2013年中国第三方移动支付市场交易规模达12197.4亿元，同比增速707.0%，而2014年这一市场规模还将增长141.1%。越来越多的不法分子正虎视眈眈着人们的手机。 “不死”木马的传播使得越来越多人的手机存在着巨大隐患。那我们的手机还安全吗？我们还可以继续使用网络支付吗？若一旦遭遇被盗，人们可否得到合理赔偿，有否有人能够承担相应的责任也成为人们日加关心的话题之一。

近一段时间关于移动支付的数据和话题让人眼花缭乱，春节长假里，支付宝手机支付超过1亿笔，京东通过“白条”切入信用支付领域，小米则悄无声息地切入了这一战局。随着移动互联网的发展，手机被赋予了钱包的功能，“手机钱包”取代实体钱包的势头越来越明显，同时，惦记手机钱包的小偷也就多了起来。

“不死”木马恶意骚扰 影响着人们的日常生活

这里是奇虎360公司的安全中心，也是目前国内最大的互联网免费安全平台，几百名工程师在各自的领域忙碌着，看似平静的键盘声背后，实际这里每天都在演绎着惊心动魄的故事，提起两个月前发生的一幕，即使是这些专业级的工程师至今仍心有余悸，2013年12月中旬开始，安全中心陆续接到一些用户反馈，自己的手机页面上莫名其妙多出许多软件。

手机用户：我的手机莫名其妙的会有一些软件装进去，然后我点击把它们删除掉之了之后，就是隔两天它又会安装上了，然后这些软件全都是那种什么，赌钱啊，或者是那种要收费的游戏软件，然后我频繁的删也删不掉。

 

360安全工程师和记者讨论“不死”木马问题

通常情况下，手机出厂时，部分厂商会在手机里预装一些应用程序，起初360安全中心的工程师还以为用户反馈的是手机系统内的预装程序，并没有引起足够的重视，然而到了2013年底，类似的反馈越来越多，此时用户向安全工程师反馈了一种更为奇怪的现象。

360安全工程师张浩然：用杀毒软件杀毒，能够杀出木马来，但是杀掉之后，重启手机，这个木马又会再出现，然后呢，我们工程师也联系了部分用户，想在他手机里提取样本，包括我们当时也觉得很迷惑，断网的情况下杀毒，包括把用户手机里所有的应用都打包发给我们，我们依然没有发现有什么异样的东西。

事情开始变得蹊跷起来，初步判断，困扰用户和工程师的肯定是一种新病毒，但这新出现的神秘的手机病毒到底藏在哪呢？尴尬的是，由于用户手机储存着大量个人信息，安全团队手上没法拿到病毒手机样本，病毒分析一时陷入了瓶颈。直到2014年1月5日，病毒继续肆虐，分析才有了新的进展。

360安全工程师张浩然：直到1月5日，我们有同事身边的一个朋友的手机也出现这种情况，我们就是联系他那个朋友，把这个手机拿到了我们公司，终于有机会对这个手机进行了一次彻底的体检，我们居然在手机的磁盘引导区发现了这个“不死”木马，英文名字我们管它叫oldboot。

 

手机感染“不死木马”(oldboot)

oldboot是指可以肆意修改设备的boot分区和启动配置脚本的木马，导致用户手机可能出现大量自己没有安装过的软件，而这些软件通常包含大量广告甚至恶意程序，对用户形成恶意骚扰。

360安全工程师张浩然：这个当时也让我们很震惊，这也是能解释之前为什么我们一直发现不了，因为以往的木马，都是在系统内，以一个应用的形式，在系统内出现，我们只要把这些应用拿过来就能发现了，但是这个木马不一样，它在手机的磁盘引导区，等于是它有极高的系统启动权限，它就在你启动系统的时候，它往你系统里释放些恶意软件，它本身存在于磁盘引导区的，所以我们一直发现不了。

带着既兴奋又忐忑的心情，安全团队着手分析这个“不死”木马的功能和意图，分析出来的结果大大超乎了安全团队的想象。

360安全工程师张浩然：这个木马的行为，实际上我们从分析它的代码来看，它能实现很多行为，有你手机系统的最高权限，它可以拿到的，有你手机最高权限就可以做任何事，基本上我们理解成它可以做任何事，可以去监听你的通话，可以去偷你的短信，可以去盗你的一些账号密码，都是可以实现的。

工程师们说，木马并不罕见，业内称这种被木马接管的手机为“肉机”，但这种“不死”木马功能十分强大，虽然手机在用户手上，但不法分子通过木马可以远程操控用户的手机，对于那些习惯使用手机支付业务的用户，和手机绑定的储户来说存在相当的风险。

360安全工程师张浩然：你看这台手机，是一台已经中了“不死”木马的手机，我们看现在这页有很多色情类的，包括赌博类的软件，都是“不死”木马偷偷地下载下来的，这个手机用户根本没有手动下载这些软件，而且这些软件在正规市场也不可能存在。“不死”木马的行为就是去把这些软件下载到手机，再装上它 ，而且是静默安装的，你不知道，只有它装完了才看见，这儿有这么一个东西。

记者：现在我们把它删了，会出现什么情况？

360安全工程师张浩然：你如果把它都删掉的话，然后可能过段时间，他还能偷偷给你下下来，他是可以控制什么时候下什么软件的。

记者：软件还不是这一种？

360安全工程师张浩然：不是一种，这个木马的作者，是赚推广的钱。提供了一个渠道。你给我钱我就装你的，他给我钱我就装他的。

全方位监测显示，木马早期的表现就是在后台偷偷下软件耗费用户的手机流量，随后就会一步步接管用户的手机。

360工程师张浩然：因为这个木马的它的功能非常多，而且它的权限很高，基本上就是等于你的手机虽然在你手里，但是别人其实可以远程操控它，可以让它做很多事，下软件啊，发短信啊，收短信啊，都能做。

(责任编辑：安博涛)