隨著移動(dòng)支付的不斷普及，手機(jī)支付病毒開始逐漸蔓延。手機(jī)病毒是如何在不經(jīng)意之間盜取我們的錢財(cái)呢？本期大講堂將聯(lián)合騰訊手機(jī)管家首發(fā)2014年手機(jī)支付安全報(bào)告，揭開手機(jī)病毒的真實(shí)面紗.

手機(jī)支付類病毒攻擊的形式和特征

?騰訊移動(dòng)安全實(shí)驗(yàn)室針對目前已發(fā)現(xiàn)的82805個(gè)手機(jī)支付類病毒的特征進(jìn)行歸類統(tǒng)計(jì)發(fā)現(xiàn)，支付類病毒最大特征是表現(xiàn)為靜默聯(lián)網(wǎng)、刪除短信、發(fā)送短信、讀短信、開機(jī)自啟動(dòng)。其中，靜默聯(lián)網(wǎng)比例高達(dá)61.09%、位居第一，靜默刪除短信、靜默發(fā)送短信、開機(jī)自啟動(dòng)、讀短信的病毒行為分別占比37.3%與36.51%、30.1%、19.74%。分別位居第二和第三、第四、第五。

?

?另外，靜默安裝、靜默卸載、監(jiān)聽鍵盤輸入、靜默獲取root權(quán)限分別占比為5.62%、4.77%、4.52%、3.34%。這四個(gè)病毒行為可在用戶不知情的情況下，可卸載掉手機(jī)端重要軟件（安全軟件），安裝病毒子包或者監(jiān)聽用戶鍵盤輸入的動(dòng)作或內(nèi)容、獲取root權(quán)限、竊取用戶賬號密碼等隱私，可對用戶造成極大危害。目前，支付類病毒感染用戶總數(shù)已達(dá)到1126.75萬。

騰訊移動(dòng)安全實(shí)驗(yàn)室通過對支付類病毒進(jìn)行從特征共性再進(jìn)行總結(jié)分類，主要分為以下幾種類型：

3.1? 二次打包支付類病毒:緊盯一線電商品牌

2013年初，騰訊移動(dòng)安全實(shí)驗(yàn)室截獲了首款感染國內(nèi)銀行手機(jī)客戶端——中國建設(shè)銀行的手機(jī)支付病毒a.expense.lockpush（洛克蠕蟲），該病毒通過二次打包的方式把惡意代碼嵌入銀行APP并私自下載軟件和安裝，進(jìn)一步安裝惡意子包，竊取銀行帳號及密碼，繼而盜走用戶賬號中的資金。該病毒是典型的二次打包類支付類手機(jī)病毒。

另外，騰訊手機(jī)管家在2013年查殺的“銀行鬼手”(a.expense.tgpush)、“銀行扒手”(a payment googla b)、“銀行毒手”(a.expense.googla.a)等病毒均屬于該類?！般y行鬼手”病毒的特征是，未經(jīng)用戶允許，后臺私自下載未知軟件，給用戶造成資費(fèi)消耗和存在流氓行為。

“銀行毒手”、銀行扒手”這類手機(jī)支付類病毒通過二次打包，偽裝成正常軟件，在后臺運(yùn)行惡意程序，給用戶造成的危害包括個(gè)人手機(jī)信息隱 私泄露，私自發(fā)送短信造成資費(fèi)消耗，而用戶全不知情。這類手機(jī)支付類病毒，給用戶造成的危害性相對較小，但普遍針對銀行類、購物類軟件進(jìn)行二次打包。比如 在2014年2月，“銀行毒手”通過二次打包偽裝大量一線電商類APP，包括偽裝唯品會、淘寶特賣、聚美優(yōu)品等軟件誘騙用戶下載。而該病毒可屏蔽回饋信息，上傳手機(jī)信息，而這些特征也可以指向用戶手機(jī)支付確認(rèn)短信，對用戶的支付安全構(gòu)成了一定的威脅。

