“微信支付大盗”来袭，有人被盗近万元

近日，猎豹移动安全实验室捕获到一类高度危险的盗取微信支付资金类的手机病毒，多款手机ROM和APP中均捆绑了该病毒。中毒后，微信帐号随即被盗，严重威胁微信支付钱包及微信支付关联的银行卡资金安全，目前已有上千名用户中招。

据某中招用户回述：

前几个月将手机进行了刷机。12月11日，突然弹出一个提示框，显示微信未登录，登陆后就继续玩游戏没管。晚上发现手机已死机，第二天重刷后发现微信被盗。然后直接申诉找回，发现绑定的qq和手机全被解除，绑定微信的一张建设银行储蓄卡里面8330被消费完了。联系微信客服后，对方回应无法赔付。
那么，病毒是如何实现盗号，又如何将钱财一扫而空？让我们一探究竟！

病毒原理分析

经猎豹移动安全实验室分析发现：原来，该微信盗号木马暗藏于鱼龙混杂的各类第三方定制ROM和APP中，伪装为安卓系统服务模块，通过弹出伪造的微信登录和支付的钓鱼界面，获得用户的登录密码以及支付密码后，再通过监控用户短信等手段，远程窃取微信支付绑定的银行卡余额。

以其中的一个病毒样本timesync.apk为例：

病毒通过注册BootBroadcastReceiver实现自启动服务，主要的恶意功能包括上报用户短信、劫持微信钓鱼、上传微信数据、卸载微信、摧毁系统等。

1、监控顶层的Activity，启动劫持微信APP的钓鱼界面，诱骗用户登录、输入支付密码。

即当病毒运行后，会弹出一个消息框，提示微信登录过期，建议用户重新登录。

（伪造的微信消息框）

点击登陆后，会诱骗用户输入微信账号和登陆密码。

（伪造的微信登录界面）

大部分用户会不加思索地填写自己的微信帐号和密码，此时，病毒将会迅速将该信息发送到攻击者的服务器。但这并没完，病毒会紧接着索取微信支付密码。（在你并没有进行正常消费支付操作时，就要求你输入支付密码，这不是很奇怪吗？）

（伪造的支付钓鱼界面）

2、打包上报用户短信，并监*听用户短信收发。

至此，这个微信盗号木马已经顺利得到受害者的微信帐号、登录密码和支付密码。当小偷在其他设备登录受害者微信时，微信的安全功能会要求提供手机短信验证码验证登录者身份。此时验证码会同样被病毒上传，小偷得以顺利登录受害者的微信帐号。接下来，就是小偷大肆挥霍盗*窃的时间。

微信钱包里所有可以利用的资金，均有可能被盗。包括：微信零钱、转帐、红包、京东购物、城市服务、水电费、微粒贷（假如该帐户有权限申请贷款的话）等等。猎豹移动安全实验室已注意到有受害者损失近万元。

3、打包上传用户微信安装目录的数据，可通过分析用户数据，替换数据文件登录绕过部分安全风控限制。

4、从远程服务器轮询控制命令并执行，包括开关设置、短信监控、微信卸载、系统摧毁、数据上报等。

5、在用户桌面创建虚假快捷方式。

病毒传播渠道：

猎豹移动安全专家紧急提醒网民高度警惕这个专门针对微信的盗号木马，一旦中招，后果十分严重。该病毒感染后，还会申请ROOT权限，假如受害者已将手机ROOT，而后又错误地将ROOT权限分配给病毒程序，就需要通过刷机来彻底清除病毒。

猎豹移动安全实验室监测到这个仿冒微信的盗号木马会通过若干个墙纸应用、一键转移应用到SD卡、Google应用下载器、一键卸载大师等传播，在部分非官方刷机包中也有植入。

微信消息频繁的用户受害概率较低，如果你正在使用微信，你的帐户在其他设备登录时，会收到安全警告提醒。如果是web微信，会立刻被踢下线。