解密短信木马为何屡杀不尽

转自CSDN《程序员杂志》 作者：三金，火点

短信，一个几乎很少有人使用的通信手段，却因为利益的驱使，使得短信木马泛滥，更有一个庞大的黑色产业链在高速运转，短信木马为何屡杀不尽呢？我们为您解密！

邂逅黑产

近日逛了逛以某西游记人物命名的威客网，看到一个项目需求是要做安卓短信转发的应用。正好笔者对安卓系统安全以及短信都有所涉猎，因此对该项目产生了兴趣。

项目需求主要归结为以下几点：

1）主动告知，应用在被控制手机上安装之后要自动发送一条短信到指定号码（主控手机）。

2）短信拦截，被控手机收到的所有短信都会自动转发给主控手机。

3）拦截开关，主控手机可以通过发送短信命令的方式控制被控手机来开启或关闭短信拦截功能。

4）控制发送，主控手机可以控制被控制手机发送任意内容的短信到任意号码。

5）最重要的一点是，要求能够免杀，至少要过360。

从需求可以看出，此人要做的是一款短信木马。随着和他深入沟通也了解到短信木马背后的巨大黑色产业链。这条产业链主要由木马制造商，包马人，洗钱人构成。木马制造商主要是一些黑客或者程序员。包马人负责从木马制造商处购买木马，并通过网站挂马，诱骗安装、刷机等方式安装到用户的手机里，盗取用户的信息。而盗取来的用户的这些信息，则由洗钱人变现，最后和包马人分赃。

发这个需求的人就是包马人。根据这个包马人的描述，他们每天都会有几百名用户中招，对于他们来讲时间就是金钱。所以哪怕一个木马能够免杀一天他们也愿意花钱购买，用争分夺秒来形容，一点也不为过。而且包马人还很自豪的说，一般情况下一个月他们就可以赚一辆豪车。听起来确实挺暴利的，难怪他们敢冒着被抓的风险从事黑产。

 

短信木马种类

短信木马的种类很多，主要有这么几类：

1）银行支付类木马，这类木马主要盗取用户的网银或支付类应用的账号和密码。

2）恶意订阅付费服务，这类木马主要通过后台静默发送短信订阅付费服务。

3）短信诈骗，这类木马通过后台静默给手机里的联系人发送诈骗短信。

实际中木马可能是多种功能混合的木马。包马人为了尽快得到免杀的木马，还主动发了一份安卓短信木马的源码给笔者，并说明把这款木马改成免杀就可以了。对于笔者来说这份源代码作为研究样本真是再好不过了。

短信木马分析

结合代码分析和实际测试，笔者发现短信木马的隐蔽性和危害性做的都非常有技巧。接下来笔者就为各位详细剖析一下：

1）首先谈谈隐蔽性。之前就听过网上报到说网友中了木马，网银密码被盗，造成失窃的事情。笔者一开始就纳闷，被装了短信木马，桌面不是多了一个图标么。这个陌生的图标，谁一看都会怀疑的，怎么会发现不了呢。

原来木马一旦被安装，只要运行一次，那么在桌面上的木马图标就会消失。实现原理是在木马的Activity的onCreate方法里，会调用PackageManagerService的setComponentEnabledSetting方法来禁用当前的Activity。一旦Activity被PackageManagerService禁用，那么它就会从桌面上消失了。这对于普通的用户来说确实很难发现。

2）短信木马不仅在桌面隐藏图标，而且还会防卸载。稍微懂一点安卓的用户就会知道，在系统设置的“应用”里可以卸载安装在手机里的应用。如果木马是安装上去的，当然也应该可以从这里卸载掉。可是很不幸&#