最新数据显示我国消费者已经进入移动支付时代，手机网民达到5.27亿，移动支付半年内增长63%。但是，盗版手机网银客户端、钓鱼支付宝类恶意软件、假冒网银升级助手等让移动支付安全面临着严重威胁。下面，爱加密小编就对移动支付木马偷钱的“七宗罪”进行一一揭秘。

第一宗罪 恶意导出用户界面导致网银账户信息裸奔

用户应当只有在登录银行客户端时才能查看自己的账户信息，但如果账户信息页面被设置成为可以直接导出，那么通过精心构造的程序可以不需要经过登录过程，就可以查看用户的网银账户信息，从而形成安全隐患。经过权威机构的测评，发现在防范Activity劫持方面，没有任何一款银行客户端软件具有反Activity劫持的能力，存在较大的安全隐患。

第二宗罪 仿冒登陆界面钓走账号密码

仿冒、钓鱼类的恶意程序可能会采用这样一种手法：在后台监控前台窗口的运行，如果前台是一个银行应用的登陆界面，恶意程序就立即启动自己的仿冒界面，这个动作可以快到用户无任何感知。用户在无察觉的情况下可能会在仿冒界面里中输入用户名密码，进而导致帐号和密码被盗。

爱加密技术人员指出，一款恶意程序的更可怕之处在于可以同时监测、仿冒和劫持多个银行客户端的登录界面。

第三宗罪 假冒银行服务端 进行“中间人”攻击

不论银行客户端使用的是何种登录加密机制，如果客户端在登录过程中不对服务端的身份进行校验，就有可能“信任”伪装身份的“冒牌服务端”，连接到假冒的银行服务端上，从而导致用户名、密码等信息被窃取。这种假冒服务端身份的攻击也被称为“中间人攻击”。

中间人攻击使攻击者可以冒充服务器与银行客户端进行通信，之后再冒充银行客户端与服务器进行通信，从而充当一个中间人的角色，在信息的传递过程中，窃取用户帐号、密码等信息。

第四宗罪 二次打包制造盗版，主流客户端难防御

攻击者可以使用逆向分析工具，将银行客户端程序进行反编译，并向反编译结果中加入恶意代码后，发布到一些审核不严格的第三方市场中。这些被二次打包发布的盗版银行客户端软件，对用户的支付安全造成了极其严重的安全威胁。

分析显示，目前市场上的主流手机银行客户端均未能完全有效地防范逆向分析和二次打包，虽然一些客户端对自身签名进行了校验，但也很容易在重打包过程中被攻击者轻易篡改，起不到防止二次打包的作用。

爱加密(www.ijiami.cn) 是App安全服务的权威平台，独创三层加密保护技术：DEX加壳保护，DEX指令动态加载保护，高级混淆保护，具有出色的防逆向分析、防恶意篡改、防内存窃取、防动态跟踪功能。

第五宗罪 后台记录键盘位置，窃取密码

使用手机银行客户端的过程中，需要键盘输入的往往都是关键、敏感的信息，如登录密码、支付密码、账户信息、资金信息等。如果手机键盘的输入过程被木马病毒或黑客监听，必将造成用户信息的泄漏。

专家指出，默认输入法实际上独立于系统和客户端之外。对于使用系统默认输入法的银行客户端软件来说，当用户在银行客户端中输入账户和密码时，输入的内容实际上是由输入法进程传给银行客户端的。一旦默认的输入法程序感染了恶意代码，或者是输入法程序被具有记录键盘数据能力的恶意程序监控，则会导致用户输入的账户或密码信息被恶意程序盗取。

第六宗罪 短信劫持获取验证码

很多手机银行客户端软件采用的均是“帐号密码+短信验证码”的伪双因素认证体系。虽然已经有部分银行开始推广音频盾、蓝牙盾等双因素认证系统，但这些系统的使用不是强制性的，绝大多数用户仍在使用“帐号密码+短信验证码”的认证方式。这种认证体系在面对具有短信劫持功能的手机木马攻击时，会显得非常脆弱。

第七宗罪 利用安卓系统漏洞渗透网银客户端

由于安卓系统存在严重的碎片化问题，用户手机中诸多的系统漏洞得不到及时修复。木马程序有机会借助这些漏洞提升root权限，一旦木马注入到客户端进程中，便可轻而易举获取用户账号和密码。已经注入到银行客户端中的木马模块，可以轻松突破“自绘键盘”的防护，就能直接获取用户的账号密码明文等绝密信息。

针对这种漏洞，可利用爱加密App漏洞分析平台进行免费的漏洞分析，发现漏洞及时修复，避免被黑客攻击。