通信世界网消息(CWW) 以淘宝“卡单”、“账户冻结”、“订单失败”等为借口的电信诈骗层出不穷。随着618大促的来临，360手机安全中心截获一款“假面银贼”手机木马，以“订单失败”需要退款为由，骗取手机用户姓名、手机号、身份证号、银行卡号等信息，并通过拦截手机短信的方式获取短信验证码，进而修改淘宝和支付宝账号、密码，窃取手机用户钱财。目前360手机卫士已独家查杀此木马，360手机安全专家建议手机用户尽量通过淘宝官方网站或360手机助手等可信渠道下载相关应用。

图一：360手机卫士查杀“假面银贼”

360手机安全专家介绍，“假面银贼”安装时，会申请短信接收和发送的权限，并注册短信接收服务。该木马的图标和界面高度伪装手机淘宝，手机用户点击进入之后，页面就会提示有一笔商品付款异常导致订单失效需要退款，用户会被诱导按照界面的提示一步步输入手机号、姓名、身份证号、银行卡号，最后点“立即退款”，收到界面提示退款“正在处理”。

图二：假面银贼骗取用户敏感信息

而此时，用户输入的这些信息全部通过短信转发给木马作者。手机用户点击“立即申请退款”会将自己的手机号码转发到1532****438这个号码上，点击立即退款之后，刚刚输入的姓名、身份证号、银行卡号等信息也会同样被转发到号码为1532****438的手机上。

更可恶的是，“假面银贼”还会劫持手机用户的短信内容，转发中招手机收到的所有短信，并将新到短信从手机收件箱中删除，手机用户不会再收到手机新短信的提示。

图三：“假面银贼”转发手机用户信息

360手机安全专家举例，例如中招手机收到来自淘宝发送的验证码短信，短信来源号码：“106575258192”，短信内容是“【淘宝网】亲，您正在进行找回密码操作，切勿将验证码泄露于他人，如验证码泄露会有账号被盗风险。验证码：123456。”“假面银贼”就会将此短信转发到“1532*****438”，并且不会给用户任何提示。

通过上述方法，木马作者窃取了用户手机号，姓名，身份证号及银行卡号，并通过淘宝网站“忘记密码”、“找回密码”等服务，利用实时获取到的淘宝发送到用户手机上的验证码或动态密码，就能成功修改用户登陆密码及支付密码，盗取用户支付宝中的钱财。

360手机安全专家提示，电商促销又将迎来一波热浪，借机作恶的手机木马也会批量出现，手机用户一定要提高警惕，避免通过论坛、二维码等不安全的手机市场下载应用，安装软件时也要开启360手机卫士实时防护，并经常扫描查杀手机病毒。

360手机卫士下载地址：http://shouji.360.cn

“假面银贼”手机木马技术分析报告：http://blogs.360.cn/360mobile/2014/06/17/analysis_of_faketaobao_2/