乐购网讯 木马通过伪装实现“变脸”的行为并不稀奇,但“面具”高达近150种的手机木马却极为罕见。近期,一批名为“变脸”的手机木马家族在安卓平台异常活跃,中招用户手机往往会出现话费莫名被扣。根据360云安全中心监测数据,截至2月15日,该系列木马变种样本已接近150款,包括贪吃蛇、俄罗斯方块、照相软件、图片浏览工具、通讯录工具等大量热门实用工具均被感染,用360手机卫士可一键查杀。
360安全专家介绍,“变脸”木马家族伪装成各种类型的正常手机应用软件,在各大手机论坛和本土手机软件市场“守株待兔”,诱骗用户主动下载安装,然后就会像吸血虫一样寄生在手机里吸取大量话费。一旦进入用户手机,“潜伏”的木马很快会自我“激活”,不定期发送定制短信,发完后立即删除该短信发送记录以“毁灭罪证”,还会屏蔽运营商服务器发来的扣费回执短信,神不知鬼不觉地完成整个扣费行为。
经360安全专家测试,“变脸”木马近期频频发送的是106580081012582X、1066109X等两条定制短信。但木马作者非常狡猾,其发送扣费短信的代码是加密的,只能看到屏蔽运营商回执的代码,见图1。通过解密进一步分析,其工作原理是从文件中读取一串加密字符,解密后组合形成控制服务器地址(http://i.yangruiling.com/), 在“变脸”木马的操控下,受害用户手机会偷偷联网访问该控制服务器地址,控制服务器可按木马作者的意志决定是否命令受害手机发送扣费短信。也就是说,木马作者可以通过云端控制,随心所欲地从受害用户手机中吸费,具备的极大的隐蔽性。

图1:“变脸”木马通过屏蔽运营商短信回执悄悄完成恶意扣费行为
“‘变脸’木马相当于建立了一个扣费渠道。” 360专家分析说,“扣费短信号码是通过手机实时联网下发到用户手机的。这样做,不但增加了监管方的取证难度,还能随时在木马服务器端更改扣费号码,实现为不同‘客户’提高扣费收入。”

图2: “变脸”木马伪装成热门手机应用,360可一键查杀
不仅如此,“变脸”木马还会私自回传用户的手机设备信息,有可能造成用户隐私泄漏。360安全专家提醒手机用户,安装手机软件一定要从大型可信站点,或360手机助手、360宝盒等经过人工安全检测的平台下载;安装软件时,也要留意软件权限,注意软件是否需要获取敏感权限。同时,建议定期使用360手机卫士等安全软件对手机进行体检,确保手机安全。
推荐阅读
情人节网购催生“网银大盗”新木马>>>详细阅读
地址:http://www.lgo100.com/a/11/20120217/32090.html