360：安卓短信欺詐漏洞已遭大規(guī)模利用 超120萬部手機中招

    安卓系統(tǒng)短信欺詐漏洞疫情再曝驚人發(fā)現(xiàn)！截至11月9日，360安全中心已截獲利用短信欺詐漏洞的手機惡意程序（木馬）樣本近500個，超過120萬部安卓手機已中招。通過惡意程序偽造接收到短信，正在成為垃圾短信新的傳播渠道，由惡意程序遠程操控的中招手機組成的垃圾短信“僵尸軍團”正在悄然壯大。值得慶幸的是，360安全中心面向全球緊急發(fā)布了首款不依賴于任何安全軟件的獨立系統(tǒng)補丁，可保護手機免受短信欺詐漏洞風(fēng)險。

    據(jù)360安全中心最新監(jiān)測發(fā)現(xiàn)，目前利用短信欺詐漏洞的手機惡意程序樣本已多達496個，感染智能手機數(shù)超過120萬，而更驚人的發(fā)現(xiàn)是，早在一年前就已有手機惡意程序（木馬）在利用該漏洞。

    圖1：部分利用短信欺詐漏洞的手機惡意軟件列表

    據(jù)360安全專家介紹，安卓短信欺詐漏洞目前已被為數(shù)眾多的手機惡意軟件充分利用，具備較強的暗自篡改短信內(nèi)容并實施詐騙的能力。例如一款名為“萌妹子”的手機應(yīng)用，包含了利用該漏洞的廣告插件，通過聯(lián)網(wǎng)接收短信內(nèi)容，進而篡改中招手機中的手機短信，可將遠端的任意信息偽裝成“短信”讓用戶接收到，整個過程無任何提示，用戶對此毫不知情，還以為是收到了正常“短信”。

    圖2：360安全專家技術(shù)分析報告表明：安卓系統(tǒng)短信欺詐漏洞已被手機木馬充分利用能將釣魚詐騙信息偽裝成“短信”讓用戶收到

    360安全專家對這些惡意程序代碼所做的技術(shù)研究報告同時表明，利用短信欺詐漏洞的手機惡意軟件（木馬），有許多段惡意代碼都是完全相同的，說明其已經(jīng)實現(xiàn)了“量產(chǎn)”。業(yè)內(nèi)人士則指出，通過惡意程序（木馬）先將欺詐釣魚信息通過無線互聯(lián)網(wǎng)偷偷發(fā)送到用戶手機里，再將這些有害信息偽裝成正常“短信”，讓用戶難以分辨，并對欺詐信息放松了警惕，危害較大。同時由中招手機形成的垃圾短信“僵尸軍團”正在壯大，垃圾短信將更難被發(fā)現(xiàn)，更難監(jiān)管。而且由于利用短信欺詐漏洞“發(fā)送”垃圾短信幾乎沒有通信成本，許多垃圾短信地下產(chǎn)業(yè)鏈的從業(yè)者已經(jīng)盯上這條新的垃圾短信傳播渠道。

    據(jù)了解，Android平臺“短信欺詐”漏洞不久前由美國北卡羅來納州州立大學(xué)研究人員發(fā)現(xiàn)，并已被谷歌官方確認。該漏洞會造成用戶手機短信被隨意篡改，它的危害在于手機中的發(fā)件人號碼和短信內(nèi)容可被黑客修改為詐騙短信。更可怕的是，幾乎所有Andriod版本均存在這一漏洞。

    圖3：360手機衛(wèi)士全球首發(fā)獨立系統(tǒng)補丁有效封堵短信欺詐漏洞

    該漏洞被披露后，360安全中心迅速針對該漏洞，緊急發(fā)布全球首個獨立系統(tǒng)補丁，該補丁無須依賴于任何手機安全軟件，未root用戶同樣適用。使用方法也極為簡單，安裝后不用重啟即可徹底封堵此漏洞。

    據(jù)介紹，在最新國際權(quán)威反病毒機構(gòu)AV-Comparitives近期的嚴格測試中，360手機衛(wèi)士以零誤報、98%的高查殺率，成為國內(nèi)唯一通過此次測試的手機安全軟件。在不久前公布的最新一期英國西海岸權(quán)威評測中，360手機衛(wèi)士因其出眾的防騷擾能力，獨得全球首個防騷擾國際權(quán)威認證。今年第三季度中，360手機衛(wèi)士用戶已超過1.5億，市場份額超過70%，已成為用戶首選的手機安全產(chǎn)品。

    附：360短信欺詐漏洞補�。�http://shouji.#/360safesis/SmsCheatPatch.apk

    360手機衛(wèi)士新版下載地址：http://shouji.#