偽裝成服務的安卓木馬：完整指南

很多 安卓木馬 偽裝成合法服務 它們已成為使用手機聊天、玩遊戲、購物或管理銀行帳戶的用戶面臨的最嚴重威脅之一。我們說的不僅僅是那些煩人的廣告病毒，而是功能極其強大的惡意軟體家族，它們能夠… 遠端控制設備、竊取金錢、竊取對話，甚至刪除手機上的資料。 不留痕跡。

近年來，人們發現了一些利用…進行詐騙的活動。 虛假應用程式、篡改的韌體、修改過的遊戲或熱門應用程式的盜版版本 為了偷偷植入這些類型的木馬程式：Android.Phantom、Triada、BRATA、RatOn、Joker 以及利用輔助功能服務的銀行木馬變種，它們都有一個共同點： 他們把自己偽裝成看似無害的生物。 這樣一來，使用者就會放鬆警惕，授予攻擊者關鍵權限，從而為整個系統打開方便之門。為了偵測諸如韌體篡改之類的深度入侵，建議使用專門的工具（使用 MVT 檢測您的 Android 裝置是否已被駭客入侵).

什麼是安卓木馬？為什麼它如此危險？

特洛伊木馬，或者 安卓系統上的木馬特洛伊木馬是一種惡意軟體，它偽裝成有用的應用程式或文件，誘騙用戶自願安裝。與其他類型的惡意軟體不同，特洛伊木馬通常不會自行傳播； 利用用戶信任 在應用程式、遊戲、連結或所謂的服務中進入系統。

在安卓系統上，這些木馬程式可以偽裝成… 銀行應用程式、生產力工具、媒體播放器、遊戲、即時通訊應用程序，甚至是系統更新一旦入侵成功，其目標通常是竊取憑證、財務資料、簡訊驗證碼或劫持社交媒體帳戶。 發送垃圾郵件或將您的手機用作被入侵設備網路的一部分.

為了達到這個目的，許多此類惡意軟體程式濫用了… Android 輔助使用服務該功能旨在幫助有視覺或行動障礙的人，但也允許攻擊者讀取螢幕上的內容、按下虛擬按鈕、授予自己新的權限，甚至在用戶無需幹預的情況下安裝其他應用程式。

此外，現代木馬程式通常包含能夠執行以下操作的附加模組： 更改瀏覽器連結、攔截通知、錄製畫面、啟動後台代理伺服器或複製 NFC 數據 實施高級詐騙。結果是，你的手機最終可能淪為網路犯罪者手中的另一個工具。

Android.Phantom：一款利用機器學習技術隱藏在遊戲和模組中的木馬程序

近期最引人注目的家族之一是 Android.Phantom該木馬由網路安全實驗室 Doctor Web 的研究人員檢測到。它主要透過以下方式傳播： 修改後的熱門遊戲和應用程式它之所以脫穎而出，是因為它融合了以下技術： 機器學習 使其惡意活動自動化。

Android.Phantom 可以以兩種不同的模式運行，這兩種模式根據遠端命令和控制伺服器的命令啟動： 幻影模式 y 訊號模式由於具備這兩種運作特性，該惡意軟體既能夠進行廣告欺詐，又能利用受感染的裝置進行更嚴重的活動，例如： 分散式阻斷服務 (DDoS) 攻擊或隱蔽資料共享.

在通話中 幻影模式該木馬程式在背景載入網頁內容，並使用依賴以下機制的自動化腳本模擬點擊惡意廣告： TensorFlowJS這是一個用於 JavaScript 的機器學習框架。所有這些操作都在用戶看不到任何螢幕內容的情況下進行，這使得識別錯誤變得極其困難。

當啟動 訊號模式Android.Phantom 能夠 即時交換數據、音訊和視頻 無需安裝任何新程式。這樣一來，被入侵的手機就能成為濫用基礎架構中的活躍節點，例如用於協調攻擊、轉發內容或作為其他網路犯罪的跳板。

這個家族最大的危險不僅在於廣告詐騙，還在於大量使用感染病毒的手機。 用於發送垃圾郵件、參與網路詐騙、發動DDoS攻擊或竊取個人資訊的工具雖然這些行為大多悄無聲息，但它們往往會留下線索：異常高的電池消耗量， 行動數據流量增加 沒有明確的解釋，而且整體表現也慢了很多。

據 Doctor Web 稱，Android.Phantom 的分發活動尤其具有影響力。 小米設備該木馬病毒已在官方應用程式商店提供的應用程式中被發現。 小米商店由一位名為[開發者姓名]的開發者上傳 深圳瑞人網絡在許多情況下，這些應用程式最初發佈時並沒有惡意程式碼。 隨後的更新引入了特洛伊木馬這樣可以在感染實施前建立使用者之間的信任。

