360预警：双十一警惕“套牌木马”劫持支付宝偷钱

双十一临近，如果收到家人发来让你代买东西的短信是不是毫不犹豫地就打开支付宝付钱了呢?近日，360手机安全中心截获一个利用(Activity)安卓系统组件的“套牌木马”家族，能够修改中招手机中“爸”“妈”“哥”“姐”等家人的手机号码，更为危险的是，这一家族的木马还会使用Activity劫持方法将正版支付宝付款界面替换为钓鱼页面，窃取支付宝账号和密码。目前，360手机卫士已经可以对“套牌木马”家族进行查杀。图一：360手机卫士查杀“套牌木马”家族360手机安全专家分析指出，“套牌木马”家族会通过恶意主包和子包相互配合共同作恶。手机用户安装伪装成“一键清理”的恶意程序后，主包会释放子包，诱导手机用户点击安装伪装成系统应用“Google Service”的恶意子包，子包安装成功后，木马又会诱导手机用户卸载主包，并激活设备管理器，使手机用户无法正常卸载恶意子包，同时向木马制作者发送短信通知木马安装成功。“套牌木马”会在中招手机中执行三类恶意行为，一是劫持支付宝骗取手机用户的支付账号和密码，二是修改手机中以“爸”“妈”“哥”“姐”等类似家人昵称存储的联系人号码，三是窃取手机中全部短信、通话记录以及联系人等隐私信息。替换正版支付宝登录界面木马会判断中招手机当前运行的是不是支付宝登录页面，如果是，木马会直掉关闭掉正版支付宝应用，将手机页面替换为伪造的“支付宝登录”页面，手机用户输入“账户”和“登录密码”后，木马通过发送短信的方式将这些信息发送出去。目前，只有360手机卫士可以独家查杀采用这种方式劫持手机界面作恶的手机木马。图二：“套牌木马”家族将窃取的支付宝账号密码通过短信发送修改中招手机中家人手机号码除此之外，“套牌木马”还会接收木马制作者的短信指令，执行多种恶意行为。如转发中招手机中的所有短信、联系人、通话记录等，甚至还会删除指定号码的短信、修改以“爸”“妈”“哥”“姐”等类似家人昵称存储的联系人号码。360手机安全专家介绍，“套牌木马”专门针对手机中的联系人、短信作恶，极有可能通过掌握到的信息进行社会工程学电信诈骗，获取到中招手机用户家人的号码后，诈骗成功率会更高。图三：“套牌木马”接收短信指令执行恶意行为360手机安全专家提醒，木马制作者极有可能进一步对窃取到的短信内容进行过滤，获取支付宝验证码信息，与窃取到的支付宝账号密码相结合盗取中招手机用户的财产。双十一即将来临，各家电商都借机进行促销活动，手机用户要警惕“套牌木马”家族劫持支付宝造成资金损失，及时通过360手机卫士查杀“套牌木马”。支付宝官方下载地址：http://mobile.alipay.com/index.htm360手机卫士下载地址：http://shouji.360.cn/详细分析地址：http://blogs.360.cn/360mobile/2014/10/23/activity_hijack_of_zfb/