最近一段時間，“短信攔截馬”病毒頻繁活躍在各大Android平臺上，該木馬主要以竊取用戶隱私為目的，然后利用盜取的用戶信息盜刷銀行賬戶、偷取用戶財產(chǎn)等，從而造成用戶的隱私泄露、財產(chǎn)損失等危害。

　　短信攔截馬，顧名思義就是一種可以攔截到他人短信的木馬，可以控制攔截用戶手機中收到的短信，讓用戶無法實時收到短信，并將用戶手機中的短信內(nèi)容私自發(fā)送到攻擊者的手機和郵箱中。

　　瑞星安全研究人員通過對“短信攔截馬”病毒研究分析發(fā)現(xiàn)，短信攔截馬最容易偽裝成移動掌上營業(yè)廳、淘寶、支付寶、相冊、視頻、學習資料等的手機APP客戶端，讓用戶以為是官方APP放松警惕，從而誘導用戶安裝運行。

　　圖：“短信攔截馬”病毒圖標偽裝

　　“短信攔截馬”病毒為了防止安全人員逆向分析研究，將代碼進行混淆，但是包內(nèi)文件結構一致，內(nèi)容也很類似。

　　圖：“短信攔截馬”病毒樣本包結構

　　木馬運行后為了獲取設備管理器權限，會在啟動界面上提示用戶“提高權限獲取保護”等詞語誘導用戶激活設備管理器權限，用戶一旦激活此權限，木馬病毒便會隱藏自身圖標，很難被卸載。如果用戶選擇取消激活設備管理器，木馬病毒則會彈出警告: “謹慎操作!取消激活可能會影響手機正常使用”等字語威脅用戶。

　　圖：提示用戶激活設備管理器權限

　　當“短信攔截馬”病毒程序安裝完畢后，木馬便遍歷用戶手機中的個人隱私信息，如通訊錄、短信等，然后將獲取的信息發(fā)送到攻擊者的郵箱中。然而，黑產(chǎn)更關注的是銀行等支付交易的驗證碼短信，當黑產(chǎn)團伙同時掌握了用戶的銀行卡信息和驗證手機后，就可以通過攔截短信驗證碼的方式進行資金交易轉(zhuǎn)賬等一系列操作。

　　其實，這類“短信攔截馬”的技術原理及實現(xiàn)并不復雜，且利用的技術手段也大致相同，幾乎都是通過注冊短信廣播或者觀察模式監(jiān)控手機短信的收發(fā)過程，從而實現(xiàn)短信攔截和竊取用戶個人隱私的惡意功能。

　　PC端互聯(lián)網(wǎng)已經(jīng)處于日漸飽和的狀況，而移動互聯(lián)網(wǎng)產(chǎn)業(yè)正在迅速的蓬勃發(fā)展中，隨著時間的推移及移動智能設備的出現(xiàn)，移動支付也漸漸占據(jù)主流。伴隨偽基站的出現(xiàn)，移動智能終端支付的安全性問題也日趨凸顯。當前，Android應用的開發(fā)相對較為簡單，結合目前較為流行的釣魚網(wǎng)站，短信攔截馬作為一個功能簡單、開發(fā)成本低、獲利頗高的非法牟利手段，很快就能在短時間內(nèi)形成一套完整的黑色產(chǎn)業(yè)鏈。

　　瑞星安全研究人員介紹，“短信攔截馬”家族此時還正繼續(xù)在社會上傳播蔓延，變種的速度也很快，欺詐性也很強(+微信關注網(wǎng)絡世界)，傳播渠道也很廣，很容易造成大范圍的經(jīng)濟損失以及個人隱私的泄露。希望用戶能自我建立良好的上網(wǎng)習慣，以及對釣魚網(wǎng)站和欺詐信息的高度警惕，最大程度上避免自己的隱私和財產(chǎn)受到此類病毒詐騙的威脅。同時，用戶還可以下載并使用瑞星手機安全助手對該類木馬進行檢測和查殺。

　　病毒 詳細分析

　　木馬安裝成功后，會給攻擊者的手機發(fā)送一條短信，提示該木馬安裝完畢。

　　圖：發(fā)送識別碼

　　木馬將盜取用戶的短信、通訊錄等通過SMTP協(xié)議發(fā)送到指定的郵箱。由于使用SMTP協(xié)議發(fā)送郵件，需要發(fā)件人的郵箱賬號密碼。所以樣本中內(nèi)置了牧馬人的發(fā)件郵箱賬號密碼。

　　圖：使用163發(fā)信

　　早期樣本中，發(fā)件郵箱賬號和密碼都是明文形式存在文件中，隨著樣本的升級，病毒作者以加密形式保存了此信息，但是通過調(diào)試也很容易解密出發(fā)件郵箱的賬號密碼。使用郵件收信在很早之前的木馬中流行過，但因為要內(nèi)置發(fā)件郵箱的賬號密碼，這種方法很早就被淘汰，此木馬中仍然使用郵箱發(fā)件，足可看出該木馬的水平非常底下。

　　圖：加密過的郵箱賬號密碼

　　該木馬還會替換收件信息內(nèi)容中的敏感字，逃避殺毒軟件和一些流量郵件監(jiān)控軟件的檢測。

　　圖：敏感字替換

　　樣本安裝運行后還會向用戶的所有聯(lián)系人發(fā)送短信進行惡意傳播，內(nèi)容為： 我給你錄了視頻你看下 123.60.159.122/Zet 。當聯(lián)系人收到該短信訪問此鏈接后又會下載該木馬病毒。

　　圖：木馬通過短信傳播

　　樣本 信息