此外，已檢測到 Android.Phantom 的變種正在傳播。 Spotify 的修改版本 承諾提供免費的高級功能。這些修改版透過以下方式分發： Telegram頻道和非官方頁面這是吸引那些想要繞過合法應用程式限制的用戶的經典方法。

專家強烈推薦 不要下載修改過的APK檔。 來自來源可疑的網站或 Telegram 頻道，請保持警惕 更新的防病毒軟件 在手機上操作並監控設備行為。如果懷疑感染病毒，建議將手機啟動到安全模式。 安全模式手動檢查已安裝的應用程式列表，卸載任何可疑程序，並激活 Google Play Protect 進行安全分析。

Triada：預先安裝在韌體中的木馬程序，可控制您的所有應用程式。

如果 Android.Phantom 聽起來已經令人擔憂，那麼這個家族… 選擇 它更進一步。 Triada 最初由卡巴斯基專家於 2016 年發現，標誌著一個轉捩點。 適用於安卓系統的先進行動惡意軟體這種威脅幾乎被注入到設備上運行的每個進程中，主要駐留在記憶體中，並且能夠… 同時幹預多個應用程式.

隨著時間的推移，Google和製造商加強了系統安全，甚至限制了擁有 root 權限的使用者對系統分區的修改。然而，Triada 背後的組織卻並未就此罷休。 他們改進了這項技術。 於是他們開始在供應鏈中感染固件，也就是說， 在手機到達最終用戶之前.

在現代版本中，被認定為 後門.AndroidOS.Triada.z特洛伊人來了 預先安裝在盜版安卓手機系統分區的 在線上市場銷售。由於其整合度極低，幾乎不可能在沒有其他軟體支援的情況下將其移除。 重新刷寫官方韌體或更換設備.

該變體的一個關鍵特點是它可以 攻擊手機上運行的任何應用程式每次用戶開啟應用程式時，Triada 都會插入一份自身副本，並可按需啟動。它還包含一些專用模組，用於… Telegram、WhatsApp、Instagram、瀏覽器、TikTok、Facebook、LINE、Skype 和加密貨幣應用程式等等。

例如，在 Telegram 它下載兩個模組：一個每天連接到命令與控制伺服器，發送受害者的電話號碼和完整的身份驗證資料（包括 訪問令牌），以及另一個可以過濾所有訊息、與機器人通訊並刪除有關新登入的通知，以免用戶產生任何懷疑。

En InstagramTriada 會搜尋活躍的會話 cookie 並將其傳送給攻擊者，從而允許攻擊者進行攻擊。 完全掌控帳戶在類似這樣的瀏覽器中 Chrome、Opera 或 Firefox此模組透過 TCP 連接到命令伺服器， 將合法連結重新導向到廣告網站 或者，如果攻擊者決定這樣做，則可能指向旨在竊取憑證的網路釣魚頁面。

En Whatsapp該木馬程式包含兩個模組：一個模組每隔幾分鐘向伺服器發送會話數據，以便存取帳戶；另一個模組… 它會攔截訊息的發送和接收功能。這樣一來，惡意軟體就可以以受害者的名義發送訊息並立即刪除它們，從而難以偵測惡意活動。

在類似的應用程式中 LINE o Skype行為類似：收集令牌、cookie 和內部數據，從而使犯罪分子能夠… 冒充用戶 來自其他設備。 的TikTokTriada 從 cookies 中提取資訊以及與平台 API 互動所需的資料。

但這還不是全部：三合會還包括 簡訊模組 能夠讀取所有收到的訊息，提取代碼（例如銀行驗證碼），自動回覆某些簡訊以使受害者訂閱付費服務； 發送任意訊息 當伺服器發出指令時。另一個配套模組會停用 Android 系統自帶的未經用戶同意發送付費簡訊的保護機制。

它還包含一個 呼叫模組已整合到手機應用程式中，該應用程式已部分實現了以下功能： 號碼欺騙雖然這項技術似乎仍在開發中，但其目的是允許撥出的電話顯示與真實號碼不同的號碼，從而助長新的詐騙活動。

另一個非常危險的部件是… 反向代理 這會將手機變成一個中間伺服器，使攻擊者能夠存取任意IP位址，就好像這些位址來自受害者的裝置一樣。這使得他們能夠掩蓋各種非法網路活動的真實來源。

對於加密貨幣用戶而言，Triada 整合了一個 限幅器 它會監控剪貼板，並自動將複製的錢包位址替換為攻擊者控制的位址。此外， 加密貨幣竊賊 它會分析受害者的活動，並替換介面上任何位置的地址，甚至修改按鈕或圖像，用二維碼轉移資金。據估計，犯罪分子利用這些技術已經竊取了大量資金。 價值數十萬美元的加密資產.

