中新网8月3日电 近日，有国外安全公司表示已确认有利用Android主密钥漏洞的病毒，黑客可借此漏洞在正常APP中植入恶意代码，然后控制手机。据悉，该病毒目前已经进入中国，国家互联网应急中心(CNCERT)监测发现在第三方应用市场“安丰市场”中存在6645个由于Android 操作系统签名漏洞植入“骷髅密匙”扣费木马的恶意APP。网秦安全专家建议用户第一时间进行查杀。

　　此前BlueBox公司曝出Android系统存在高危漏洞，致使全球9亿的Android设备都处于危险当中。通过该漏洞，黑客可在不破坏APP数字签名的情况下，篡改任意手机应用，中招用户可面临账号被盗、隐私泄露等问题。

　　据CNCERT 监测发现在第三方应用市场“安丰市场”中存在6645 个由于Android 操作系统签名漏洞被植入“骷髅密匙”扣费木马的恶意APP，发现被伪装的恶意软件有：新浪微博，腾讯QQ，搜狐新闻客户端，UC 浏览器，优酷视频，土豆视频，支付宝，淘宝，苏宁等。根据“安丰市场”网站的下载次数统计显示，这些恶意APP的累计下载总次数已超过200万次。

　　网秦安全专家表示，“骷髅密匙”扣费木马利用Android操作系统签名漏洞，向正常APP中植入恶意程序，在用户不知情的情况下，通过后台发送扣费短信，并屏蔽回执短信。此外，该木马还可以在后台读取手机中的通讯录信息，同时具备向联系人发送广告或欺诈短信的权限。

　　此次发现的“骷髅密匙”扣费木马危害巨大，网秦公司表示已经在第一时间推出了查杀含有“骷髅密匙”扣费木马恶意软件的办法，手机用户可下载专业安全软件“网秦安全”后使用“签名漏洞专杀”，或者下载专杀工具(下载链接：cn.nq.com/download/Ripper.apk)。