国内首个利用JS脚本远控手机木马一天狂发二百短信

发布时间：2020-02-19 05:08:29 阅读：次来源：沙发类厂家

360手机安全中心日前研究发现，国内首个利用JavaScript脚本远控的手机“灰鸽子”木马。该木马会截取、偷发手机短信，并存在后台下载、安装其他应用的恶意行为。该木马侵入手机后不会出现图标，通过加密的本地JS代码方式作恶，隐蔽难发现。360手机安全专家指出，该木马被内置在手机ROM中，建议手机用户通过正规渠道购买手机、同时谨慎刷机，目前，360手机卫士已可查杀该木马，并可在木马偷发短信时进行拦截。

图：360手机卫士查杀灰鸽子木马，拦截其偷发短信

360手机安全中心日前接到新浪微博反馈，称新浪客服接到大量用户投诉，微博用户称手机莫名其妙接收到来自1069009088发送的短信，提示密码修改或注册微博。新浪微博运营人员发现，投诉的用户均使用安卓手机，每天单个号码还向1069009088疯狂发送10到200条短信，发送的短信内容全部为“a123123”，造成话费损失。新浪微博为此紧急关闭此短信通道，避免用户蒙受损失。

360手机安全专家对此展开调查，发现微博用户的手机ROM被内置了隐蔽性极强的“灰鸽子”手机木马。“该木马利用了WebView组件的addJavascriptInterface函数关联了本地java代码和JavaScript代码，服务器通过下发含有特定的JavaScript脚本的html，本地打开html，实现多种恶意行为。”360手机安全专家指出，该木马没有图标，通过JS远程控制的方式作恶，这种方法更加隐蔽，普通用户和一般杀毒软件很难发现。

360手机安全专家解密加密过的JavaScirpt代码后发现，灰鸽子木马通过JAVA层发送短信，发送“a123123”到“1069009088”，并且设置“1069009”为拦截号码，“新浪”为拦截短信的关键字，“凡是1069009发送，内容包含‘新浪’的短信都将被木马拦截，并上传至黑客指定的服务器”，360手机安全专家表示。上传的内容还包括包含“开通”字段的短信、IMSI、手机型号及操作系统版本等隐私信息。

研究还发现，该木马并非只有上述恶意行为，控制拦截、偷发短信内容的恶意代码可被任意修改，黑客通过服务器还可以下发其他恶意行为的JS文件，有偷偷下载安装其他应用的能力。

灰鸽子木马早被植入在手机ROM中，360手机安全专家因此建议，要通过正规渠道购买手机，同时谨慎刷机。尤其刷机后要第一时间安装360手机卫士，对木马偷发短信的行为拦截，同时对手机进行全盘查杀。

国内首个利用JavaScript脚本远控的木马“灰鸽子”技术分析报告：

http://blogs.360.cn/360mobile/2014/03/07/android-huigezi-trojan/

360手机卫士最新版下载地址：

http://shouji.360.cn