近日，安全管家獨家截獲一批以“挾持手機正常軟件進行惡意推廣”的病毒，傳播手段如“驚天魔盜團”般尖端—“利用華麗的舞臺作為掩護，于眾目睽睽之下完成偷天換日的盜竊”。

該病毒通過捆綁到盜版知名游戲如博雅斗地主、宅男必殺、天天炸金花等軟件進行傳播，以“無限金幣輔助”工具誘導用戶安裝后，便對用戶手機內(nèi)已安裝的軟件進行挾持，在被挾持的正常軟件內(nèi)進行惡意傳播，推廣具有惡意扣費、竊取隱私等嚴重惡意行為的軟件。

這是繼今年4月被爆出病毒挾持微信、微博亂彈廣告后更嚴重和更惡劣的挾持行為和手段，“驚天魔盜團”如變魔術(shù)般讓手機內(nèi)所有軟件為己所用，而用戶則會以為是正常軟件本身的提示或推薦，目前憑借第二代超級查殺引擎(SMD+AGC)的安全管家對此病毒已可精準查殺。

安全管家查殺盜版的“博雅斗地主”截圖

據(jù)安全管家云安全中心分析，上一次被挾持的微信、微博等亂彈廣告的病毒會檢測判斷手機中是否含有微信、新浪微博等應用，隨即在這些正常應用界面中頻繁彈出“精品推薦”等不同類別的廣告。而此次“驚天魔盜團”則是全面對手機軟件進行挾持，只要運行正常手機軟件即會遭到劫持，神不知鬼不覺的進入到其設定的圈套，從而進行惡意傳播，甚至惡意扣費的目的。

“驚天魔盜團”劫持手段簡單分析：

當用戶安裝并運行捆綁該病毒的盜版軟件后(以盜版“博雅斗地主”為例)，直接安裝其內(nèi)置的一款軟件名稱是“無限金幣輔助道具”的軟件，而其實“無限輔助道具”軟件是用來獲取當前運行軟件的圖標和名稱等一些信息，然后在該軟件運行之前強制的偽造一個“**軟件強烈推薦”的廣告，點擊該界面直接開始下載。

1) 運行盜版“博雅斗地主”軟件后，直接強制彈出安裝無限金幣輔助工具：

直接強制彈出安裝“無限金幣輔助工具”