随着移动支付的不断普及，手机支付病毒开始逐渐蔓延。手机病毒是如何在不经意之间盗取我们的钱财呢？本期大讲堂将联合腾讯手机管家首发2014年手机支付安全报告，揭开手机病毒的真实面纱.

手机支付类病毒攻击的形式和特征

 腾讯移动安全实验室针对目前已发现的82805个手机支付类病毒的特征进行归类统计发现，支付类病毒最大特征是表现为静默联网、删除短信、发送短信、读短信、开机自启动。其中，静默联网比例高达61.09%、位居第一，静默删除短信、静默发送短信、开机自启动、读短信的病毒行为分别占比37.3%与36.51%、30.1%、19.74%。分别位居第二和第三、第四、第五。

 另外，静默安装、静默卸载、监听键盘输入、静默获取root权限分别占比为5.62%、4.77%、4.52%、3.34%。这四个病毒行为可在用户不知情的情况下，可卸载掉手机端重要软件（安全软件），安装病毒子包或者监听用户键盘输入的动作或内容、获取root权限、窃取用户账号密码等隐私，可对用户造成极大危害。目前，支付类病毒感染用户总数已达到1126.75万。

腾讯移动安全实验室通过对支付类病毒进行从特征共性再进行总结分类，主要分为以下几种类型：

3.1  二次打包支付类病毒:紧盯一线电商品牌

2013年初，腾讯移动安全实验室截获了首款感染国内银行手机客户端——中国建设银行的手机支付病毒a.expense.lockpush（洛克蠕虫），该病毒通过二次打包的方式把恶意代码嵌入银行APP并私自下载软件和安装，进一步安装恶意子包，窃取银行帐号及密码，继而盗走用户账号中的资金。该病毒是典型的二次打包类支付类手机病毒。

另外，腾讯手机管家在2013年查杀的“银行鬼手”(a.expense.tgpush)、“银行扒手”(a payment googla b)、“银行毒手”(a.expense.googla.a)等病毒均属于该类。“银行鬼手”病毒的特征是，未经用户允许，后台私自下载未知软件，给用户造成资费消耗和存在流氓行为。

“银行毒手”、银行扒手”这类手机支付类病毒通过二次打包，伪装成正常软件，在后台运行恶意程序，给用户造成的危害包括个人手机信息隐 私泄露，私自发送短信造成资费消耗，而用户全不知情。这类手机支付类病毒，给用户造成的危害性相对较小，但普遍针对银行类、购物类软件进行二次打包。比如 在2014年2月，“银行毒手”通过二次打包伪装大量一线电商类APP，包括伪装唯品会、淘宝特卖、聚美优品等软件诱骗用户下载。而该病毒可屏蔽回馈信息，上传手机信息，而这些特征也可以指向用户手机支付确认短信，对用户的支付安全构成了一定的威胁。

3.2 高危支付病毒仿冒程序  支付账号密码危机重重

目前出现的高危支付类病毒的目的都非常明确，那就是紧盯手机支付软件与购物软件、手机银行类软件。在手机支付类APP领域，支付宝和淘宝是被支付类病毒紧盯的重点支付购物类APP。

仿冒移动支付购物类APP的支付类病毒中，2013年5月，腾讯手机管家查杀的“伪淘宝”(a.privacy.leekey.b)则是典型病毒。该病毒可通过模拟淘宝官方的用户登录页面收集用户输入的淘宝帐号密码以及支付密码，通过页面诱导用户输入，并转发淘宝的帐户与密码。

当手机用户安装“伪淘宝”木马客户端之后，在“伪淘宝”的木马客户端登录页面，用户输入用户名和密码，点击登录，就会执行发送短信的代码，将用户的账户名和密码发送到指定的手机号码13027225522，同时诱骗用户安装包名为taobao.account.safety的恶意子包，软件名称为“帐号安全服务”。当用户安装完该恶意子包后，再次点击提交会发出广播，启动恶意子包服务。

可以看出，该病毒伪装成淘宝客户端，骗取用户淘宝帐号、密码以及支付密码发送到指定的手机号码，同时诱骗用户安装恶意子包，造成用户核心隐私和资金的大规模泄漏。该病毒的存在，使得手机购物、支付安全的风险大增。

3.3 验证码成高危支付病毒窃取资金的核心环节

由以上手机支付类病毒行为统计比例可以看出，静默删除短信、静默发送短信、读短信的病毒行为分别占比37.3%与36.51%、19.74%。分别位居第二和第三、第五。可以看出短信已成为手机支付类病毒木马的重要窃取目标。

腾讯移动安全实验室专家提醒：由于支付宝等第三方支付账号的手机验证的权限高于支付宝数字证书权限，导致任何人通过支付宝捆绑的手机号都可以找回支付宝密码，删除和捆绑银行卡，进入余额宝进行转账，所以一旦手机丢失，第三方支付账号将全面沦陷。

另一方面，在手机支付的的过程中，手机验证码成为极为重要的一环。根据腾讯移动安全实验室的抽样统计，19.74%的支付类病毒可以读取用户短信。这里的“用户短信”包括用户支付交易的手机验证码，而黑客可通过验证码破解用户的支付账号。

即如果黑客能窃取到手机验证码，那么再结合窃取到的用户手机号码等隐私信息，可以取消数字证书等设置，对支付宝交易的安全造成巨大威胁。而哪些病毒在盯着手机验证码？

2013年12月，腾讯移动安全实验室截获了一个名为a.remote.eneity（“短信盗贼”）的手机病毒，该病毒可转发手机用户短信（包括验证码短信）到指定号码，并拦截用户短信，给用户商业隐私、支付安全等带来严重威胁。