3.2 高危支付病毒仿冒程序? 支付賬號密碼危機(jī)重重

目前出現(xiàn)的高危支付類病毒的目的都非常明確，那就是緊盯手機(jī)支付軟件與購物軟件、手機(jī)銀行類軟件。在手機(jī)支付類APP領(lǐng)域，支付寶和淘寶是被支付類病毒緊盯的重點(diǎn)支付購物類APP。

仿冒移動(dòng)支付購物類APP的支付類病毒中，2013年5月，騰訊手機(jī)管家查殺的“偽淘寶”(a.privacy.leekey.b)則是典型病毒。該病毒可通過模擬淘寶官方的用戶登錄頁面收集用戶輸入的淘寶帳號密碼以及支付密碼，通過頁面誘導(dǎo)用戶輸入，并轉(zhuǎn)發(fā)淘寶的帳戶與密碼。

當(dāng)手機(jī)用戶安裝“偽淘寶”木馬客戶端之后，在“偽淘寶”的木馬客戶端登錄頁面，用戶輸入用戶名和密碼，點(diǎn)擊登錄，就會執(zhí)行發(fā)送短信的代碼，將用戶的賬戶名和密碼發(fā)送到指定的手機(jī)號碼13027225522，同時(shí)誘騙用戶安裝包名為taobao.account.safety的惡意子包，軟件名稱為“帳號安全服務(wù)”。當(dāng)用戶安裝完該惡意子包后，再次點(diǎn)擊提交會發(fā)出廣播，啟動(dòng)惡意子包服務(wù)。

可以看出，該病毒偽裝成淘寶客戶端，騙取用戶淘寶帳號、密碼以及支付密碼發(fā)送到指定的手機(jī)號碼，同時(shí)誘騙用戶安裝惡意子包，造成用戶核心隱私和資金的大規(guī)模泄漏。該病毒的存在，使得手機(jī)購物、支付安全的風(fēng)險(xiǎn)大增。

3.3 驗(yàn)證碼成高危支付病毒竊取資金的核心環(huán)節(jié)

由以上手機(jī)支付類病毒行為統(tǒng)計(jì)比例可以看出，靜默刪除短信、靜默發(fā)送短信、讀短信的病毒行為分別占比37.3%與36.51%、19.74%。分別位居第二和第三、第五?？梢钥闯龆绦乓殉蔀槭謾C(jī)支付類病毒木馬的重要竊取目標(biāo)。

騰訊移動(dòng)安全實(shí)驗(yàn)室專家提醒：由于支付寶等第三方支付賬號的手機(jī)驗(yàn)證的權(quán)限高于支付寶數(shù)字證書權(quán)限，導(dǎo)致任何人通過支付寶捆綁的手機(jī)號都可以找回支付寶密碼，刪除和捆綁銀行卡，進(jìn)入余額寶進(jìn)行轉(zhuǎn)賬，所以一旦手機(jī)丟失，第三方支付賬號將全面淪陷。

另一方面，在手機(jī)支付的的過程中，手機(jī)驗(yàn)證碼成為極為重要的一環(huán)。根據(jù)騰訊移動(dòng)安全實(shí)驗(yàn)室的抽樣統(tǒng)計(jì)，19.74%的支付類病毒可以讀取用戶短信。這里的“用戶短信”包括用戶支付交易的手機(jī)驗(yàn)證碼，而黑客可通過驗(yàn)證碼破解用戶的支付賬號。

即如果黑客能竊取到手機(jī)驗(yàn)證碼，那么再結(jié)合竊取到的用戶手機(jī)號碼等隱私信息，可以取消數(shù)字證書等設(shè)置，對支付寶交易的安全造成巨大威脅。而哪些病毒在盯著手機(jī)驗(yàn)證碼？

2013年12月，騰訊移動(dòng)安全實(shí)驗(yàn)室截獲了一個(gè)名為a.remote.eneity（“短信盜賊”）的手機(jī)病毒，該病毒可轉(zhuǎn)發(fā)手機(jī)用戶短信（包括驗(yàn)證碼短信）到指定號碼，并攔截用戶短信，給用戶商業(yè)隱私、支付安全等帶來嚴(yán)重威脅。

