伪装成服务的安卓木马：完整指南

MGI 安卓木马 冒充合法服务 它们已成为使用手机聊天、玩游戏、购物或管理银行账户的用户面临的最严重威胁之一。我们说的不仅仅是那些烦人的广告病毒，而是功能极其强大的恶意软件家族，它们能够…… 远程控制设备、窃取钱财、窃取对话，甚至删除手机上的数据。 不留痕迹。

近年来，人们发现了一些利用……进行诈骗的活动。 虚假应用程序、篡改的固件、修改过的游戏或热门应用程序的盗版版本 为了偷偷植入这些类型的木马程序：Android.Phantom、Triada、BRATA、RatOn、Joker 以及利用辅助功能服务的银行木马变种，它们都有一个共同点： 他们把自己伪装成看似无害的生物。 这样一来，用户就会放松警惕，授予攻击者关键权限，从而为整个系统打开方便之门。为了检测诸如固件篡改之类的深度入侵，建议使用专门的工具（使用 MVT 检测您的 Android 设备是否已被黑客入侵).

什么是安卓木马？它为什么如此危险？

特洛伊木马，或者 安卓系统上的特洛伊木马特洛伊木马是一种恶意软件，它伪装成有用的应用程序或文件，诱骗用户自愿安装。与其他类型的恶意软件不同，特洛伊木马通常不会自行传播； 利用用户信任 在应用程序、游戏、链接或所谓的服务中进入系统。

在安卓系统上，这些木马程序可以伪装成…… 银行应用程序、生产力工具、媒体播放器、游戏、即时通讯应用程序，甚至是系统更新一旦入侵成功，其目标通常是窃取凭证、财务数据、短信验证码或劫持社交媒体帐户。 发送垃圾邮件或将您的手机用作被入侵设备网络的一部分.

为了达到这个目的，许多此类恶意软件程序滥用了…… Android 辅助功能服务该功能旨在帮助有视觉或行动障碍的人，但也允许攻击者读取屏幕上的内容、按下虚拟按钮、授予自己新的权限，甚至在用户无需干预的情况下安装其他应用程序。

此外，现代木马程序通常包含能够执行以下操作的附加模块： 更改浏览器链接、拦截通知、录制屏幕、激活后台代理服务器或克隆 NFC 数据 实施高级诈骗。结果是，你的手机最终可能沦为网络犯罪分子手中的又一件工具。

Android.Phantom：一款利用机器学习技术隐藏在游戏和模组中的木马程序

近期最引人注目的家族之一是 Android.Phantom该木马由网络安全实验室 Doctor Web 的研究人员检测到。它主要通过以下方式传播： 修改过的热门游戏和应用程序它之所以脱颖而出，是因为它融合了以下技术： 机器学习 使其恶意活动自动化。

Android.Phantom 可以以两种不同的模式运行，这两种模式根据远程命令和控制服务器的命令激活： 幻影模式 y 信号模式由于具备这两种运行特性，该恶意软件既能够进行广告欺诈，又能利用受感染的设备进行更严重的活动，例如： 分布式拒绝服务 (DDoS) 攻击或隐蔽数据共享.

在通话中 幻影模式该木马程序在后台加载网页内容，并使用依赖于以下机制的自动化脚本模拟点击恶意广告： TensorFlowJS这是一个用于 JavaScript 的机器学习框架。所有这些操作都在用户看不到任何屏幕内容的情况下进行，这使得识别错误变得极其困难。

当 信号模式Android.Phantom 能够 实时交换数据、音频和视频 无需安装任何新程序。这样一来，被入侵的手机就能成为滥用基础设施中的一个活跃节点，例如用于协调攻击、转发内容或作为其他网络犯罪的跳板。

这个家族最大的危险不仅在于广告诈骗，还在于大量使用感染病毒的手机。 用于发送垃圾邮件、参与网络诈骗、发起DDoS攻击或窃取个人信息的工具虽然这些行为大多悄无声息，但它们往往会留下线索：异常高的电池消耗量， 移动数据流量增加 没有明确的解释，而且整体表现也慢了很多。

据 Doctor Web 称，Android.Phantom 的分发活动尤其具有影响力。 小米设备该木马病毒已在官方应用商店提供的应用程序中被发现。 Mi Store由一位名为[开发者姓名]的开发者上传 深圳瑞人网络在许多情况下，这些应用程序最初发布时并没有恶意代码。 随后的更新引入了特洛伊木马这样可以在感染实施前建立用户之间的信任。

