClickListener标准，所以应用程序启动时会显示一个showAlterDailog消息（图2）。
图2.上面的消息让用户相信程序正在检查系统更新
应用程序在后台启动了3个系统服务，如下：
沙箱逃脱策略
它通过调用isEmulator函数来判断是否为虚拟环境：
1.它会检查设备的MODEL值（谷歌ADTbundle模拟器的MODEL变量会含有字符串“SDK”）。
2.它还会检查IMSI码是否为空值（模拟器没有相关联的IMSI码）。
下面是isEmulator函数的相关代码：
String&v0&=TelephonyUtils.getImsi(((Context)this));
if(v0&==&null)&{
&&&return;
public&static&boolean&isEmulator()&{
&&&boolean&v0;
&&&if((Build.MODEL.equalsIgnoreCase("sdk"))&||(Build.MODEL.equalsIgnoreCase("google_sdk")))&{
&&&v0&=&true;
&&&&&&&v0&=&false;
&&&return&v0;
该代码将会检查是否正在Android QEMU模拟器下运行，并且检查IMSI值是否为空。
服务在后台运行，启动时调用setComponentEnabledSetting方法：
this.getPackageManager().setComponentEnabledSetting(newComponentName(((Context)this),&HeheActivity.class),&2,&1);
从主菜单自动删除让用户以为它已经不存在了。然后通过如下检查网络状态：
public&void&checkNetwork()&{
&&&if(!this.isNetworkAvailable())&{
&&&&&&&this.setMobileDataEnabled();
服务被创建后，OnStart方法被调用，它会检查intent消息中类型为START和LOGIN的消息。
&&&&如果消息类型为START，则调用sendReigsterRequest()方法。这个方法会首先检查模拟器的存在与否（如上面沙箱逃脱里所说）。
&&&&然后，它收集IMSI（全球用户识别号）,IMEI（设备号）,手机号码，地址信息和推送通道ID。将这些信息打包放在一个JSON对象中。JSON对象随后转换为一个字符串发送到C&C服务器。与C&C服务器通讯后面会提到。
如果消息类型为LOGIN，则调用sendLoginRequest方法收集以下信息：
1.该应用程序的版本号（硬编码为1.0.0）
2.手机型号
3.操作系统版本
4.设备关联的网络类型（GSM/CDMA）
这些信息也将打包成一个JSON对象，转换成字符串，并被发送到C&C服务器。
RegisterBroadcastReceiver服务
这个服务在启动时注册，然后反过来注册IncomeCallAndSmsReceiver()，用于对以下三个intent做出响应。
1.android.provider.Telephony.SMS_RECEIVED，设备收到短信时的通知。
2.android.intent.action.PHONE_STATE，设备的状态变化时的通知，比如RINGING或者OFF_HOOK。
3.android.intent.action.SCREEN_ON，屏幕打开或关闭时的通知。
此外，它会查看安卓的一些URI：
1.SmsObserver用于查看content://sms，这使它能够访问存在于设备上的所有短信。
2.CallObserver用于查看content://call_log/calls，这使它能够访问设备上的所有来电，去电以及未接来电的记录。
Connection服务
一开始提到的主函数HeHeActivity中，ConnectionService类的ACTION_START intent如下：
Intent&v2&=&new&Intent(((Context)this),ConnectionService.class);
v2.setAction(ConnectionService.ACTION_START);
v2.setFlags();
this.startService(v2);
LogUtils.debug("heheActivity","start&connectionService&service");
然后启动一个定时器，间隔为5000秒，执行的任务如下：
1.创建android.os.Message类的实例对象
2.设置消息对象的what值为1
3.消息句柄在构造函数中初始化，然后反过来调用showFinishBar方法用于显示信息“??&OS??&??&????????&????????”，翻译过来就是“您正在使用的操作系统已经是最新版本”
来电和短信的接收
