近日,360手机安全中心发现一种新的手机木马---假面间谍。伪装热门软件、假冒应用更新、伪造下载进度条、存入无用图片,删除扣费短信通知,五大伪装手段让其成为史上最注重细节、最懂“用户体验”的手机木马。手机一旦中招,短信将会受到木马监控,同时黑客会通过短信指令控制手机,偷发扣费短信等恶意行为,对用户的隐私及手机话费存在巨大威胁。目前,360手机卫士已经可以对“假面间谍”木马进行查杀。
假面间谍木马作恶流程图
360技术研究报告显示,“假面间谍”在通过“qq2013”、“微信”、“91手机助手”、“UC浏览器”等热门应用欺骗用户安装后,会以应用需要更新为借口再次诱导用户安装名为“更新程序”的木马文件。安装完成后,木马文件没有任何图标,非常隐蔽。
“QQ2013”为“假面间谍”伪装
360手机安全专家研究发现,木马会启动一项名为“Update”的服务并检查联网状态,如果未开启就提醒用户开启,如果已开启就会下载文件到手机SD卡中。下载过程中,木马还会伪造一个虚构的下载进度条,迷惑用户。
“木马首先通过后台‘Update'服务从资源中读取要发送的目标短信号码和发送内容,并启动一个定时服务,根据日期和月份判断发送短信,每5分钟运行一次。“360手机安全专家介绍,”假面间谍“代码中发现了1062999923和10627777555等短信扣费的SP号码。木马通过偷偷向这些号码发送扣费短信达到扣费的目的,同时还将收费2元的短信通知屏蔽掉,用户对整个过程根本不知情。
360手机安全专家指出,“假面间谍”的主要通过远程控制收发短信作恶。它会持续监控接收到的短信,判断是否是木马作者发来的指令类短信,如果是指令短信,则根据不同的指令做相应的处理,黑客可以远程控制手机作不同操作;如果是普通短信,就会进行一些拦截、过滤等操作。例如:如果短信以“#M”开始,格式:#M[内容1]#T[内容2],功能:向指定号码发送特定内容短信。如果短信以“@D”开始,格式:@D,功能:静默卸载指定软件。
此外,假面间谍”木马作者还将一个较大的压缩文件伪装成图片“icon1.png”,混入安装文件包,使原本偏小的安装文件达到正版软件的文件大小,打消手机用户下载时的戒备心理。
360手机安全专家提醒,在下载和安装手机应用软件时,务必到安全可靠的应用中心下载,避免通过论坛、云盘、二维码等不安全的方式感染“假面间谍”木马,让手机短信沦为黑客的“间谍”。
