据报道，最近手机无端收到快递公司传来的宅急便短信，可能是手机病毒。CM(Clean Master) Security 安全实验室本月14日在台针对 Android 智能手机用户发出病毒预警：宅急便短信病毒已收集超过 80 万条短信和近 7.5 万个联络人信息。

病毒扩散速度从四月中旬每2、3天一次变种，到5月份每天出现新变种，甚至每天发布数次更新。媒体呼吁 Android 手机用户提高警觉，并尽速下载 CM Security 防毒软件以免遭攻击。

▲伪装成宅急便快递通知和支付凭据的病毒短信

根据 CM Security 安全实验室报告，若用户不慎点击病毒短信所附链接，便会下载 Android 病毒程序，安装中毒后，除将造成攻击者透过手机小额付款机制漏洞诈取手机用户财物外、同时将拦截所有未读取短信，导致重要信息遗失；

此外，攻击者更将自远端取得该手机用户连络人资料，并对连络人发出同样的内容短信，进行病毒扩散。此一特性致使该病毒可于短时间内发送大量短信，目前台湾列入重灾区。

使用者收到的短信内容包含以下内容或相似内容：“XXX先生，「宅急便」 您的快递通知单，收件签名电子凭证 http://goo.gl/XXX（XXX 为 Goo.gl 随机短网址）”。病毒短信内容由病毒作者远端控制，诱导性极强。病毒发送的部分短信可以启动小额付款服务，将导致中毒用户的财物损失。点击短信中所附连结将启动 Android 病毒程序（副档名为.apk）下载程序，且该病毒程序不会在手机桌面产生任何图示，因而难以察觉。

▲CM Security 可清除宅急便短信病毒

台湾电信服务商提供小额付款机制，用户只需简单回覆短信认证码，即可进行网络购物，同时完成付款程序。黑客看准台湾小额付款机制的漏洞，任一用户受骗下载安装此病毒，黑客便会立刻使用此手机号进行网络购物，并利用电信商小额进行付款，用户收到账单时才会发现此笔交易。

根据中华电信 839 小额付费机制，其认证额度最高每月可达 6,000 元。诈骗的网络购物商品多半为在线游戏点数卡或虚拟商品，也是最容易让黑客转手牟利的商品类型。

▲宅急便病毒散布流程。

由于这条短信伪装成快递公司员工号码或好友号码发出，对于警觉性不高的用户极易中招。根据 CM Security 安全实验室分析，此 Andriod 手机病毒具备以下特性：
1 拦截所有未读手机短信，并将短信内容上传至位于俄罗斯的某台服务器（IP 地址：141.105.65.244，这台服务器可能是黑客控制的僵尸计算机）。病毒每隔一分钟便会取得位于俄罗斯的远端服务器所下指令，将宅急便短信病毒主动发送给中毒手机联系人。由于每分钟会查询一次网络，因此手机 CPU 处于定时唤醒的工作状态，此过程中, 用户可以明显感受到手机温度上升, 这是因为病毒持续执行于手机背景模式下。
2 频繁发送短信，或透过小额付款机制，造成中毒手机用户资费暴增，导致财物损失。

由 Cheetah Mobile 公司（纽交所上市公司，股票代码：CMCM）所开发的 CM Security 防毒软件已可完全清除该病毒，建议 Android 手机用户应尽速自 Google Play 应用商店安装 CM Security 以得到最佳防护。

据 CM Security 安全实验室的观察，Android 手机病毒来源多来自于第三方安卓软件市场并通过社交网络传播，使用者在手机的安全设置中，选择「禁用未知来源安装」可大大降低风险。

欲进一步了解 CM Security，欢迎前往下列下载网址，或扫描 QR Code 亦可下载：
https://play.google.com/store/apps/details?id=com.cleanmaster.security