此外，已检测到 Android.Phantom 的变种正在传播。 Spotify 的修改版本 承诺提供免费的高级功能。这些修改版通过以下方式分发： Telegram频道和非官方页面这是吸引那些想要绕过合法应用程序限制的用户的经典方法。

专家强烈推荐 不要下载修改过的APK文件。 来自来源可疑的网站或 Telegram 频道，请保持警惕 更新的防病毒软件 在手机上操作并监控设备行为。如果怀疑感染病毒，建议将手机启动到安全模式。 安全模式手动检查已安装的应用程序列表，卸载任何可疑程序，并激活 Google Play保护 进行安全分析。

Triada：预装在固件中的木马程序，可控制您的所有应用程序。

如果 Android.Phantom 听起来已经令人担忧，那么这个家族…… 特里亚达 它更进一步。Triada 最初由卡巴斯基专家于 2016 年发现，标志着一个转折点。 适用于安卓系统的先进移动恶意软件这种威胁几乎被注入到设备上运行的每个进程中，主要驻留在内存中，并且能够…… 同时干预多个应用程序.

随着时间的推移，谷歌和制造商加强了系统安全，甚至限制了拥有 root 权限的用户对系统分区的修改。然而，Triada 背后的组织却并未就此罢休。 他们改进了这项技术。 于是他们开始在供应链中感染固件，也就是说， 在手机到达最终用户之前.

在现代版本中，被认定为 后门.AndroidOS.Triada.z特洛伊人来了 预装在盗版安卓手机系统分区中的 在在线市场销售。由于其集成度极低，几乎不可能在没有其他软件支持的情况下将其移除。 重新刷写官方固件或更换设备.

该变体的一个关键特点是它可以 攻击手机上运行的任何应用程序每次用户打开应用程序时，Triada 都会插入一份自身副本，并可按需激活。它还包含一些专用模块，用于…… Telegram、WhatsApp、Instagram、浏览器、TikTok、Facebook、LINE、Skype 和加密货币应用程序等等。

例如，在 Telegram 它下载两个模块：一个每天连接到命令与控制服务器，发送受害者的电话号码和完整的身份验证数据（包括 访问令牌），以及另一个可以过滤所有消息、与机器人通信并删除有关新登录的通知，以免用户产生任何怀疑。

En InstagramTriada 会搜索活跃的会话 cookie 并将其发送给攻击者，从而允许攻击者进行攻击。 完全掌控账户在类似这样的浏览器中 Chrome、Opera 或 Firefox该模块通过 TCP 连接到命令服务器， 将合法链接重定向到广告网站 或者，如果攻击者决定这样做，则可能指向旨在窃取凭据的网络钓鱼页面。

En 微信该木马程序包含两个模块：一个模块每隔几分钟向服务器发送会话数据，以便访问帐户；另一个模块…… 它会拦截消息的发送和接收功能。这样一来，恶意软件就可以以受害者的名义发送消息并立即删除它们，从而难以检测恶意活动。

在类似的应用程序中 LINE o Skype行为类似：收集令牌、cookie 和内部数据，从而使犯罪分子能够…… 冒充用户 来自其他设备。 TikTokTriada 从 cookies 中提取信息以及与平台 API 交互所需的数据。

但这还不是全部：Triad 还包括一个 短信模块 能够读取所有收到的信息，提取代码（例如银行验证码），自动回复某些短信以使受害者订阅付费服务； 发送任意消息 当服务器发出指令时。另一个配套模块会禁用 Android 系统自带的未经用户同意发送付费短信的保护机制。

它还包含一个 调用模块已集成到手机应用程序中，该应用程序已部分实现了以下功能： 号码欺骗虽然这项技术似乎仍在开发中，但其目的是允许拨出的电话显示与真实号码不同的号码，从而助长新的诈骗活动。

另一个非常危险的部件是…… 反向代理 这会将手机变成一个中间服务器，使攻击者能够访问任意IP地址，就好像这些地址来自受害者的设备一样。这使得他们能够掩盖各种非法网络活动的真实来源。

对于加密货币用户而言，Triada 集成了一个 限幅器 它会监控剪贴板，并自动将复制的钱包地址替换为攻击者控制的地址。此外， 加密货币窃贼 它会分析受害者的活动，并替换界面上任何位置的地址，甚至修改按钮或图像，用二维码转移资金。据估计，犯罪分子利用这些技术已经窃取了大量资金。 价值数十万美元的加密资产.

