安卓系统签名漏洞遭利用 将成新手机木马“生产线”

史上最严重安卓漏洞的“安卓系统签名漏洞”又有最新进展。360手机安全中心23日截获一批利用该漏洞实施攻击的手机木马，这些木马具备窃取隐私、向通讯录联系人群发诈骗短信，扣费等恶意行为。有专家担心，借助该漏洞任何手机应用都可被轻易的植入木马，且难被发现。如果漏洞被大规模利用，将会诞生一条新的手机木马“生产线”，手机木马的传播能力会更强，用户更易中招。

据了解，本月有两个高危害级别的安卓系统签名漏洞被先后曝光，其影响范围涉及全球数亿部安卓手机，黑客可以借助该漏洞将具备合法签名的手机应用篡改为恶意软件，尽管谷歌已经放出漏洞修复补丁，但是安卓系统手机厂商太多，无法及时推送补丁，绝大多数用户暂时得不到有效修补。

据360手机安全中心披露，被感染应用包括在百度手机应用市场发现的“水墨画年年有鱼壁纸”、“不要抢我棒棒糖”，以及在安丰市场发现的“时空猎人”等多款，其恶意行为为上传手机的基本信息，读取手机中的联系人，并向联系人群发垃圾短信，例如欺诈短信。木马甚至还会发送扣费短信，并屏蔽回执短信。

而安全专家认为，如果安卓系统签名漏洞被黑客广泛掌握和利用，可能导致手机木马制造的成本进一步降低，以及攻击成功率的提升，由此诞生新的“木马生产线”，刺激手机木马的爆发式增长。同时，一些冷门手机木马，如摄像头偷窥、系统破坏类、恶作剧类木马也可能大量出现，手机木马威胁将更为多元化。

目前，360手机卫士已经能够查杀利用“安卓签名漏洞”实施攻击的手机木马，专家建议，尽量选择官方网站及经过安全检测的应用市场下载手机应用。