近日，360手机安全中心发现一种新的手机木马---假面间谍。伪装热门软件、假冒应用更新、伪造下载进度条、存入无用图片，删除扣费短信通知，五大伪装手段让其成为史上最注重细节、最懂“用户体验”的手机木马。手机一旦中招，短信将会受到木马监控，同时黑客会通过短信指令控制手机，偷发扣费短信等恶意行为，对用户的隐私及手机话费存在巨大威胁。目前，360手机卫士已经可以对“假面间谍”木马进行查杀。

图1：假面间谍木马作恶流程图

360技术研究报告显示，“假面间谍”在通过“qq2013”、“微信”、“91手机助手”、“UC浏览器”等热门应用欺骗用户安装后，会以应用需要更新为借口再次诱导用户安装名为“更新程序”的木马文件。安装完成后，木马文件没有任何图标，非常隐蔽。

图2：“QQ2013”为“假面间谍”伪装

360手机安全专家研究发现，木马会启动一项名为“Update”的服务并检查联网状态，如果未开启就提醒用户开启，如果已开启就会下载文件到手机SD卡中。下载过程中，木马还会伪造一个虚构的下载进度条，迷惑用户。

“木马首先通过后台‘Update’服务从资源中读取要发送的目标短信号码和发送内容，并启动一个定时服务，根据日期和月份判断发送短信，每5分钟运行一次。“360手机安全专家介绍，”假面间谍“代码中发现了1062999923和10627777555等短信扣费的SP号码。木马通过偷偷向这些号码发送扣费短信达到扣费的目的，同时还将收费2元的短信通知屏蔽掉，用户对整个过程根本不知情。

360手机安全专家指出，“假面间谍”的主要通过远程控制收发短信作恶。它会持续监控接收到的短信，判断是否是木马作者发来的指令类短信，如果是指令短信，则根据不同的指令做相应的处理，黑客可以远程控制手机作不同操作;如果是普通短信，就会进行一些拦截、过滤等操作。例如：如果短信以“#M”开始，格式：#M[内容1]#T[内容2]，功能：向指定号码发送特定内容短信。如果短信以“@D”开始，格式：@D，功能：静默卸载指定软件。

此外，假面间谍”木马作者还将一个较大的压缩文件伪装成图片“icon1.png”，混入安装文件包，使原本偏小的安装文件达到正版软件的文件大小，打消手机用户下载时的戒备心理。

360手机安全专家提醒，在下载和安装手机应用软件时，务必到安全可靠的应用中心下载，避免通过论坛、云盘、二维码等不安全的方式感染“假面间谍”木马，让手机短信沦为黑客的“间谍”。

360手机安全中心发布的假面间谍手机木马技术分析报告：

http://blogs.360.cn/360mobile/2014/06/13/analysis_of_fakeapps/