短信攔截馬是什么?顧名思義就是一種可以攔截到他人短信的木馬。它既可以控制攔截用戶手機中收到的短信，讓用戶無法實時收到短信，還會將用戶手機中的短信內容私自發送到攻擊者的手機和郵箱中。

瑞星安全研究人員通過對“短信攔截馬”病毒研究分析發現，短信攔截馬最容易偽裝成移動掌上營業廳、淘寶、支付寶、相冊、視頻、學習資料等手機APP客戶端，讓大家誤以為是官方APP，從而放松警惕，安裝運行。

圖：“短信攔截馬”病毒圖標偽裝

“短信攔截馬”為了防止安全人員逆向分析研究，將代碼進行混淆，但是包內文件結構一致，內容也很類似。

圖：“短信攔截馬”病毒樣本包結構

木馬運行后為了獲取設備管理器權限，會在啟動界面上提示“提高權限獲取保護”等詞語，誘導用戶激活設備管理器權限，而一旦用戶激活了此權限，木馬病毒便會隱藏自身圖標，很難被卸載。可如果用戶選擇取消激活設備管理器，木馬病毒則會彈出警告: “謹慎操作!取消激活可能會影響手機正常使用”等字語威脅用戶。

圖：提示用戶激活設備管理器權限

當“短信攔截馬”病毒程序安裝完畢后，木馬便遍歷用戶手機中的個人隱私信息，如通訊錄、短信等，然后將獲取的信息發送到攻擊者的郵箱中。當然，黑產更關注的是銀行等支付交易的驗證碼短信，當黑產團伙同時掌握了用戶的銀行卡信息和驗證手機后，就可以通過攔截短信驗證碼進行資金交易轉賬等一系列操作。

其實，這類“短信攔截馬”的技術原理及實現并不復雜，而且利用的技術手段也大致相同，幾乎都是通過注冊短信廣播或者觀察模式監控手機短信的收發過程，從而實現短信攔截和竊取用戶個人隱私的惡意功能。

目前，Android應用的開發相對較為簡單，結合目前較為流行的釣魚網站，“短信攔截馬”作為一個功能簡單、開發成本低、獲利頗高的非法牟利手段，很快就能在短時間內形成一套完整的黑色產業鏈。

瑞星安全研究人員介紹，“短信攔截馬”家族此時還正繼續在社會上傳播蔓延，變種的速度也很快，欺詐性也很強，傳播渠道也很廣，很容易造成大范圍的經濟損失以及個人隱私的泄露。希望大家能自我建立良好的上網習慣，以及對釣魚網站和欺詐信息的高度警惕，最大程度上避免自己的隱私和財產受到此類病毒詐騙的威脅。同時，大家還可以下載并使用瑞星手機安全助手對該類木馬進行檢測和查殺。

病毒詳細分析

木馬安裝成功后，會給攻擊者的手機發送一條短信，提示該木馬安裝完畢。

圖：發送識別碼

木馬將盜取用戶的短信、通訊錄等通過SMTP協議發送到指定的郵箱。由于使用SMTP協議發送郵件，需要發件人的郵箱賬號密碼。所以樣本中內置了牧馬人的發件郵箱賬號密碼。

圖：使用163發信

早期樣本中，發件郵箱賬號和密碼都是明文形式存在文件中，隨著樣本的升級，病毒作者以加密形式保存了此信息，但是通過調試也很容易解密出發件郵箱的賬號密碼。使用郵件收信在很早之前的木馬中流行過，但因為要內置發件郵箱的賬號密碼，這種方法很早就被淘汰，此木馬中仍然使用郵箱發件，足可看出該木馬的水平非常底下。

圖：加密過的郵箱賬號密碼

該木馬還會替換收件信息內容中的敏感字，逃避殺毒軟件和一些流量郵件監控軟件的檢測。

圖：敏感字替換

樣本安裝運行后還會向用戶的所有聯系人發送短信進行惡意傳播，內容為： 我給你錄了視頻你看下 123.60.159.122/Zet 。當聯系人收到該短信訪問此鏈接后又會下載該木馬病毒。

圖：木馬通過短信傳播

樣本信息