近日在京举办的2014移动互联发展大会正式发布了《中国移动互联网发展报告（2014）》蓝皮书，报告显示，截至2014年1月，我国移动互联网用户总数已达8.38亿户；手机网民规模达6亿，占总网民数的八成多，手机坐上了移动互联网终端的第一把交椅。于是，移动互联网的重要组成部分移动App火了。无论您使用的是手机还是平板电脑，或者其他设备，面对如此海量的App，在安装和使用这些形形色色的App时是否想到过这样的事情，一些App背后偷偷地在窃取着您的个人敏感隐私！

下面我们来看看移动App间谍软件在背后都做了哪些不可告人的秘密。

移动App盗贼，无处不在

1 盗取金融账号信息

2014是互联网金融迅速发展的一年，针对这块“肥肉”恶意App自然不会错过。当点击招商银行登陆界面时，会跳转到SocketDemo这个activity。

应用进入到SocketDemo这个activity，用户输入账户、手机号和密码，点击send按钮，便会向“1891128940”号码发送以上信息，从而盗取用户账号及密码。

同时也发现有伪装成支付宝，工商银行，建设银行，交通银行等登录界面，几乎可以假乱真，实则后台获取账号密码等敏感信息并通过短信发送。

以获取支付宝密码为例，分别获取支付宝账号，密码及支付密码并以#号连接，之后base64加密再短信形式发送。

不仅仅是国内，国外的银行盗号也很严重。以一个西班牙银行Santander为例，这个样本的主要行为就是：伪装成银行的在线口令生成器，诱骗用户在Clave de firma（西班牙语，翻译后为：签名密钥）下的控件内输入自己的银行密码，并随机生成虚假的口令（mToken）显示给用户。这时用户的银行密码通过短信和网络的形式被泄露，并且在之后配合样本，截取到银行发送给用户的手机验证码，攻击者可以在用户完全不知情的情况下窃取用户的银行财富。

2 盗取聊天应用消息记录

“听风者”现实中的监听，该应用运行界面及网站功能说明，此软件还有一个登录后台可查看聊天记录。爱加密安全专家提醒广大手机用户，加强安全意识，增加安全防范，不要让无形的”听风者”让你成为某某门的主角哦。　

再来看看国外间谍应用，上图为该程序运行后的界面，下图为后台查看的一些社交或聊天应用的消息。

3 盗取更多隐私

获取短信记录，如敏感的支付宝或银行相关信息

获取通话录音、SMS信息、定位信息、环境录音

获取手机通话记录

获取SD卡文件列表

获取联系人信息

没有做不到，只有想不到，一旦中招，就没有隐私可言了。爱加密(www.ijiami.cn)建议广大App开发者做好App安全防护，在注重用户体验的同时加强对用户隐私泄露的防护，双管齐下才能获得用户的青睐。