调查显示，在受影响的设备上，固件名称与官方名称不同。 只有一个字母例如，如果合法固件是 TGPMIXM，那么受感染的假固件就会显示为 TGPMIXN。所有迹象都表明…… 参与供应链的某个环节有些商店出售看似全新的手机，但顾客却不知道这些手机从出厂时就已经被人动过手脚。

对抗三合会的最佳防御措施包括 请务必从官方经销商处购买手机。检查固件并安装可信的安卓安全解决方案。如果检测到 Triada，建议采取以下措施： 安装官方固件 或者联系技术服务部门，检查所有消息和社交媒体帐户，关闭任何可疑的活动会话，并 更改密码 借助安全的密码管理器。作为保护措施的一部分，建议…… 安装一款值得信赖的安卓安全解决方案 并遵循良好做法。

RatOn、BRATA 和其他冒充银行服务的银行木马

除了 Android.Phantom 和 Triada 之外，其他家族 安卓银行木马 尤其专注于窃取钱财和劫持金融账户。以下三个名字值得牢记： RatOn、BRATA 和 Joker以及伪装成服务、银行或知名平台应用程序的各种恶意软件变种。

RatOn 这是一个相对较新的特洛伊木马设计。 从零开始进行银行欺诈它最初是用于NFC中继攻击（使用诸如Ghost Tap之类的技术）的工具，但已经演变成一种 远程访问木马（RAT） 具备自动传输系统（ATS）功能。这意味着它可以 自动完成所有银行转账无需用户触摸屏幕。

这种恶意软件结合了 叠加攻击 它利用（覆盖在合法应用之上的虚假屏幕）、自动化界面移动、NFC中继以及滥用辅助功能来控制手机。其设计目的是窃取账户。 加密货币应用程序，例如 MetaMask、Trust Wallet、Blockchain.com 或 Phantom。并且可以通过银行应用程序自动转账，例如 乔治·切斯科在捷克共和国广泛使用。

RatOn 通过以下方式分发 模仿 Google Play 商店的虚假页面其中会提供所谓的“TikTok 18+”版本或类似版本。用户安装“投放器”应用后，该应用会请求权限。 安装来自未知来源的应用程序 然后下载第二阶段和第三阶段的恶意软件，其中包括基于合法 NFCGate 工具的 NFSkate（也称为 NGate）变种。

木马程序请求权限 设备管理员、辅助功能、联系人读写和系统设置控制这使您能够授予新的权限、下载其他组件、录制屏幕、启动和控制银行和加密货币应用程序，甚至 展示伪造的赎金信 他们会锁定设备，并指控用户犯有严重罪行，以此强迫用户打开加密货币应用程序并进行支付。

RatOn 处理的命令中包含以下命令： 发送虚假推送通知 （推送通知）、更改屏幕锁定时间（锁定屏幕）、打开 WhatsApp 或 Facebook、修改目标金融应用列表（应用注入）、通过辅助功能发送短信（发送短信）。 下载并运行 NFSkate （NFS）、发起 ATS 传输（传输）、锁定设备（锁定）、创建联系人（添加联系人）和 开始或停止屏幕录制会话 （记录，屏幕）。

就其本身而言， 布拉塔 这是一个于 2019 年发现的安卓银行木马，随着时间的推移，它已经具备了非常强大的攻击功能。它通过……传播。 滴管 这有助于规避杀毒软件，并且一直表现出对……的浓厚兴趣。 银行和金融机构 来自不同国家。

BRATA 的最新变体包括 “关闭开关” 在两种情况下，设备都会被强制恢复出厂设置：一是银行诈骗成功后，二是检测到设备正在分析或模拟器环境中运行。这会浪费用户的时间去了解发生了什么，而攻击者则可以趁机巩固盗窃成果。

此外，BRATA还向以下机构申请许可： GPS定位显然，这是为了未来推出一些功能而做的准备，例如针对特定国家的受害者或尝试特定的支付方式（例如，无卡取款）。与此同时，它也改进了自身的技术。 混淆和动态下载其恶意核心 逃避安全解决方案的检测。

