360：安卓短信欺诈漏洞已遭大规模利用 超120万部手机中招

安卓系统短信欺诈漏洞疫情再曝惊人发现!截至11月9日，360安全中心已截获利用短信欺诈漏洞的手机恶意程序(木马)样本近500个，超过120万部安卓手机已中招。通过恶意程序伪造接收到短信，正在成为垃圾短信新的传播渠道，由恶意程序远程操控的中招手机组成的垃圾短信“僵尸军团”正在悄然壮大。值得庆幸的是，360安全中心面向全球紧急发布了首款不依赖于任何安全软件的独立系统补丁，可保护手机免受短信欺诈漏洞风险。

据360安全中心最新监测发现，目前利用短信欺诈漏洞的手机恶意程序样本已多达496个，感染智能手机数超过120万，而更惊人的发现是，早在一年前就已有手机恶意程序(木马)在利用该漏洞。

图1：部分利用短信欺诈漏洞的手机恶意软件列表

据360安全专家介绍，安卓短信欺诈漏洞目前已被为数众多的手机恶意软件充分利用，具备较强的暗自篡改短信内容并实施诈骗的能力。例如一款名为“萌妹子”的手机应用，包含了利用该漏洞的广告插件，通过联网接收短信内容，进而篡改中招手机中的手机短信，可将远端的任意信息伪装成“短信”让用户接收到，整个过程无任何提示，用户对此毫不知情，还以为是收到了正常“短信”。

图2：360安全专家技术分析报告表明：安卓系统短信欺诈漏洞已被手机木马充分利用能将钓鱼诈骗信息伪装成“短信”让用户收到

360安全专家对这些恶意程序代码所做的技术研究报告同时表明，利用短信欺诈漏洞的手机恶意软件(木马)，有许多段恶意代码都是完全相同的，说明其已经实现了“量产”。业内人士则指出，通过恶意程序(木马)先将欺诈钓鱼信息通过无线互联网偷偷发送到用户手机里，再将这些有害信息伪装成正常“短信”，让用户难以分辨，并对欺诈信息放松了警惕，危害较大。同时由中招手机形成的垃圾短信“僵尸军团”正在壮大，垃圾短信将更难被发现，更难监管。而且由于利用短信欺诈漏洞“发送”垃圾短信几乎没有通信成本，许多垃圾短信地下产业链的从业者已经盯上这条新的垃圾短信传播渠道。

据了解，Android平台“短信欺诈”漏洞不久前由美国北卡罗来纳州州立大学研究人员发现，并已被谷歌官方确认。该漏洞会造成用户手机短信被随意篡改，它的危害在于手机中的发件人号码和短信内容可被黑客修改为诈骗短信。更可怕的是，几乎所有Andriod版本均存在这一漏洞。

图3：360手机卫士全球首发独立系统补丁有效封堵短信欺诈漏洞

该漏洞被披露后，360安全中心迅速针对该漏洞，紧急发布全球首个独立系统补丁，该补丁无须依赖于任何手机安全软件，未root用户同样适用。使用方法也极为简单，安装后不用重启即可彻底封堵此漏洞。

据介绍，在最新国际权威反病毒机构AV-Comparitives近期的严格测试中，360手机卫士以零误报、98%的高查杀率，成为国内唯一通过此次测试的手机安全软件。在不久前公布的最新一期英国西海岸权威评测中，360手机卫士因其出众的防骚扰能力，独得全球首个防骚扰国际权威认证。今年第三季度中，360手机卫士用户已超过1.5亿，市场份额超过70%，已成为用户首选的手机安全产品。

附：360短信欺诈漏洞补丁：http://shouji.360.cn/360safesis/SmsCheatPatch.apk