360安全中心8月31日通过@360手机卫士 新浪官方微博报告称：被称作“史上最强安卓间谍木马”的“短信僵尸”手机木马，现已首次发现高危变种。专家称：这还是全球首次发现“短信僵尸”木马的新变种。360安全中心破译并分析了木马原代码，搞清了木马危害的原理，第一时间推出专杀工具进行彻底查杀，并在木马代码中查获了木马作者刚刚更换的远程控制号码，有关部门若据此线索顺藤摸瓜，将有望抓出远程操控木马的幕后黑手。

图1： 360安全中心监测到“短信僵尸”手机木马超强新变种

　　360手机卫士微博：第一时间揭秘木马源代码

　　负责分析该木马的360工程师指出，“短信僵尸”木马变种的功能更强悍，危害也大的多。其将自己伪装成“Android服务”，不但能读取用户手机通讯录，还能搜集窃取用户短信中所有带有“卡号、密码……”等数十个关键字的隐私信息，隐蔽上传给木马操控者。更能进一步遥控用户手机向其通讯录中的亲友群发短信或拨打电话，利用熟人关系进行防不胜防的网络钓鱼电信诈骗。

　　截止发稿前，@360手机卫士 新浪官方微博已经连续多次向公众发布该木马及变种的预警信息，并第一时间分析曝光该恶意代码的具体行为，为公众更好的理解木马危害原理，正确使用查杀工具起到了很好的作用。同时360也提请@平安北京 和@上海网安-SHWA等权威部门注意收集相关破案线索。

　　据介绍，360手机卫士依靠强大的云查杀引擎，已能让所有ROOT过的安卓用户彻底杀灭此木马及新变种；8月31日升级后的“短信僵尸”专杀工具V1.1版，也能让所有非ROOT的安卓用户彻底清除木马新变种。

图2：@360手机卫士 官方微博第一时间向公众揭秘木马变种代码

　　高危木马变种：逼真伪装、功能比之前强数倍

　　据360安全专家介绍，此次发现的新变种仍然采取极为逼真的伪装，其将木马伪装成安卓手机系统的“Android服务”，骗取用户放松警惕，并具有防止安全软件卸载等强悍的自我保护能力。在危害方面，新变种较以往更加猖獗，除强制开机自启动、强制联网等原有特性外，更新增了：强制关闭飞行模式，让用户即使在飞行模式下都可能被木马随时操控，沦为钓鱼诈骗“肉鸡”的可能。

图3：新变种比原版可窃取更多隐私，凡是带有以上关键字的短信，都会被提取上传给木马幕后操控者

　　不止于此，该变种对用户最大的威胁在于，能随时读取用户手机通讯录，并进一步遥控用户手机给通讯录中的联系人群发短信，甚至拨打电话（响5秒后就挂断，制造响一声电话的假象）。

　　此外，该变种窃取用户隐私信息的能力也比之前强数倍。其能够自动上传用户短信中含有：“元、行、费、钱、款、账户、帐号、余额、充值、客户、申请、密码、卡号、尊敬、注册、购买、订单、发货、业务”等19种关键字的设计金钱交易的隐私信息，秘密发送给一个上海移动的13482728336手机号码。

　　这将意味着用户一旦中招，其手机通讯录中的所有人都可能沦为木马作者的诈骗对象。当用户亲友的手机收到木马操控者仿冒用户名义发送的各种涉及银行转账、电话卡购买、网络代购等虚假信息时，很可能会上当受骗。而木马操控者只要将其非法窃取的用户隐私信息互相排列组合，还能设计出许多种令人防不胜防的网络欺诈、电信诈骗、钓鱼骗局，其潜在危害不容忽视！

　　新木马易变种：坏人稍加培训就可利用

　　360安全专家进一步分析指出，这还是第一次发现这样易于修改代码，能够远程进行灵活配置的诈骗木马。从代码编写上看，该木马作者，明显考虑到要让该木马的使用者不需要太多专业知识，只要稍加“培训”就能“上岗”。普通骗子无须太多技术积累，只要稍加指点就能轻易掌握木马的操控方法，甚至能稍加更改就快速推出更多变种。

　　目前木马变种用于远程遥控木马的手机号码已从上一版“安徽联通”更换成了“上海移动”的13482728336。不仅如此，黑客今后还可随时通过远程服务器更新配置文件的方式，随意更换远程控制手机号码。说明骗子十分狡猾。

图4：木马变种的远程控制手机号码为上海移动13482728336

　　360独家发现、截获木马变种：独家推出专杀工具

　　值得庆幸的是，国内最大的互联网安全厂商360公司已在第一时间独家发布了“短信僵尸”木马专杀工具（最新为V1.1版），能够独家截获并查杀该木马及变种。据介绍，如果是已Root手机用户，不必下载专杀工具，即可通过360手机卫士更新病毒库本地查杀或直接联网云查杀，一键清除掉该木马。而未Root用户则可根据360手机卫士引导提示，下载V1.1版“短信僵尸”木马专杀工具，将其彻底查杀。

图5： 360独家发布的“短信僵尸”木马专杀工具V1.1可将变种彻底清除