另一个已知的名称是 小丑恶意软件，充当 间谍软件和高级服务的静默订阅者Joker 的主要功能是收集短信、联系人列表和设备信息，同时还会注册手机号码。 短信支付服务 未经业主同意，导致账单上出现意外费用。

小丑已成为其中之一 最常见的移动恶意软件尤其因为它是通过以下方式分发的： Google Play 上托管的恶意应用即时通讯、健康、翻译应用以及其他许多类别的应用。虽然谷歌一旦检测到这些应用就会将其移除，但它们往往已经设法获得了访问权限。 数千次下载而且，这些作者还会重新发布包含相同恶意代码的新应用程序。

除了这些特定家族之外，各种研究还发现 伪装成合法服务的银行木马 （例如实用工具、效率应用、伪装成官方银行应用等）。一旦运行，这些木马程序会检查设备是否为真，并请求授权。 访问权限和管理权限 然后，他们就可以完全控制屏幕，阅读文字，按下按钮，填写表格。 为银行或加密货币应用程序生成虚假登录界面 并将所有信息发送到远程服务器。

攻击者随后可以 更新恶意软件，清除其痕迹，并关闭通知和声音。 这样一来，用户就看不到来自银行或谷歌的安全警报，而且病毒还会传播到新的地区，首先是东南亚等地区，但有可能蔓延到其他地区。 全球扩张例如，对于其他以类似方式活动的威胁，可以参考对特定家族的分析，例如： 自动色彩.

安卓系统上的其他恶意软件及其入侵方式

虽然银行木马经常占据新闻头条，但安卓系统也饱受其他类型恶意软件的困扰。 这种恶意软件通常伪装成服务或实用程序。其中最常见的包括广告软件、间谍软件、勒索软件和恶意加密货币挖矿软件。

El 广告 它是一种会向你的手机推送大量广告的垃圾软件，通常使用欺骗手段，与其他应用捆绑安装，或者伪装成合法工具。除了令人厌烦之外，它还会…… 将流量导向危险网站 并消耗数据流量和电池电量。

El 间谍 它专注于隐蔽地监视用户活动：他们使用的应用、与谁交谈、撰写的内容、访问的网站。所有这些信息都会发送给攻击者，攻击者可以利用这些信息来…… 身份盗窃、敲诈勒索或在黑市上出售.

El 勒索 在安卓系统上，这类攻击通常包括阻止用户访问设备或加密文件，然后要求用户支付加密货币以换取恢复设备控制权。由于手机中包含个人照片、私人对话以及工作数据，这类攻击会造成特别严重的后果，尤其是在没有备份的情况下。 很难恢复这些信息。.

La 恶意加密货币挖矿 加密劫持是指安装利用手机处理器为攻击者挖掘加密货币的软件。最糟糕的是，这种攻击往往难以察觉：只有在手机硬件上才能发现最明显的攻击迹象。 症状包括电池运行过快、过热和性能下降。与此同时，攻击者正在以牺牲设备资源为代价来获取收益。

大多数情况下，感染是通过以下途径传播的： 浏览器或下载的应用程序在浏览器中，攻击者可以利用网络技术中的漏洞，或者显示恶意广告，这些广告会在用户访问被入侵页面时执行代码，而无需用户进行任何其他操作。在应用程序中，经典的攻击策略是…… 伪装成合法应用程序的木马程序它可能像广告宣传的那样运行，但“在后台”，却会窃取数据、安装其他应用程序，或者为更多恶意软件打开方便之门。如果您看到 进入网站时收到病毒提示信息这是这些运动的典型特征（如何应对该警告).

