木马主要是伪装成图片、视频或者软件，骗用户下载安装。安装后自动偷偷打开手机相册，把所有照片传到网上。比如有些木马装在手机里，用户一打开相册就自动上传，根本不知道被偷了。

为啥是这个样子的呢？根据大前年网络安全报告，有30%的恶意软件是通过伪装成图片文件传播的。用户点击安装后，木马马上就访问相册，像这样"先装程序，再偷照片"。数据方面，2021年某公司泄露了50万张用户照片，调查显示其中70%是木马窃取的。技术上，安卓木马会调用MediaStore接口，绕过权限检查，把照片转成Base64编码传到远程服务器。Windows木马则用PowerShell命令批量导出照片，比如"执行PowerShell脚本，导出C盘照片，然后发送到黑客邮箱"。这些操作都是趁用户不注意的时候干的，就像"用户看视频时，木马在后台"，照片就被黑进去了。