近日，360安全中心率先截获的“支付鬼手”假淘宝木马引发了公众对于手机安全的担忧。该木马可事先伪装成淘宝客户端，专门盗取淘宝账号以及支付密码，并实时远程监控短信伺机窃取验证码，据悉这也是业内首次截获具备完整盗取支付账号能力的手机木马。对此有专家担忧，类似“支付鬼手”的手机钓鱼APP很可能成为另一大安全威胁，危害之大甚至不亚于钓鱼网站。

　　▲图1：隐私破坏者“BadNews”在服务器控制下向用户手机推送钓鱼广告链接

　　当前，钓鱼网站已经成为网民面临的互联网第一威胁，但在公众对钓鱼网站的防范意识大幅提高，以及360等安全厂商的“网址云安全”技术、360安全软件对钓鱼网站防护能力提升，互联网安全性也有一定提升。

　　但反观手机端，移动安全却面临诸多威胁。据360手机安全专家透露，除“支付鬼手”假淘宝木马外，此前还曾发现 “隐私破坏者”(英文名BadNews)病毒、网银大盗“宙斯”木马等有类似行为。其中BadNews病毒可伪装成至少32款不同的APP，以向用户手机推送包含恶意软件的广告链接，造成用户隐私泄露，资费消耗。在国外其感染量已超百万。

　　▲图2：网银大盗“宙斯”木马诱导用户安装恶意插件盗取网银

　　而更早些时候发现的“宙斯”木马的威胁更大，该木马目标直指用户网银账号。据360手机安全专家分析，“宙斯”木马大多通过恶意链接传播，下载过程悄无声息。入侵后，“宙斯”木马会详细记录其手机浏览记录，并冒充银行进行安全更新为由，诱导用户安装恶意插件，最终盗走用户网银财产。

　　显然，钓鱼APP的“星星鬼火”已经点燃，但由于用户对于钓鱼APP以及恶意网址的感知度并不高，警惕性明显不足。360手机安全专家表示，相比钓鱼网站，钓鱼APP隐蔽性更强，盗号能力也更强大。目前，安卓平台山寨APP泛滥，电商类APP也因为与网民财产直接挂钩，更是成为被篡改的重灾区。

　　调查显示，在安卓平台的主流电商软件中，有相当大的比例为恶意及山寨软件。手机网银等APP也同样频繁遭到篡改，它们很可能会窃取用户银行以及信用卡密码，对财产安全构成直接威胁。但由于对钓鱼APP特征的不了解，用户往往已经置身险境还不自知。

　　更令人担忧的是，包括手机QQ、微博、微信等包含大量隐私的社交类应用也被发现了被篡改的现象，用户在使用此类被篡改的“钓鱼APP”登陆后，账号密码就会被发送至黑客服务器，不仅隐私不保，亲友还可能面临被诈骗的危险。

　　对此手机安全专家表示，移动互联网的发展将更多的个人隐私带入移动端，同时随着移动支付的普及，钓鱼类APP势必更加猖獗，防御钓鱼APP正在演变成一场不亚于反钓鱼网站的“全民战争”。目前，安装360手机卫士等安全软件仍是识别钓鱼APP最有效的方式。

　　附：360手机卫士新版下载地址：http://shouji.360.cn