2013年末，腾讯移动安全实验室工程师检测查杀到一个针对淘宝的高危手机病毒——“盗信僵尸”（a.expense.regtaobao.a），该病毒可将中毒手机变成“肉鸡”，私自发送短信注册淘宝帐号，同时可拦截屏蔽自动回复系列支付确认短信，盗取手机支付确认验证码和手机资费，甚至威胁支付宝账户余额。2014年2月，腾讯手机管家已再次查杀到该病毒。

可见“短信盗贼”和“盗信僵尸”病毒均可以窃取手机支付验证码。“盗信僵尸”病毒的特征是监控手机支付类验证码，通过窃取验证码来配合窃取支付里的金额，而腾讯手机管家之前查杀的“短信窃贼”、“窃信鬼差”病毒都属此类。

2014年，腾讯手机管家查杀了一款名为“鬼面银贼”的支付类病毒，该病毒可伪装成银行、金融、理财等热门应用，骗取用户下载，一旦安装激活会窃取用户银行账号密码、身份证和姓名信息，同时还会私自拦截和上传用户短信（包括验证码短信）内容到指定号码。

这种支付类病毒盗取网银的手段非常明显：即转发用户短信或监控收集支付验证码，由于手机用户都捆绑了网银、支付宝等，当网银、支付宝等 发生消费、支付操作的时候，都会收到短信提醒，内容涉及消费金额、账号余额、支付过程中的短信验证码等信息。而这类支付类病毒可通过拦截这些涉及到网银和 支付的短信内容来窃取用户网银资金，这些病毒的存在，是用户手机支付的隐忧。

3.4  监控诱导特征成为手机支付类病毒高危化演进的一个信号

迄今为止最凶悍的监控类手机支付类病毒是腾讯手机管家查杀的“银行悍匪”（a.rogue.bankrobber），该病毒可以直接监控20多个手机银行的APP，窃取帐号、密码等信息。

下面重点详细讲解分析该病毒的特征与感染情况。

2014年1月10日, 基于腾讯手机管家产品服务的腾讯移动安全实验室截获了高危手机支付类手机病毒“银行悍匪”（a.rogue.bankrobber）。

首先，先总体了解一下a.rogue.bankrobber.[银行悍匪]的病毒特征：

“银行悍匪”病毒由母程序（简称：母包）和子程序（简称子包）组成，母包中含有恶意子包。母包通常被二次打包到热门游戏如100个任务、坦克大战中，通过游戏软件需要安装资源包等方式诱导用户安装和启动恶意子包。子包是核心的恶意程序，会进一步诱导用户激活设备管理器，获取ROOT权限，删除SU文件，安装后隐藏图标，卸载杀毒软件，监控指定Activity页面。

病毒可隐藏在后台窃取用户手机信息和短信信息，同时删除短信和私自发送短信，并且窃取用户的通话记录，还会根据短信命令控制手机，比如，开启监听短信，窃取通话记录，屏蔽回执短信，删除所有短信，并读取手机中安装的购物客户端（淘宝）和银行客户端信息。

目前,银行悍匪可窃取包括农业银行、招商银行、广发银行、兴业银行、邮储银行、南京银行、中信银行、光大银行、民生银行、浦发银行、平安银行、广州农商银行、重庆银行、中国银行、华夏银行、湖州银行、上海银行等20余家手机银行的账号密码，将其强制结束进程，同时弹出悬浮窗口骗取用户账号和密码。

目前该病毒已感染6万多用户，该木马高度模仿真正的手机银行软件，用户从软件图标上很难区分，一旦用户安装运行了“山寨手机银行”，就会被要求用户输入手机号、身份证号、银行账号、密码等信息，并把这些信息上传到黑客指定服务器，盗取了银行账号密码后，立即将用户账户里的资金转走。

在支付类病毒中，可监听键盘输入的比例已达到4.52%。在2013年，腾讯手机管家查杀的“键盘黑手”（a.privacy.keylogger）也属于典型的监控诱导类手机支付病毒，该病毒嵌入到输入法软件中，可监听用户键盘输入，上传泄露用户账户密码信息，甚至包括信用卡、网银等支付资料，并把输入内容上传到指定远端服务器，造成手机用户有关支付账号类重要隐私大规模泄露。

腾讯移动安全实验室专家预测，支付类病毒监听键盘输入或者于后台监控手机用户支付账号密码输入信息的特点正在逐步明朗化，这将成为手机支付类病毒高危化演进的一个信号。

3.5 集监控、仿冒程序、转发验证码于一身的支付病毒“鬼面银贼”

支付类病毒发展大致有这么四类特征，但与此同时，支付类病毒又有多种特征融合化发展的趋势，比如腾讯手机管家在2014年3月底查杀“鬼面银贼”病毒具备二次打包和仿冒程序的特征，仿冒的程序包括支付宝年度红包大派发、微云图集、移动掌上营业厅、中国人民银行、中国建设银行、理财管家等十余款应用。

该病毒的另一个巨大危害在于可以监听用户手机短信，并可将短信内容转发至指定手机号码。目前，很多手机用户都通过手机号注册网购账户、支付账户，并通过手机验证码登录一些网购、理财账号。

可以看出支付类病毒越来越趋向融合化发展。但由于智能化程度提升，专盯银行类APP特性，意味着用户去电子市场下载银行类APP则极可能下载到“仿冒”的银行APP，由此会触发进入黑客操控的支付流程。

 由此可以知道，手机支付类病毒从二次打包、仿冒程序、验证码转发、监控诱导一步步深入窃取用户支付隐私，并逐步走向单个支付类病毒多种特征融合的趋势，2014年，手机支付安全问题与形势正变得更加严峻。

原文来自：腾讯大讲堂