远控木马曾一度被电脑黑客所钟爱，而PC端远程控制窃取隐私信息的手段方法已经移植到了移动端。近日，360手机安全中心发布技术博客，详细分析了最新截获的一款功能强大的专业间谍软件“鬼人偶”，它可以通过PC端远程控制中招手机，控制指令高达二十多种，窃取通讯录，短信，照片及其它重要隐私数据。目前360手机卫士已经可以全面查杀“鬼人偶”。

图一：360手机卫士查杀“鬼人偶”木马.

近两个月以来，安徽、湖北、海南等多个省市地区均有手机用户感染该木马。“鬼人偶”木马会采用两种方式自我保护：

第一，木马伪装成系统文件settings，进入手机后隐藏自身图标，运行一种可执行文件（ELF文件），这个文件会被释放到系统中，以便恶意程序能够进行自我保护。

第二，木马作恶前会频繁地结束国内主流安全软件进程，破坏安全软件正常运行，木马的自我保护给用户手机带来更大安全风险。

360手机安全中心技术博客介绍，“鬼人偶”木马还会实时监控中招手机电话状态，来实现通话录音，每当中招手机有来电时，“鬼人偶”木马就会自动开启录音功能，并保存录音文件。

除了能偷录通话，不法分子还可以通过电脑远程控制中招手机，不但手机里存储的照片、视频、短信、聊天记录、文件全部可“透视”，不法分子还可以伪造短信内容、偷拍照片、偷录环境音，中招手机完全变成不法分子的“人偶”，任由摆布。

图二：“鬼人偶”木马远程控制指令列表

360手机安全专家介绍，分析可以看出，该木马经过了多次演变进化，之前曾用邮箱的方式窃取用户隐私，现在演变为通过服务器窃取回传隐私信息。另外在“鬼人偶”代码中发现了解密微信聊天记录的部分代码，以及通过短信指令远程控制的代码，但该部分代码未被调用，木马作者很有可能在后期版本中实现这些功能。

通过对“鬼人偶”木马代码中使用的QQ邮箱分析发现，这一QQ号是来自四川泸州昵称为“老A”的人。2014年初在多个论坛中扩散类似木马，在微博中也多次发布木马信息。这种伪装成系统应用的远控类隐私窃取木马家族，不是依靠第三方市场传播而是通过网站售卖或地下黑产交易，然后被不法人员植入到指定的监控对象中，它具备单点传播，感染特定对象，潜伏时间长，造成单点损失大等特点。

360手机安全专家建议手机用户提高个人隐私保护意识，同时安装安全软件定期扫描检查软件安全性。

详细分析地址：http://blogs.360.cn/360mobile/2015/04/14/analysis_of_dendoroid_b/

360手机卫士下载地址：http://shouji.360.cn/