【简介】
近日金山手机卫士截获一条恶意短信，该短信伪装成中国移动客服，以升级手机漏洞补丁为名诱导用户下载恶意吸费软件。

【短信内容】
尊敬的中国移动用户，您的手机存在系统安全漏洞，为了提高手机安全级别，请下载更新补丁!http://1OO86.net/ 中国移动

用户点击后会下载一个手机病毒（伪10086吸费大盗），该病毒主要行为如下：
1、无提示自动订购SP扣费服务，进行恶意扣费
2、自动转发含用户隐私信息的短信，如：银行操作信息等
3、结束部分安全软件进程，使安全软件失效
4、全程无界面后台自动运行，无界面，并通过云端控制具体恶意操作
该病毒在安卓及塞班两大平台均有传播，最新版本的金山手机卫士已全面查杀该病毒，并拦截对应欺诈短信。

“伪10086吸费大盗”短信截图如下：

【详细病毒分析报告】
基本信息
软件名：andiord.system.providers
版本：1.0

病毒运行后将自动访问如下地址：
http://adsms.itodo.cn/Submit.aspx?ver=1.0&sys=8&imei=000000000000000&ua=sdk&pro=100,1000
下载配置信息并保存smsConfig.xml
--------------------------------------------------------------------

--------------------------------------------------------------------
这个配置文件保存了下一步操作的指令，而且这次访问也收集用户手机号码和imei信息。
1、通过和字段保存转发用户信息。在用户查看短信的时候,把用户选择的短信进行匹配,把号码中包含1062,1065,1066,10086的短信通过短信发送到137254760**。
2、通过cmdupdate字段判断是否要自动升级，升级网址http://61.164.*.*/testing/1.apk。升级提示是“Hello now to update qq!”
3、通过字段信息结束指定进程，这里会结束某些安全软件的进程。
4、通过字段，病毒会订购指定的sp服务进行扣费。