近期，360移动安全团队发现全球首款专用于网络电信诈骗的Android木马。该木马伪装成“公安部案件查询系统”，可实现窃取隐私、网络钓鱼和远程控制等多种恶意行为，在受害人不知情的情况下转走其银行账户中的资金，对手机用户造成极大威胁。

360移动安全团队据此发布《深入分析跨平台网络电信诈骗》报告，指出当前网络电信诈骗向移动场景转移的趋势，并详细分析了手机木马给网络电信诈骗增加的安全威胁。

诈骗手法3.0：电信诈骗+网络诈骗+ 手机木马

仅通过电话、短信等方式对受害人实现远程、非接触式诈骗是网络电信诈骗1.0时期，此时的受骗率较低；2.0时代的网络诈骗由电信诈骗发展而来，通过电信联络诱导受骗者上钩后，利用网络钓鱼、转账和PC远控木马实现诈骗，一定程度上提高了诈骗成功率。

图1：Android木马为网络电信诈骗新增功能

Android木马加入诈骗过程实现了诈骗手段的3.0进化，使诈骗场景发生了质的变化：一般的网络电信诈骗中，诈骗者必须诱导受害人完成转账；而引入了移动场景的3.0级别，即使受害人没有自主完成转账，诈骗者也可以依靠植入受害人手机的木马，在其不知情的情况下完成远程转账。

受害人“零感知”即损失财产

网络电信诈骗中，诈骗者对受害者实施的主要恶意行为包括隐私窃取、钓鱼和转账。在传统网络电信诈骗过程中，主要利用Web钓鱼网站、PC受控端和后台服务器，实现窃取用户银行账户信息、远控受害人电脑等步骤，但诈骗最关键的步骤，需要受害人自己进行转账操作，极易被受害人感知进而识破骗局。

图2：移动场景下的网络电信诈骗过程

移动场景下的电信诈骗相较于传统场景诈骗多了Android木马和控制服务器，不法分子可通过Android木马对用户手机进行控制，获取用户个人信息，免去了“受害人转账”环节。转账时用户无感知，大大增加了诈骗的成功率，这也是移动场景下网络电信诈骗与传统PC场景下诈骗的最明显区别。

六大关键技术助力手机木马成为诈骗新趋势

根据对样本的分析发现，Android木马利用钓鱼攻击、远程控制、短信监控、远程数据自毁、自我保护和隐私窃取六大关键技术，使得移动场景下的网络电信诈骗手法变得更加灵活和强大。

图3：木马运行截图

手机木马通过短信链接的方式发送至用户手机，当受害人点击链接显示钓鱼页面的同时，木马也会在手机中自动安装并启动。当受害人在页面中输入银行账户信息时，会被回传至控制服务器；通过JPush实现的远程控制，可完成回传联系人、通话记录等信息，甚至可以进行切换通话、黑屏等操作。木马启动后，还可通过激活设备管理器来阻止用户卸载，进行自我保护。

分析整个诈骗环节不难发现：移动场景下的网络电信诈骗流程，仅包含对Android远控端的控制后台，没有任何与PC远端控制相关的部分，说明诈骗者正在由传统的使用PC木马转向使用Android木马。

完整细分的诈骗黑色产业链

图4：网络场景诈骗团伙分工情况