以淘宝“卡单”、“账户冻结”、“订单失败”等为借口的电信诈骗层出不穷。随着618大促的来临,360手机安全中心截获一款“假面银贼”手机木马,以“订单失败”需要退款为由,骗取手机用户姓名、手机号、身份证号、银行卡号等信息,并通过拦截手机短信的方式获取短信验证码,进而修改淘宝和支付宝账号、密码,窃取手机用户钱财。目前360手机卫士已独家查杀此木马,360手机安全专家建议手机用户尽量通过淘宝官方网站或360手机助手等可信渠道下载相关应用。
图一:360手机卫士查杀“假面银贼”
360手机安全专家介绍,“假面银贼”安装时,会申请短信接收和发送的权限,并注册短信接收服务。该木马的图标和界面高度伪装手机淘宝,手机用户点击进入之后,页面就会提示有一笔商品付款异常导致订单失效需要退款,用户会被诱导按照界面的提示一步步输入手机号、姓名、身份证号、银行卡号,最后点“立即退款”,收到界面提示退款“正在处理”。
图二:假面银贼骗取用户敏感信息
而此时,用户输入的这些信息全部通过短信转发给木马作者。手机用户点击“立即申请退款”会将自己的手机号码转发到1532****438这个号码上,点击立即退款之后,刚刚输入的姓名、身份证号、银行卡号等信息也会同样被转发到号码为1532****438的手机上。
更可恶的是,“假面银贼”还会劫持手机用户的短信内容,转发中招手机收到的所有短信,并将新到短信从手机收件箱中删除,手机用户不会再收到手机新短信的提示。
图三:“假面银贼”转发手机用户信息
360手机安全专家举例,例如中招手机收到来自淘宝发送的验证码短信,短信来源号码:“106575258192”,短信内容是“【淘宝网】亲,您正在进行找回密码操作,切勿将验证码泄露于他人,如验证码泄露会有账号被盗风险。验证码:123456。”“假面银贼”就会将此短信转发到“1532*****438”,并且不会给用户任何提示。
通过上述方法,木马作者窃取了用户手机号,姓名,身份证号及银行卡号,并通过淘宝网站“忘记密码”、“找回密码”等服务,利用实时获取到的淘宝发送到用户手机上的验证码或动态密码,就能成功修改用户登陆密码及支付密码,盗取用户支付宝中的钱财。
360手机安全专家提示,电商促销又将迎来一波热浪,借机作恶的手机木马也会批量出现,手机用户一定要提高警惕,避免通过论坛、二维码等不安全的手机市场下载应用,安装软件时也要开启360手机卫士实时防护,并经常扫描查杀手机病毒。
360手机卫士下载地址:http://shouji.360.cn
“假面银贼”手机木马技术分析报告:http://blogs.360.cn/360mobile/2014/06/17/analysis_of_faketaobao_2/