2013年末，騰訊移動(dòng)安全實(shí)驗(yàn)室工程師檢測查殺到一個(gè)針對淘寶的高危手機(jī)病毒——“盜信僵尸”（a.expense.regtaobao.a），該病毒可將中毒手機(jī)變成“肉雞”，私自發(fā)送短信注冊淘寶帳號，同時(shí)可攔截屏蔽自動(dòng)回復(fù)系列支付確認(rèn)短信，盜取手機(jī)支付確認(rèn)驗(yàn)證碼和手機(jī)資費(fèi)，甚至威脅支付寶賬戶余額。2014年2月，騰訊手機(jī)管家已再次查殺到該病毒。

可見“短信盜賊”和“盜信僵尸”病毒均可以竊取手機(jī)支付驗(yàn)證碼。“盜信僵尸”病毒的特征是監(jiān)控手機(jī)支付類驗(yàn)證碼，通過竊取驗(yàn)證碼來配合竊取支付里的金額，而騰訊手機(jī)管家之前查殺的“短信竊賊”、“竊信鬼差”病毒都屬此類。

2014年，騰訊手機(jī)管家查殺了一款名為“鬼面銀賊”的支付類病毒，該病毒可偽裝成銀行、金融、理財(cái)?shù)葻衢T應(yīng)用，騙取用戶下載，一旦安裝激活會竊取用戶銀行賬號密碼、身份證和姓名信息，同時(shí)還會私自攔截和上傳用戶短信（包括驗(yàn)證碼短信）內(nèi)容到指定號碼。

這種支付類病毒盜取網(wǎng)銀的手段非常明顯：即轉(zhuǎn)發(fā)用戶短信或監(jiān)控收集支付驗(yàn)證碼，由于手機(jī)用戶都捆綁了網(wǎng)銀、支付寶等，當(dāng)網(wǎng)銀、支付寶等 發(fā)生消費(fèi)、支付操作的時(shí)候，都會收到短信提醒，內(nèi)容涉及消費(fèi)金額、賬號余額、支付過程中的短信驗(yàn)證碼等信息。而這類支付類病毒可通過攔截這些涉及到網(wǎng)銀和 支付的短信內(nèi)容來竊取用戶網(wǎng)銀資金，這些病毒的存在，是用戶手機(jī)支付的隱憂。

3.4? 監(jiān)控誘導(dǎo)特征成為手機(jī)支付類病毒高危化演進(jìn)的一個(gè)信號

迄今為止最兇悍的監(jiān)控類手機(jī)支付類病毒是騰訊手機(jī)管家查殺的“銀行悍匪”（a.rogue.bankrobber），該病毒可以直接監(jiān)控20多個(gè)手機(jī)銀行的APP，竊取帳號、密碼等信息。

下面重點(diǎn)詳細(xì)講解分析該病毒的特征與感染情況。

2014年1月10日, 基于騰訊手機(jī)管家產(chǎn)品服務(wù)的騰訊移動(dòng)安全實(shí)驗(yàn)室截獲了高危手機(jī)支付類手機(jī)病毒“銀行悍匪”（a.rogue.bankrobber）。

首先，先總體了解一下a.rogue.bankrobber.[銀行悍匪]的病毒特征：

“銀行悍匪”病毒由母程序（簡稱：母包）和子程序（簡稱子包）組成，母包中含有惡意子包。母包通常被二次打包到熱門游戲如100個(gè)任務(wù)、坦克大戰(zhàn)中，通過游戲軟件需要安裝資源包等方式誘導(dǎo)用戶安裝和啟動(dòng)惡意子包。子包是核心的惡意程序，會進(jìn)一步誘導(dǎo)用戶激活設(shè)備管理器，獲取ROOT權(quán)限，刪除SU文件，安裝后隱藏圖標(biāo)，卸載殺毒軟件，監(jiān)控指定Activity頁面。

病毒可隱藏在后臺竊取用戶手機(jī)信息和短信信息，同時(shí)刪除短信和私自發(fā)送短信，并且竊取用戶的通話記錄，還會根據(jù)短信命令控制手機(jī)，比如，開啟監(jiān)聽短信，竊取通話記錄，屏蔽回執(zhí)短信，刪除所有短信，并讀取手機(jī)中安裝的購物客戶端（淘寶）和銀行客戶端信息。

