这种相对较新的安卓木马软件,通过拦截手机短信专门盗取用户的银行账户信息。美国移动安全公司zScaler 的研究人员发现,这种木马经常以名为888.apk的应用安装包出现,并主要针对中国的安卓手机用户。
该木马可以嗅探与银行有关的短信,并把短信以邮件的形式发给攻击者。在一起监测到的例子中,邮件发给了网易的邮件服务器,木马的控制信息则通过攻击者的手机发送。比如,攻击者给受害者的手机发送一条内容为“intercept#”的短信,木马就会在受害者的手机上开始数据收集。再发一次同样内容的短信,木马就会停止动作。
当木马在手机上搜索信息时,会以一系列的关键词为基础进行查找。如,“支付”、“账单”、“验证”、“银行”、“账户”等。除了拦截用户的短信,该木马还能禁止或中断用户拨打电话,并把用户的手机号通过邮件发给攻击者。有迹象显示,木马还具备通过网页的方式发送联系人信息和短信的功能,但相关功能的代码似乎尚未编写完成。
基于安卓系统的银行木马软件在许多国家,尤其是在那些银行系统缺乏强力认证的发展中国家颇为流行。但目前,在苹果手机占主流的美国尚未发现。
2014年秋季,巴西发现一种伪装成银行APP的木马软件。2013年,俄罗斯流行过名为Svpeng的银行木马。两者都会盗取受害人的银行账户信息,包括账户名和密码。
此次发现的木马与之前美国火眼公司发现的一种名为“呵呵”(hehe)的木马有些类似,呵呵也可偷取短信和拦截电话。