這種相對(duì)較新的安卓木馬軟件，通過(guò)攔截手機(jī)短信專門盜取用戶的銀行賬戶信息。美國(guó)移動(dòng)安全公司zScaler 的研究人員發(fā)現(xiàn)，這種木馬經(jīng)常以名為888.apk的應(yīng)用安裝包出現(xiàn)，并主要針對(duì)中國(guó)的安卓手機(jī)用戶。

該木馬可以嗅探與銀行有關(guān)的短信，并把短信以郵件的形式發(fā)給攻擊者。在一起監(jiān)測(cè)到的例子中，郵件發(fā)給了網(wǎng)易的郵件服務(wù)器，木馬的控制信息則通過(guò)攻擊者的手機(jī)發(fā)送。比如，攻擊者給受害者的手機(jī)發(fā)送一條內(nèi)容為“intercept#”的短信，木馬就會(huì)在受害者的手機(jī)上開(kāi)始數(shù)據(jù)收集。再發(fā)一次同樣內(nèi)容的短信，木馬就會(huì)停止動(dòng)作。

當(dāng)木馬在手機(jī)上搜索信息時(shí)，會(huì)以一系列的關(guān)鍵詞為基礎(chǔ)進(jìn)行查找。如，“支付”、“賬單”、“驗(yàn)證”、“銀行”、“賬戶”等。除了攔截用戶的短信，該木馬還能禁止或中斷用戶撥打電話，并把用戶的手機(jī)號(hào)通過(guò)郵件發(fā)給攻擊者。有跡象顯示，木馬還具備通過(guò)網(wǎng)頁(yè)的方式發(fā)送聯(lián)系人信息和短信的功能，但相關(guān)功能的代碼似乎尚未編寫(xiě)完成。

基于安卓系統(tǒng)的銀行木馬軟件在許多國(guó)家，尤其是在那些銀行系統(tǒng)缺乏強(qiáng)力認(rèn)證的發(fā)展中國(guó)家頗為流行。但目前，在蘋果手機(jī)占主流的美國(guó)尚未發(fā)現(xiàn)。

2014年秋季，巴西發(fā)現(xiàn)一種偽裝成銀行APP的木馬軟件。2013年，俄羅斯流行過(guò)名為Svpeng的銀行木馬。兩者都會(huì)盜取受害人的銀行賬戶信息，包括賬戶名和密碼。

此次發(fā)現(xiàn)的木馬與之前美國(guó)火眼公司發(fā)現(xiàn)的一種名為“呵呵”(hehe)的木馬有些類似，呵呵也可偷取短信和攔截電話。