調查顯示，在受影響的設備上，韌體名稱與官方名稱不同。 只有一個字母例如，如果合法韌體是 TGPMIXM，那麼受感染的假韌體就會顯示為 TGPMIXN。所有跡像都表明… 參與供應鏈的某一環節有些店家賣看似全新的手機，但顧客卻不知道這些手機從出廠就已經被人動過手腳。

對抗三合會的最佳防禦措施包括 請務必向官方經銷商購買手機。檢查韌體並安裝可信任的安卓安全解決方案。如果偵測到 Triada，建議採取以下措施： 安裝官方韌體 或聯絡技術服務部門，檢查所有訊息和社交媒體帳戶，關閉任何可疑的活動會話，並 更改密碼 借助安全的密碼管理器。作為保護措施的一部分，建議… 安裝一款值得信賴的安卓安全解決方案 並遵循良好做法。

RatOn、BRATA 和其他冒充銀行服務的銀行木馬

除了 Android.Phantom 和 Triada 之外，其他家族 安卓銀行木馬 尤其專注於竊取錢財和劫持金融帳戶。以下三個名字值得牢記： RatOn、BRATA 和 Joker以及偽裝成服務、銀行或知名平台應用程式的各種惡意軟體變種。

RatOn 這是一個相對較新的特洛伊木馬設計。 從零開始進行銀行欺詐它最初是用於NFC中繼攻擊（使用諸如Ghost Tap之類的技術）的工具，但已經演變成一種 遠端存取木馬（RAT） 具備自動傳輸系統（ATS）功能。這意味著它可以 自動完成所有銀行轉賬無需使用者觸摸螢幕。

這種惡意軟體結合了 疊加攻擊 它利用（覆蓋在合法應用之上的虛假螢幕）、自動化介面移動、NFC中繼以及濫用輔助功能來控製手機。其設計目的是竊取帳戶。 加密貨幣應用程序，例如 MetaMask、Trust Wallet、Blockchain.com 或 Phantom。並且可以透過銀行應用程式自動轉賬，例如 喬治·切斯科在捷克共和國廣泛使用。

RatOn 透過以下方式分發 模仿 Google Play 商店的虛假頁面其中會提供所謂的「TikTok 18+」版本或類似版本。用戶安裝「投放器」應用程式後，應用程式會要求權限。 安裝來自未知來源的應用程式 然後下載第二階段和第三階段的惡意軟體，其中包括基於合法 NFCGate 工具的 NFSkate（也稱為 NGate）變種。

木馬程式請求權限 設備管理員、輔助功能、聯絡人讀寫和系統設定控制這使您能夠授予新的權限、下載其他組件、錄製螢幕、啟動和控制銀行和加密貨幣應用程序，甚至 展示偽造的贖金信 他們會鎖定設備，並指控用戶犯下嚴重罪行，以此強迫用戶打開加密貨幣應用程式並進行支付。

RatOn 處理的指令中包含以下指令： 發送虛假推播通知 （推播通知）、更改螢幕鎖定時間（鎖定螢幕）、開啟 WhatsApp 或 Facebook、修改目標金融應用程式清單（應用程式註入）、透過輔助功能發送簡訊（發送簡訊）。 下載並執行 NFSkate （NFS）、啟動 ATS 傳輸（傳輸）、鎖定裝置（鎖定）、建立聯絡人（新增聯絡人）和 開始或停止螢幕錄製會話 （記錄，螢幕）。

就其本身而言， 布拉塔 這是一個於 2019 年發現的安卓銀行木馬，隨著時間的推移，它已經具備了非常強大的攻擊功能。它透過……傳播。 滴管 這有助於規避防毒軟體，並且一直表現出對…的濃厚興趣。 銀行和金融機構 來自不同的國家。

BRATA 的最新版本包括 “關閉開關” 在兩種情況下，設備都會被強制恢復出廠設定：一是銀行詐騙成功後，二是偵測到設備正在分析或模擬器環境中運作。這會浪費用戶的時間去了解發生了什麼，而攻擊者可以趁機鞏固盜竊成果。

此外，BRATA也向以下機構申請許可： GPS定位顯然，這是為了未來推出一些功能而做的準備，例如針對特定國家的受害者或嘗試特定的支付方式（例如，無卡取款）。同時，它也改進了自身的技術。 混淆和動態下載其惡意核心 逃避安全解決方案的偵測。

