手机网购必然在今年的双11中唱主角，而手机病毒也盯上了这个“商机”。日前，腾讯手机管家截获了一个名为a.expense,epk【套牌木马】手机木马病毒，该病毒通过主包和子包互相配合，可伪装支付宝界面，诱骗用户输入支付宝账号密码，同时还可转发手机中的所有短信、联系人和通话记录，修改“爸”“妈”“哥”“姐”等类似家人昵称存储的联系人号码，给用户手机网购支付带来严重危害。

图：腾讯手机管家查杀“套牌木马”病毒

木马病毒主包与子包配合作案

据腾讯手机管家安全专家分析，“套牌木马”的主包会先伪装成“一键清理”App在各大手机论坛、非安全电子市场供用户下载安装。一旦成功安装该木马病毒主包，会自动释放一个伪装成“Google Service”木马子包诱骗用户安装。

子包安装成功后，木马又会诱导手机用户卸载主包，并激活设备管理器，使手机用户无法正常卸载恶意子包，同时向木马制作者发送短信通知木马安装成功。

“套牌木马”可能盗刷用户支付宝

该“套牌木马”的第一个危害就是盗刷用户支付宝。木马病毒会一直监控用户的手机是否在运行支付宝登录界面，一旦发现用户打开支付宝登录界面，会立即将此替换为虚假支付宝登录界面，盗取用户输入的帐号密码信息。

第二步，木马病毒作者通过盗取的支付宝账号密码信息发起支付申请。然后装在用户手机中的木马病毒会拦截用户收到的手机支付验证短信，并将此短信转发至病毒作者指定手机号。通过该支付验证码即可完成对支付宝资金和捆绑的快捷支付银行卡的盗刷。

还可实施进一步的短信诈骗

除了盗刷用户支付宝资金外，“套牌木马”还可能让用户遭遇进一步的短信诈骗。据腾讯手机管家安全专家分析，木马病毒作者会通过短信指令来遥控“套牌木马”实施定向作案，比如，上传用户所有短信、联系人、通话记录，这会导致用户隐私泄露。

图：木马病毒替换“爸妈哥姐”等的联系人号码

同时，木马病毒还可删除指定号码的短信、修改以“爸”“妈”“哥”“姐”等类似家人昵称存储的联系人号码。若将这些亲人的号码修改为诈骗分子指定号码，即可冒充家人发送短信实施诈骗，当用户收到以家人昵称命名的借钱、转账短信后，很可能会上当受骗。

腾讯手机管家专家支招：

从以上“套牌木马”病毒作案过程和产生的危害来看，木马主要伪装成“一键清理”应用在手机论坛、非安全电子市场供用户下载安装。所以建议广大手机用户不要到手机论坛下载应用，同时安装腾讯手机管家定期全盘扫描病毒至关重要。

而且腾讯手机管家拥有5.5亿用户，可以精准拦截各类诈骗短信，可为用户打造一个全方位闭环的手机支付安全环境，实现了手机支付“前、中、后”安全防护，其中“短信保险箱”功能还可以保护手机短信不被病毒窃取。同时得益于腾讯自身在移动支付上的布局，腾讯手机管家还可以独家提供微信支付密码、QQ帐号宝等一系列安全功能。

双11将至，提醒广大手机网购用户学会使用手机安全软件，谨防手机病毒和各类诈骗。