新闻链接：http://www.seehand.com/news/386.html
新闻时间：2015/02/06
新闻正文：
最近，一款新型的安卓木马开始为人们所注意，它专门用于通过短信记录窃取银行信息。

zScaler 公司研究人员发现了一个名为888.apk的文件内含木马，该木马目前还没有名字。像目前存在的很多其他类型的木马一样，这款新的木马似乎是针对中国的安卓用户的。

该木马的主要功能是截获用户与银行的短信通信记录，并将短信内容以邮件形式反馈给自己。然后，木马将信息发送至预先在NetEase（网易）服务器上注册的地址及指定的中国编号电话号码。

该木马可以与服务器进行双向交流，也就是说它同时还可以通过短信收取来自服务器的指令。攻击者可以简单地发送消息内容«intercept#»，即可开始收集数据；发送«interceptstop#»，则停止收集。

每次手机收到短信，该木马就会检测短信中包含的关键词，如“支付”“支票”“银行”“结算”“确认”等，如果包含即立刻开始数据采集。

据zScaler透露，除了拦截安卓系统用户的短信记录外，该木马还可以停止或终端用户的语音通话，并通过邮箱将主叫号码发送给攻击者。另外，显然它还有发送被盗信息的功能，例如联系人列表和网络通信数据，但是有关这一部分的代码，研究人员还在对其进行分析中。

“看起来这段代码在该版本木马中暂时还处在非功能性状态，有可能木马的作者自己也在调试这个功能，这只在用户的部分IP地址中是可见的。”安全防御公司研究人员Viral Gandhi说道。

Viral Gandhi做了几个关于该木马运作的截图，包括短信、联系人数据库，以及它成功窃取的电话号码：
安卓系统银行家木马在美国境内活动不是那么频繁，但它们在其他国家已经非常流行，尤其是那些银行安全认证不是那么严格的国家。

去年秋天，巴西银行的客户就遭遇了两个冒充成银行程序的应用程序的攻击。事实上，他们安装的应用程序是一个总负载木马，旨在窃取用户的网上银行证书。2013年，另一个安卓系统下的银行家木马，名为Svpeng，也被卡巴斯基实验室的研究人员发现。Svpeng是通过垃圾短信传播的，主要针对目标是俄罗斯银行。像前述巴西木马一样，Svpeng的捕猎目标是用户登录网上银行的账户名和密码。

zScaler表示，该木马稍微让人联想起安卓恶意软件的一个选项，叫做HeHe，它是在去年一月被FireEye公司发现的，同样也是拦截短信和语音通话记录。

[课程]Android-CTF解题方法汇总！