&&&&RegisterBroadcastReceiver在应用程序启动时注册为接收器。当设备收到一条短信时，IncomeCallAndSmsReceiver获取到intent。由于接收器监听三个intent之一，程序会检查接收器接收到的任意intent的类型。
&&&&如果接收到的intent类型为android.provider.telephony.SMS_RECEIVED，它将会提取短信内容和发信者号码。如果电话号码的前三个字符匹配一个名为tbl_intercept_info表中电话号码的前三个字符，则SMS intent被中止，短信被从设备的短信收件箱中删除，用户将永远看不到它。然后抑制短信通知，该应用程序捆绑短信如下：
&&&"content":"TESTING",
&&&"createTime":"&16:21:36",
&&&"id":null,"messageFrom":"",
&&&"token":null
然后把它发送到C&C服务器（http://108.62.240.69:9008/reportMessage）
同时把短信记录在其内部数据库中的tbl_message_info表。
如果接收到的intent是类型为android.intent.action.PHONE_STATE的，应用程序会检查本地数据库中的tbl_intercept_info表。如果来电者的号码出现在该表中，然后将手机的振铃模式设置为静音，抑制来电通知并断开来电。它从通话记录中删除相应的条目，删除该设备的所有相关痕迹。
不过没有为android.app.action.SCREEN_ON意图定义任何行为，即使IncomeCallAndSmsReceiver接收器是容器。
这个程序使用了两个硬编码IP地址来定位其C&C服务器：122.10.92.117和58.64.183.12。该应用程序通过HTTP POST请求执行所有通信。在HTTP POST里的内容，使用AES与被硬编码到应用程序中的一个128位的密钥进行加密。该应用程序将其最新版本号发送到122.10.92.117，用于检查版本。IP地址58.64.183.12则用于报告收到的短信。
因为IP地址ping不通，服务器的响应就无法进行分析。可以明确的是，服务器会发送一个JSON对象的响应，其中会包含一个“token”字段。
虽然C&C服务器当前不可用，但是我们可以推断出应用程序如何通过检查处理接收到的响应。
该应用程序将不同的数据结构转换成等效的JSON对象发送到C&C服务器。此外，所有JSON对象的响应转换成其等效的内部数据结构。我们还观察到用于填充内部数据库的一个表（tbl_intercept_info），表内为需要拦截的电话号码。
该应用程序使用hxxp://122.10.92.117:9008和hxxp://58.64.183.12:9008将信息发送到C&C服务器。
这些URL在其内部类的数据结构中的映射如下所示：
GetLastVersionRequest
/getLastVersion
RegisterRequest
LoginRequest
ReportRequest
GetTaskRequest
ReportMessage Request
/reportMessage
其含义和结构将在下面的章节说明。
GetLastVersionRequest
当应用程序第一次安装在设备上将发送这个请求。发送设备版本号（目前设定为1.0.0）到C&C。C&C服务器应响应一个可用的有更新的URL。响应中一个“更新”字段代表一个更新的可用性。
发送到C&C的检查版本请求
RegisterRequest
当应用程序发送一个类型为LOGIN的intent（上面提到过）。该请求包含IMSI，IMEI，电话号码，短信地址（电话号码），通道ID，令牌和正在使用的IP地址。这会导致受感染设备在C&C注册。
LoginRequest
这个请求被发送到C&C进行进一步验证，它包含先前接收到的令牌，恶意软件版本，手机型号，操作系统版本，网络的类型和其他活动的网络参数，诸如信号强度。回应为一个结果值。
ReportRequest
这个请求将tbl_report_info表中的信息发送到C&C。此表为其他请求已经发送但是失败的信息。
GetTaskRequest
这个请求从C&C服务器请求任务。响应包含了重试时间间隔和sendSmsActionNotify值。当LoginRequest的回应值为401而不是200时就会发送这个消息。
ReportMessageRequest
这个请求将设备上接收过的短信发送给C&C服务器。它包括短信内容，短信的时间和短信发送者。在logcat的输出可以看到：
Android恶意软件变种如雨后春笋般出现。如Android.HeHe和Android.MisoSMS等恶意软件揭露攻击者对监控短信和电话呼叫记录的兴趣越来越大。它们也可以作为一个很好的提醒，从非信任的商店安装应用程序将会是多么危险。
如文中未特别声明转载请注明出自：FreebuF.COM
TA的最新馆藏[转]&[转]&
喜欢该文的人也喜欢