眾所周知手機已經深入中國百姓日常生活的方方面面，隨著手機上網日益普及，網上支付及理財更成為最熱門的手機應用之一，互聯網安全領先廠商Check Point公司的專家指出，消費者在享受網上支付及網上銀行的便利的同時，也要提防其安全風險。

Check Point SandBlast Mobile 移動安全研究員賀飛翔表示，當下的銀行木馬攻擊具有高回報、低技術門檻的特點。在過去的三個季度里，Check Point的威脅情報發現，全球范圍內手機銀行木馬正在逐步染指移動支付。

他指出，銀行木馬現在不再僅限于攻擊傳統的銀行手機客戶端。這類木馬開始攻擊任何具有支付功能的手機軟件。例如網絡購物、打車、酒店機票預訂等軟件。由于中國市場每天都在產生海量移動支付交易，即使攻擊成功率較低，攻擊者依然可以獲得可觀收入。因此該領域對網絡罪犯越發具有吸引力。

他表示：“值得注意的是，近年來黑色產業鏈呈現出職能細分的趨勢。銀行木馬使用及傳播者往往可以方便的從專業惡意軟件開發人員手中買入病毒。無需掌握復雜的技術知識，僅需簡單的加工，使用者就可以開始傳播、實施侵害。一方面，我們看到移動支付廠商（諸如支付寶、微信支付）在不斷加強支付端口自身的安全；另一方面，我們認為使用移動支付端口的第三方軟件以及用戶本身是反銀行木馬努力中不可忽視的兩個較薄弱環節。”

賀飛翔也指出，移動端的隱私問題也需要關注，廣告商及軟件開發商往往超范圍提取用戶關鍵個人信息。個人信息采集幾乎存在于所有日常手機應用中， 而目前大多數亞洲國家沒有對廣告商收集個人信息的行為在法律層面提出詳細可操作的規定和指引。在某些情況下，廣告商移動組件同時收集手機辨識碼IMEI、SIM卡序列號、手機號、手機當前位置等敏感信息并不加處理直接上傳至服務器。這些數據加以適當社工手段分分鐘可以把用戶手機變為間諜追蹤設備。

他表示：“這種粗獷的收集手段給了黑客更多可以非法獲取敏感數據的渠道。例如利用廣告組件自身漏洞來截取信息、利用服務器漏洞進入后臺數據庫、或者和廣告商達成某種協議直接獲取數據。中國方面，政府近期開始實施網絡論壇發帖回帖實名制。不可否認，這一舉措保證了網絡空間和諧的氛圍，有效遏制了不文明行為。但是這一規定使得以往一些較低價值目標（比如知乎、微博等移動端）對于黑客來說變得更有攻擊價值。因為實名認證的需求，此類手機應用及后臺服務器需要傳輸甚至存儲個人證件信息。”

根據中國互聯網信息中心發表的最新一期《中國互聯網絡發展狀況統計報告》，截至2017年6月，中國手機網民規模達7.24億，其中網上支付的比例提升至68%，而手機支付用戶規模增長迅速，達到5.02億（69.4%）。