另一個已知的名稱是 小丑惡意軟體，充當 間諜軟體和高級服務的靜默訂閱者Joker 的主要功能是收集簡訊、聯絡人清單和設備信息，同時還會註冊手機號碼。 簡訊支付服務 未經業主同意，導致帳單上出現​​意外費用。

小丑已成為其中之一 最常見的行動惡意軟體尤其因為它是透過以下方式分發的： Google Play 上託管的惡意應用即時通訊、健康、翻譯應用程式以及其他許多類別的應用程式。雖然Google一旦檢測到這些應用程式就會將其移除，但它們往往已經設法獲得了存取權限。 數千次下載而且，這些作者還會重新發布包含相同惡意程式碼的新應用程式。

除了這些特定家族之外，各種研究也發現 偽裝成合法服務的銀行木馬 （例如實用工具、效率應用、偽裝成官方銀行應用程式等）。一旦運行，這些木馬程式會檢查設備是否為真，並要求授權。 存取權限和管理權限 然後，他們就可以完全控制螢幕，閱讀文字，按下按鈕，填寫表格。 為銀行或加密貨幣應用程式產生虛假登入介面 並將所有資訊發送到遠端伺服器。

攻擊者隨後可以 更新惡意軟體，清除其痕跡，並關閉通知和聲音。 這樣一來，用戶就看不到來自銀行或Google的安全警報，而且病毒還會傳播到新的地區，首先是東南亞等地區，但有可能蔓延到其他地區。 全球擴張例如，對於其他以類似方式活動的威脅，可以參考對特定家族的分析，例如： 自動色彩.

安卓系統上的其他惡意軟體及其入侵方式

雖然銀行木馬經常佔據新聞頭條，但安卓系統也飽受其他類型惡意軟體的困擾。 這種惡意軟體通常偽裝成服務或實用程式。其中最常見的包括廣告軟體、間諜軟體、勒索軟體和惡意加密貨幣挖礦軟體。

El 廣告軟件 它是一種會向你的手機推送大量廣告的垃圾軟體，通常使用欺騙手段，與其他應用程式捆綁安裝，或偽裝成合法工具。除了令人厭煩之外，它還會… 將流量導向危險網站 並消耗數據流量和電池電量。

El 間諜軟件 它專注於隱蔽地監視用戶活動：他們使用的應用程式、與誰交談、撰寫的內容、造訪的網站。所有這些資訊都會發送給攻擊者，攻擊者可以利用這些資訊來… 身分盜竊、敲詐勒索或在黑市上出售.

El 勒索 在安卓系統上，這類攻擊通常包括阻止用戶存取設備或加密文件，然後要求用戶支付加密貨幣以換取恢復設備控制權。由於手機包含個人照片、私人對話以及工作數據，這類攻擊會造成特別嚴重的後果，尤其是在沒有備份的情況下。 很難找回這些資訊。.

La 惡意加密貨幣挖礦 加密劫持是指安裝利用手機處理器為攻擊者挖掘加密貨幣的軟體。最糟糕的是，這種攻擊往往難以察覺：只有在手機硬體上才能發現最明顯的攻擊跡象。 症狀包括電池運作過快、過熱和效能下降。同時，攻擊者正在以犧牲設備資源為代價來獲取收益。

大多數情況下，感染是透過以下途徑傳播的： 瀏覽器或下載的應用程式在瀏覽器中，攻擊者可以利用網路技術中的漏洞，或顯示惡意廣告，這些廣告會在使用者造訪被入侵頁面時執行程式碼，而無需使用者進行任何其他操作。在應用程式中，經典的攻擊策略是… 偽裝成合法應用程式的木馬程序它可能像廣告宣傳的那樣運行，但“在後台”，卻會竊取資料、安裝其他應用程序，或為更多惡意軟體打開方便之門。如果您看到 進入網站時收到病毒提示訊息這是這些運動的典型特徵（如何應對該警告).