目前,銀行悍匪可竊取包括農(nóng)業(yè)銀行、招商銀行、廣發(fā)銀行、興業(yè)銀行、郵儲銀行、南京銀行、中信銀行、光大銀行、民生銀行、浦發(fā)銀行、平安銀行、廣州農(nóng)商銀行、重慶銀行、中國銀行、華夏銀行、湖州銀行、上海銀行等20余家手機(jī)銀行的賬號密碼，將其強(qiáng)制結(jié)束進(jìn)程，同時(shí)彈出懸浮窗口騙取用戶賬號和密碼。

目前該病毒已感染6萬多用戶，該木馬高度模仿真正的手機(jī)銀行軟件，用戶從軟件圖標(biāo)上很難區(qū)分，一旦用戶安裝運(yùn)行了“山寨手機(jī)銀行”，就會被要求用戶輸入手機(jī)號、身份證號、銀行賬號、密碼等信息，并把這些信息上傳到黑客指定服務(wù)器，盜取了銀行賬號密碼后，立即將用戶賬戶里的資金轉(zhuǎn)走。

在支付類病毒中，可監(jiān)聽鍵盤輸入的比例已達(dá)到4.52%。在2013年，騰訊手機(jī)管家查殺的“鍵盤黑手”（a.privacy.keylogger）也屬于典型的監(jiān)控誘導(dǎo)類手機(jī)支付病毒，該病毒嵌入到輸入法軟件中，可監(jiān)聽用戶鍵盤輸入，上傳泄露用戶賬戶密碼信息，甚至包括信用卡、網(wǎng)銀等支付資料，并把輸入內(nèi)容上傳到指定遠(yuǎn)端服務(wù)器，造成手機(jī)用戶有關(guān)支付賬號類重要隱私大規(guī)模泄露。

騰訊移動(dòng)安全實(shí)驗(yàn)室專家預(yù)測，支付類病毒監(jiān)聽鍵盤輸入或者于后臺監(jiān)控手機(jī)用戶支付賬號密碼輸入信息的特點(diǎn)正在逐步明朗化，這將成為手機(jī)支付類病毒高?；葸M(jìn)的一個(gè)信號。

3.5 集監(jiān)控、仿冒程序、轉(zhuǎn)發(fā)驗(yàn)證碼于一身的支付病毒“鬼面銀賊”

支付類病毒發(fā)展大致有這么四類特征，但與此同時(shí)，支付類病毒又有多種特征融合化發(fā)展的趨勢，比如騰訊手機(jī)管家在2014年3月底查殺“鬼面銀賊”病毒具備二次打包和仿冒程序的特征，仿冒的程序包括支付寶年度紅包大派發(fā)、微云圖集、移動(dòng)掌上營業(yè)廳、中國人民銀行、中國建設(shè)銀行、理財(cái)管家等十余款應(yīng)用。

該病毒的另一個(gè)巨大危害在于可以監(jiān)聽用戶手機(jī)短信，并可將短信內(nèi)容轉(zhuǎn)發(fā)至指定手機(jī)號碼。目前，很多手機(jī)用戶都通過手機(jī)號注冊網(wǎng)購賬戶、支付賬戶，并通過手機(jī)驗(yàn)證碼登錄一些網(wǎng)購、理財(cái)賬號。

可以看出支付類病毒越來越趨向融合化發(fā)展。但由于智能化程度提升，專盯銀行類APP特性，意味著用戶去電子市場下載銀行類APP則極可能下載到“仿冒”的銀行APP，由此會觸發(fā)進(jìn)入黑客操控的支付流程。

?由此可以知道，手機(jī)支付類病毒從二次打包、仿冒程序、驗(yàn)證碼轉(zhuǎn)發(fā)、監(jiān)控誘導(dǎo)一步步深入竊取用戶支付隱私，并逐步走向單個(gè)支付類病毒多種特征融合的趨勢，2014年，手機(jī)支付安全問題與形勢正變得更加嚴(yán)峻。

原文來自：騰訊大講堂