360手機安全中心日前研究發(fā)現(xiàn)，國內首個利用JavaScript腳本遠控的手機“灰鴿子”木馬。該木馬會截取、偷發(fā)手機短信，并存在后臺下載、安裝其他應用的惡意行為。該木馬侵入手機后不會出現(xiàn)圖標，通過加密的本地JS代碼方式作惡，隱蔽難發(fā)現(xiàn)。360手機安全專家指出，該木馬被內置在手機 ROM中，建議手機用戶通過正規(guī)渠道購買手機、同時謹慎刷機，目前，360手機衛(wèi)士已可查殺該木馬，并可在木馬偷發(fā)短信時進行攔截。

圖：360手機衛(wèi)士查殺灰鴿子木馬，攔截其偷發(fā)短信

360手機安全中心日前接到新浪微博反饋，稱新浪客服接到大量用戶投訴，微博用戶稱手機莫名其妙接收到來自1069009088發(fā)送的短信，提示密碼修改或注冊微博。新浪微博運營人員發(fā)現(xiàn)，投訴的用戶均使用安卓手機，每天單個號碼還向1069009088瘋狂發(fā)送10到200條短信，發(fā)送的短信內容全部為“a123123”，造成話費損失。新浪微博為此緊急關閉此短信通道，避免用戶蒙受損失。

360手機安全專家對此展開調查，發(fā)現(xiàn)微博用戶的手機ROM被內置了隱蔽性極強的“灰鴿子”手機木馬。“該木馬利用了WebView組件的addJavascriptInterface函數(shù)關聯(lián)了本地java代碼和JavaScript代碼，服務器通過下發(fā)含有特定的 JavaScript腳本的html，本地打開html，實現(xiàn)多種惡意行為。”360手機安全專家指出，該木馬沒有圖標，通過JS遠程控制的方式作惡，這種方法更加隱蔽，普通用戶和一般殺毒軟件很難發(fā)現(xiàn)。

360手機安全專家解密加密過的JavaScirpt代碼后發(fā)現(xiàn)，灰鴿子木馬通過 JAVA層發(fā)送短信，發(fā)送“a123123”到“1069009088”，并且設置“1069009”為攔截號碼，“新浪”為攔截短信的關鍵字，“凡是 1069009發(fā)送，內容包含"新浪"的短信都將被木馬攔截，并上傳至黑客指定的服務器”，360手機安全專家表示。上傳的內容還包括包含“開通”字段的短信、IMSI、手機型號及操作系統(tǒng)版本等隱私信息。

研究還發(fā)現(xiàn)，該木馬并非只有上述惡意行為，控制攔截、偷發(fā)短信內容的惡意代碼可被任意修改，黑客通過服務器還可以下發(fā)其他惡意行為的JS文件，有偷偷下載安裝其他應用的能力。

灰鴿子木馬早被植入在手機ROM中，360手機安全專家因此建議，要通過正規(guī)渠道購買手機，同時謹慎刷機。尤其刷機后要第一時間安裝360手機衛(wèi)士，對木馬偷發(fā)短信的行為攔截，同時對手機進行全盤查殺。

國內首個利用JavaScript腳本遠控的木馬“灰鴿子”技術分析報告：

http://blogs.360.cn/360mobile/2014/03/07/android-huigezi-trojan/