一、簡介：

近日，百度安全實驗室發現一款“偽中國移動客戶端”病毒，犯罪分子通過偽基站方式大量發送偽10086的短信，誘導用戶點擊釣魚鏈接;并在釣魚頁面誘導用戶輸入網銀賬號、網銀密碼、下載安裝“偽中國移動客戶端”病毒;該病毒會在后臺監控用戶短信內容，獲取網銀驗證碼。 黑客通過以上方式獲取網銀賬號、網銀密碼和網銀短信驗證碼后，完成竊取網銀資金。

偽基站發送的偽10086短信

圖1. 偽10086短信

誘導用戶領取現金紅包界面

圖2.誘導用戶領取現金紅包

二、釣魚流程：

圖3. 釣魚流程圖

三、偽移動客戶端代碼分析

1、該病毒啟動后即誘導用戶激動設備管理器，激活后隱藏圖標，導致卸載失敗，且用戶不易察覺。 

圖4. 啟動界面

2、使用apktool 、dex2jar反編譯偽移動客戶端均失敗;代碼進行了APKProtect保護，阻止了反編譯軟件，難以被反編譯逆向分析。 

圖5. apktool 反編譯失敗 

圖6. dex2jar反編譯失敗

該病毒代碼進行了“APKProtect”保護。 

圖7. APKProtect保護

3、脫殼后代碼結構： 

圖8

4、點擊應用圖標啟動后，病毒發送通知短信到13651823521，短信內容包含手機型號、安裝時間，并隱藏圖標，導致用戶不易察覺。 

圖9. 發送通知短信并隱藏圖標

5、該病毒攔截網銀驗證碼，并竊取短信轉發到指定號碼13651823521：

圖10. 竊取短信內容

四、目前，這種釣魚詐騙的方式比較盛行，已經有用戶被盜刷網銀，中國移動也對這種方式進行了警惕說明。 

圖11. 中國移動官網提醒用戶警惕“積分兌換現金”詐騙短信!