此前央視報(bào)道的短信鏈接病毒，說(shuō)是病毒，其實(shí)它充其量算是個(gè)惡意程序罷了，只是眾多媒體過(guò)度渲染，加上眾多安全公司無(wú)節(jié)操的借機(jī)炒作，將這一款惡意程序神話成了“超級(jí)病毒”。那么，本文中小編就和大家說(shuō)說(shuō)短信病毒如何中招和手機(jī)病毒的前因后果。

之所以說(shuō)它是惡意程序，是因?yàn)楫?dāng)你點(diǎn)擊鏈接，手機(jī)會(huì)提示你進(jìn)行下載，下載完安裝時(shí)，你可以很清楚的看到軟件的相關(guān)權(quán)限，顯示會(huì)發(fā)送短信、讀取通訊錄以及修改通訊錄。如果大家對(duì)于軟件調(diào)用權(quán)限比較敏感，可以很輕松的避免中招。

在發(fā)送成功后，應(yīng)用會(huì)執(zhí)行參數(shù)：

SmsManager.getDefault().sendTextMessage(“惡意程序發(fā)布者的手機(jī)號(hào)″, null, “XXshenqi 群發(fā)鏈接OK”, null, null);

也就是向惡意程序發(fā)布者預(yù)設(shè)的手機(jī)號(hào)反饋執(zhí)行信息。

在執(zhí)行了上面一系列動(dòng)作后，惡意軟件會(huì)開(kāi)啟一個(gè)MainActivity，在這個(gè)Activity中，安裝一個(gè)com.example.com.android.trogoogle的文件，這個(gè)文件一般存在于xxshenqi.apk解壓后文件的assets目錄下。如果非要細(xì)究這個(gè)文件是什么的話，大家可以把它理解為木馬，這一程序能夠自動(dòng)隱藏圖標(biāo)。 同時(shí)彈出一個(gè)登錄框，只不過(guò)這個(gè)登陸框是個(gè)幌子，無(wú)論你怎么輸入都會(huì)出現(xiàn)密碼錯(cuò)誤或者賬戶不存在的提示，目的是將用戶導(dǎo)入到一個(gè)注冊(cè)頁(yè)面：RegisterActivity中。

而這個(gè)RegisterActivity也并非是真的注冊(cè)頁(yè)面，在這個(gè)頁(yè)面中，會(huì)讓用戶輸入很多信息，比如身份證號(hào)以及姓名。如果你輸入了信息，并點(diǎn)擊了注冊(cè)按鈕，那么你的信息就會(huì)發(fā)送到惡意程序發(fā)布者的手機(jī)上。如果真的到了這步，xxshenqi.apk的任務(wù)其實(shí)已經(jīng)基本完成了，即使你發(fā)現(xiàn)了不對(duì)，卸載了程序也沒(méi)有用，因?yàn)閯倓偰抉R已經(jīng)安裝到你的手機(jī)中了。木馬程序會(huì)自動(dòng)執(zhí)行隱藏圖標(biāo)的功能，接著打開(kāi)一個(gè)ListenMessageService的服務(wù)，在后臺(tái)運(yùn)行。

ListenMessageService服務(wù)，首先會(huì)注冊(cè)一個(gè)短信數(shù)據(jù)庫(kù)的觀察者，檢測(cè)短信數(shù)據(jù)庫(kù)的變化，一旦用戶的短信數(shù)據(jù)庫(kù)發(fā)生變化（收到信息或者更新信息），那么觀察者就會(huì)執(zhí)行回調(diào)函數(shù)執(zhí)行，首先判斷是否是命令短信，命令短信是用來(lái)向木馬發(fā)送命令的。截獲的短信會(huì)全部發(fā)往黑客手中，值得注意的是一般木馬都會(huì)自行判斷短信的優(yōu)先級(jí)，比如一些銀行、支付平臺(tái)發(fā)送的驗(yàn)證碼，一般都會(huì)被單獨(dú)處理。

這類木馬中一般都具備發(fā)送偽造短信給用戶的功能，算是種自我保護(hù)措施，日常不帶關(guān)鍵詞的短信木馬是不會(huì)進(jìn)行攔截并發(fā)送的，防止用戶過(guò)早發(fā)現(xiàn)。

除此之外，多數(shù)手機(jī)木馬存在的惡意行為是讀取用戶收件發(fā)件箱短信，以及手機(jī)中的聯(lián)系人。 當(dāng)截獲完短信之后，木馬就又開(kāi)啟了一個(gè)MySendEmailService服務(wù)。這個(gè)服務(wù)主要用于給黑客發(fā)送電子郵件，郵件中多包含主機(jī)，端口，賬戶名，密碼等重要信息。

作為補(bǔ)充，多數(shù)木馬還可以繼承系統(tǒng)的BroadcastReceiver組件，一旦接收到短信，就會(huì)觸發(fā)代碼，并判斷指令所要求木馬執(zhí)行的具體功能。 其中包含：

readmessage 發(fā)送郵件命令

sendmessage發(fā)送短信命令

test測(cè)試命令

makemessage偽造短信命令

sendlink發(fā)送連接的命令

當(dāng)然，這里也做了具體處理，就是判斷是否是普通短信和網(wǎng)購(gòu)信息，如果是網(wǎng)購(gòu)信息，程序會(huì)自動(dòng)加上一個(gè)Flag發(fā)送。

至此，這款病毒究竟做了些啥就基本清楚了，所做的操作也是一般短信木馬的常有功能，包括截獲短信并發(fā)送，發(fā)送惡意鏈接進(jìn)行傳播（冒充聯(lián)系人發(fā)送，更有迷惑性），支持接收指令，以及發(fā)送惡意偽造的短信給用戶。雖然聽(tīng)起來(lái)的確很可怕，不過(guò)這些都是能夠避免的，對(duì)于安卓手機(jī)來(lái)說(shuō)，根本不存在絕對(duì)性的病毒程序，病毒只有借助誘惑類軟件或其他惡意軟件的幫助才能有進(jìn)一步危害用戶的機(jī)會(huì)，面對(duì)這些病毒，最好的辦法還是不要去一些不正規(guī)的應(yīng)用市場(chǎng)下載應(yīng)用，同時(shí)注意安裝時(shí)認(rèn)清權(quán)限，在不了解軟件的情況下，發(fā)現(xiàn)軟件包含讀取系統(tǒng)日志、調(diào)用短信等敏感權(quán)限信息，那么就不要輕易安裝。手機(jī)病毒不可怕，可怕的是大家的使用習(xí)慣，以及不夠了解它。