还有其他选择： 廉价手机，固件已被感染带有恶意附件的电子邮件、诱骗用户下载虚假“补丁”或“更新”的网络钓鱼活动，以及要求用户安装实际上是木马程序的“帮助”工具的技术支持诈骗。

您的安卓设备可能感染木马或恶意软件的迹象

这些特洛伊木马程序最危险的地方在于，它们的设计目的就是为了…… 尽可能长时间地不被人注意即便如此，也有一些迹象表明你的手机可能出现了异常情况，值得进行调查。

最典型的线索之一是 不断弹出的窗口和广告即使您没有浏览网页或使用从未显示过广告的应用，如果点击这些广告后跳转到奇怪或可疑的网站，则很可能安装了广告软件或其他恶意组件。

另一个迹象是 移动数据消耗量突然且无法解释地增加许多木马程序需要向其服务器传输信息（例如会话数据、键盘记录器、屏幕截图等）或显示广告，这会增加出站流量。如果您的数据流量账单无故飙升，则可能是某些程序未经您的许可在后台运行。

如果你开始看到以下情况，也应该提高警惕： 承运商账单上的异常费用尤其是一些与付费短信或拨打高价号码相关的信息。这通常表明恶意软件已成功在用户不知情的情况下发送信息或拨打电话至付费服务，从而为攻击者牟利。

El 电池加速损耗 过热是另一个典型症状。恶意软件通常会大量占用 CPU、网络，有时还会占用 GPU（例如进行加密货币挖矿或屏幕录制时），导致手机发热并大幅缩短电池续航时间。如果手机即使在待机状态下也会发热，则值得深入调查。

存在 您不记得安装的应用程序 这也是一个严重的警示信号。有些木马程序会自动下载其他应用程序，或者隐藏在通用的“服务”或“更新”名称背后。如果您在应用程序列表中发现任何可疑内容或未识别的图标，最好进行检查（例如， 如何查找应用程序或最近活动).

最后，要注意诸如手机使用等行为。 仅开启 WiFi 或移动数据如果你的联系人告诉你他们收到了来自你号码的奇怪短信，或者如果你注意到手机无故出现极度卡顿，这些都是应用程序可能出现问题的迹象。 在你背后操控设备.

如何保护您的 Android 设备免受伪装成服务的木马程序的侵害

好消息是，只需几个 良好的安全习惯 借助可靠的防护应用，您可以大大降低安卓设备感染木马和其他恶意软件的风险。虽然无需过度恐慌，但您应该保持警惕，避免点击任何移动的物体。

首先，这是关键 仅从可信来源安装应用程序例如 Google Play 商店，或者在适用情况下，制造商的官方应用商店。即便如此，您仍需谨慎，因为恶意应用有时会漏网，但风险远低于从未知网站、论坛、Telegram 频道或短信和社交媒体链接下载 APK 文件。

安装应用程序之前，建议…… 请仔细检查您的权限。如果计算器应用请求访问联系人、短信、通话记录或辅助功能服务，那就需要警惕了。同样，如果手电筒应用想要获取设备管理员权限，也应该引起警惕。务必问问自己：“它真的需要这些权限才能运行吗？” 如果答案是否定的，最好寻找替代方案。

另一个基本支柱是保持 Android 和更新的应用程序更新可以修复许多木马程序利用的漏洞，这些漏洞被用来提升权限或绕过限制。让系统保持过时状态就像…… 关上门，但要打开窗户。 对攻击者而言。

最好也备一个。 适用于安卓系统的安全或防病毒应用 来自可信赖的供应商。这些工具可以检测并清除许多已知威胁，提醒您注意可疑行为，扫描浏览器链接是否存在网络钓鱼，并允许您在怀疑出现问题时运行按需扫描。

此外，一些基本准则有助于保护设备安全： 不要打开来自未知电子邮件的附件。即使链接看似来自朋友，也要避免点击陌生链接；警惕索要银行详细信息或密码的电话；不要安装通过意外消息收到的“更新”或“优化器”。

如果您怀疑您的安卓设备可能已被感染，最好的做法是： 安装反恶意软件解决方案并执行全面扫描除了重启进入安全模式外，您还可以卸载可疑应用，而无需激活它们。在严重的情况下（例如，勒索软件或非常顽固的木马程序），您可能需要…… 恢复出厂设置设备因此，定期备份照片、聊天记录和文档至关重要。

伪装成合法服务的安卓木马病毒正变得日益复杂和狡猾，例如 Android.Phantom、Triada、RatOn、BRATA 和 Joker 等家族，它们利用各种漏洞，从修改版游戏和盗版热门应用到被入侵的固件和虚假银行服务，无所不包。了解它们的工作原理、造成的症状以及日常安全习惯，是保护自身安全的最佳途径。 您可以继续安心使用手机，不必担心成为下一个受害者。.