還有其他選擇： 廉價手機，韌體已被感染帶有惡意附件的電子郵件、誘騙用戶下載虛假「修補程式」或「更新」的網路釣魚活動，以及要求用戶安裝實際上是木馬程式的「幫助」工具的技術支援詐騙。

您的安卓裝置可能感染木馬或惡意軟體的跡象

這些特洛伊木馬程式最危險的地方在於，它們的設計目的就是為了… 盡可能長時間不被注意即便如此，也有一些跡象顯示你的手機可能出現了異常情況，值得進行調查。

最典型的線索之一是 不斷彈出的視窗和廣告即使您沒有瀏覽網頁或使用從未顯示過廣告的應用程式，如果點擊這些廣告後跳到奇怪或可疑的網站，則很可能安裝了廣告軟體或其他惡意元件。

另一個標誌是 行動數據消耗量突然且無法解釋地增加許多木馬程式需要向其伺服器傳輸資訊（例如會話資料、鍵盤記錄器、螢幕截圖等）或顯示廣告，這會增加出站流量。如果您的資料流量帳單無故飆升，則可能是某些程式未經您的許可在後台運行。

如果你開始看到以下情況，也應該提高警覺： 承運商帳單上的異常費用尤其是一些與付費簡訊或撥打高價號碼相關的資訊。這通常表示惡意軟體已成功在用戶不知情的情況下發送訊息或撥打電話至付費服務，從而為攻擊者牟利。

El 電池加速損耗 過熱是另一個典型症狀。惡意軟體通常會大量佔用 CPU、網絡，有時還會佔用 GPU（例如進行加密貨幣挖礦或螢幕錄製時），導致手機發熱並大幅縮短電池續航時間。如果手機即使在待機狀態下也會發熱，則值得深入調查。

存在 您不記得安裝的應用程序 這也是一個嚴重的警示訊號。有些木馬程式會自動下載其他應用程序，或隱藏在通用的「服務」或「更新」名稱背後。如果您在應用程式清單中發現任何可疑內容或未識別的圖標，最好進行檢查（例如， 如何找到應用程式或最近活動).

最後，要注意諸如手機使用等行為。 僅開啟 WiFi 或行動數據如果你的聯絡人告訴你他們收到了來自你號碼的奇怪短信，或者如果你注意到手機無故出現極度卡頓，這些都是應用程式可能出現問題的跡象。 在你背後操控設備.

如何保護您的 Android 裝置免受偽裝成服務的木馬程式的侵害

好消息是，只需幾個 良好的安全習慣 透過可靠的防護應用，您可以大幅降低安卓裝置感染木馬和其他惡意軟體的風險。雖然無需過度恐慌，但您應該保持警惕，避免點擊任何移動的物體。

首先，這是關鍵 僅從可信任來源安裝應用程式例如 Google Play 商店，或在適用情況下，製造商的官方應用程式商店。即便如此，您仍需謹慎，因為惡意應用程式有時會漏網，但風險遠低於從未知網站、論壇、Telegram 頻道或簡訊和社群媒體連結下載 APK 檔案。

安裝應用程式之前，建議… 請仔細閱讀您的權限設定。如果計算器應用程式要求存取聯絡人、簡訊、通話記錄或輔助功能服務，那就需要警惕了。同樣，如果手電筒應用想要取得設備管理員權限，也應該引起警覺。務必問自己：「它真的需要這些權限才能運作嗎？」 如果答案是否定的，最好尋找替代方案。

另一個基本支柱是保持 Android 和更新的應用程式更新可以修復許多木馬程式利用的漏洞，這些漏洞會導致權限提升或繞過限制。讓系統保持過時狀態就像… 關上門，但要打開窗戶。 對攻擊者而言。

最好也備一個。 適用於安卓系統的安全或防毒應用 來自可信賴的供應商。這些工具可以偵測並清除許多已知威脅，提醒您注意可疑行為，掃描瀏覽器連結是否有網路釣魚，並允許您在懷疑出現問題時執行按需掃描。

此外，一些基本準則有助於保護設備安全： 不要開啟來自未知電子郵件的附件。即使連結看似來自朋友，也要避免點擊陌生連結；警惕索取銀行詳細資料或密碼的電話；不要安裝透過意外訊息收到的「更新」或「優化器」。

如果您懷疑您的安卓設備可能已被感染，最好的做法是： 安裝反惡意軟體解決方案並執行全面掃描除了重新啟動進入安全模式外，您還可以卸載可疑應用，而無需啟動它們。在嚴重的情況下（例如，勒索軟體或非常頑固的木馬程式），您可能需要… 恢復出廠設定設備因此，定期備份照片、聊天記錄和文件至關重要。

偽裝成合法服務的安卓木馬病毒正變得日益複雜和狡猾，例如 Android.Phantom、Triada、RatOn、BRATA 和 Joker 等家族，它們利用各種漏洞，從修改版遊戲和盜版熱門應用到被入侵的固件和虛假銀行服務，無所不包。了解它們的運作方式、造成的症狀以及日常安全習慣，是保護自身安全的最佳方法。 您可以繼續安心使用手機，不必擔心成為下一個受害者。.