背景概述

在今年的315晚会上曝光了基于二维码的手机木马侵害用户利益，介绍了攻击者通过诱骗用户扫描恶意的二维码，将木马植入用户手机中，该木马会将用户手机中所有短信内容（包括支付宝、银行短信）转发上传至攻击者指定的手机号码，从而达到窃取用户在线支付帐号的目的，对用户的隐私和财产安全造成了极大的威胁。

早在2013年11月22号，网易科技就在新闻《已被证实 手机支付藏惊天漏洞》一文中报道了用户在线支付账户的钱财被莫名转走，尤其是在用户扫描过未知的二维码之后等相关事件。

AVL移动安全团队对相关事件进行了持续性的关注和追踪，发现了数个相关的恶意代码家族，在对相关恶意代码家族的分析中发现，其都具备一些共同的特点：

• 在传播途径上，木马会经常伪装成知名手机应用的图标或者界面，通过在线买卖、诈骗短信、未知二维码等方式植入用户手机；
• 在行为特征上，木马会诱骗用户填写重要的个人信息，例如银行卡号、身份证号码等，在后台收集短信内容、联系人列表、通话录音以及位置信息等，最后上传至指定的手机号码或者邮箱账户。

AVL移动安全团队累计截获了数百个用于上传用户隐私信息的邮箱账户和手机号码，大量用户重要隐私信息被上传，其中还发现几起盗取淘宝、支付宝账户的真实案例。

通过对相关数据的持续挖掘、追踪，AVL移动安全团队发现了一个以制造和贩卖该类手机木马的组织－－XX科技，其主页为http://www.ka*****.net。

下面从木马传播、木马行为、木马威胁三个方面详细对该木马进行分析。

木马传播

XX科技是一个以制作和贩卖手机木马的组织，在其官网上有公开叫卖针对淘宝、银行应用的盗号木马。

除此之外，淘宝上也有不少公开叫卖短信转发木马的商家。

攻击者除了采用诱骗用户扫描恶意二维码安装木马的方式外，还能通过诈骗短信中插入的恶意URL骗取用户下载安装。在用户被转发上传的短信内容中，就发现有如下恶意URL：http://z*\*9.com/a.apk，http://z****9.com/b.apk。AVL移动安全团队分析发现链接下载的应用为一类短信转发木马。

除此之外，攻击者常常将木马界面或者图标伪装成淘宝等知名应用，用户难以辨别真假而误点击安装。例如Trojan/Android.Faketaobao.a家族，其伪装成手机淘宝软件的运行界面，诱骗用户输入淘宝登录账户名和密码，并将账户信息偷偷发送到攻击者指定手机号码。

木马行为

AVL移动安全团队发现部分手机短信转发木马会提供如下图所示界面，供用户输入例如姓名、身份证号、银行卡号等重要个人信息，并会将这些信息偷偷后台发送到攻击者指定的手机号码或者邮箱。

手机短信转发类木马在安装之后都会读取用户手机短信箱内容，拦截用户接收的短信，并将获取的短信息内容转发上传至攻击者指定的邮箱或者手机号码。下图所示为木马安装之后首次上传的短信内容示例。

部分木马会对接收的短信内容进行匹配，如果出现“支付宝”、“淘宝”、“银行”、“财付通”、“快捷”、“密码”、“安全”、“任何人”、“付款”的字样时，会进行短信拦截，并将短信内容发送到指定号码。由此可见，其是专门用于盗取用户在线支付帐号的。

除了转发手机短信内容以外，木马还会获取手机联系人列表、通话记录、通话录音、地理信息等等一系列用户隐私信息。

木马在安装之后，通常会采取删除自身图标，激活设备管理器等方式，隐藏自身并且防止用户卸载。

木马威胁

手机短信转发木马最主要的是对用户的财产安全造成了极大的威胁，一旦用户手机被植入该类木马，攻击者就能轻易的通过在线支付平台转走用户的钱财，下面以支付宝为例说明该类木马是如何帮助攻击者盗取用户钱财的。

支付宝提供的密码找回功能仅仅通过账户名和一条手机验证码即可以完成对该账户密码的修改。

当用户手机被植入短信转发木马后，所有短信内容会被实时转发到攻击者指定的邮箱或者手机号码，从而使得攻击者也同时获取到了修改密码所需要的手机验证码信息。整个攻击过程如下图所示。

AVL移动安全团队还发现数个淘宝支付宝账户被盗取的真实案例。

案例一

案例二

可以看到，上述两个案例中，攻击者均以给受害者放贷为由，诱骗用户下载安装木马应用，并在木马安装后不久，完成对受害者淘宝、支付宝账户的盗取。

总结

手机短信转发木马不仅对用户个人隐私信息进行窃取，而且还对用户资金安全带来了巨大的威胁。用户需要提高自身安全意识，不轻易泄露自己的身份信息，不要安装不明渠道的手机应用。

用户可以下载AVL移动安全团队AVL Pro对上述恶意应用进行查杀。