多人中招!远控木马强势“操控”手机,不仅卸不掉,还会“变脸”潜伏!
近期,360手机安全团队收到多名用户反馈:"手机上有个应用卸载不掉了!点卸载就锁屏,进设置就返回桌面"
"我的开发者选项打不开了"
"无障碍设置一点就返回桌面"
……
起初,我们以为这只是普通的流氓软件,然而经过360手机安全团队的紧急分析,发现事情不简单,这是具备远程控制功能的木马应用,且有多重防卸载机制,这类远控木马通常冒充色情、投资等应用,通过诱导方式引导用户下载安装,普通用户很容易中招。更可怕的是,一旦手机被远控,手机可能就会面临“失控”的风险。
【实测】远控木马应用三步致命套路,从安装到“锁机”步步为营
第一步:诱导开启“无障碍”权限
应用安装过程,即使手机系统会弹出层层安全提示,但如果用户执意"允许本次安装"“继续安装”,还是可以成功安装的。
当运行这个木马应用时,步步为营开始了:
先是索要了“通知与状态栏”权限授权,到这里看起来还很正常,毕竟大多应用也都会索要这个常规权限;
随即就要求开启“无障碍”授权才能进一步使用,点击“确定”会自动跳转到系统无障碍设置页面。
然而致命真相就是
无障碍权限 = 远控的核心武器
这是木马应用实现操控手机的首要关键的步骤!
什么是“无障碍”权限?授权后木马应用能干什么?
✅ 实时监控手机屏幕操作,盗取密码等
✅ 远程读取短信内容窃取验证码
✅ 远程操控手机
✅ 远程执行转账指令
✅ 阻止卸载等操作
……
再直白一点来说,这意味着黑客可以:
✅ 查你的银行余额
✅ 看你的聊天记录
✅ “代替”你点击"转账"按钮
✅ “代替”你输入收款账号
✅ “代替”你输入支付密码
……
第二步:骗取锁屏密码
开启“无障碍”授权后,应用开始假模假样的"加载",然而就在进度条加载过程中,一个突兀的弹窗突然出现,要求“输入锁屏密码”,输入后木马就进入加载流程,真正的操控铺垫就此完成,拿到“无障碍”权限是整个攻击链中第二关键的一环!而此时,安装后的页面却提示“系统版本不兼容”,并给出“卸载”按钮,看似流程终止,实则另一个陷阱已经启动。
正常用户心里会以为"装不了就算了",点击了"卸载",从而放松警惕。然而,此时轻松两步操作,黑客已达到目的:
✅ 无障碍权限(可操控手机)
✅ 锁屏密码(可解锁手机)
✅ 用户已失去警惕(以为卸载了)
这意味着,黑客可以在悄无声息的深夜,利用“无障碍”权限远控你的手机,输入锁屏密码全面“掌管”你的手机,肆无忌惮的进行窃取隐私信息、资金转移等操作,且即使你发现了手机异常,也难以阻止。
第三步:防卸载策略:像病毒一样潜伏
点击"卸载"后,你以为结束了?然而让人头皮发麻的一幕发生了……
经过技术分析发现,这类远控木马应用会采用多重防卸载策略,目的就是“变脸”继续潜伏在用户手机里,且用户根本无法卸载。
策略一:应用"变脸"伪装
点击"卸载"后,手机桌面原有的木马应用图标直接“变脸”
更棘手的是,这个伪装后的"变脸"应用,点击会闪退,也无法卸载,甚至会触发自动锁屏,彻底阻断用户手动清理的可能。
策略二:锁死所有卸载通道
试图通过“设置”进行清理,却发现多个卸载通道被锁死:
打开手机“设置-应用-应用管理”,仍可以看到原木马应用的图标,但点击后会返回桌面;
打开手机“设置-系统设置-无障碍”,尝试关闭“无障碍”授权,自动返回;
打开手机“设置-系统设置-开发者选项”,试图进入开发者选项,自动返回;
360手机安全团队针对这类远控木马应用进行了技术分析,我们发现了其具有多重防卸载机制:
无障碍服务配置的技术原理:通过声明无障碍服务,木马应用可以监听系统界面变化、获取界面元素信息、执行点击等自动化操作,这是实现防卸载和凭证窃取的核心机制。基于无障碍服务的防卸载机制,监听多个厂商的卸载对话框并自动点击"取消"按钮。目标设备覆盖了十余家手机厂商,其中还针对主流手机厂商设备做了专门适配。
图标切换机制的技术原理主要是:利用Android的PackageManager API动态控制组件的启用状态。恶意软件根据检测到的设备厂商,启用对应的activity-alias图标并禁用原始图标,从而在设备上显示伪装的图标。
木马应用在AndroidManifest.xml中定义了多个activity-alias,用于在不同设备上伪装成不同的合法应用(如下图)。这种手法目的就是通过伪装图标,通过虚假登录界面,窃取支付密码、验证码等上传到服务器。
综上,总结一下这类远控木马应用的三大关键节点,背后都藏着足以掏空你钱包、泄露隐私的致命隐患!
1. 无障碍权限=“操控钥匙”:这是木马实现远程控制的核心!一旦授权,黑客可通过该权限绕过诸多系统限制,自由操作你的手机,相当于把手机密码交给了陌生人。
2. 锁屏密码泄露=手机“裸奔”:索要锁屏密码绝非偶然!黑客可在凌晨等你熟睡、手机闲置的时段,利用无障碍权限自动输入密码解锁,进而操控手机转账、消费、盗刷支付软件,造成直接资金损失。
3. 应用“变脸”=继续“潜伏”:卸载后“变脸”伪装,还锁死卸载通道,意味着木马会长期潜伏在手机里,持续收集你的聊天记录、照片、支付信息,甚至随时等待黑客指令发起攻击。
如果手机不幸中招儿,要如何卸载远控木马应用呢?
360手机安全团队紧急发布《安卓手机远控木马卸载指引》
一、紧急安全处置
在进行卸载操作前,请优先完成以下紧急处置:立即拔出手机 SIM 卡(极其重要)
目的: 防止攻击者获取短信验证码,避免账号被盗、资金被转移。
二、卸载方案
方案一:使用 360 手机助手安卓版卸载应用
步骤 1:下载安装360手机助手
手机浏览器访问360手机助手官网(地址:https://sj.360.cn),下载安装360手机助手手机版,部分手机会提示“允许浏览器安装应用吗”,选择允许安装。
步骤2:卸载应用
手机启动360手机助手,授权360手机助手应用列表权限(手机弹窗允许应用列表),依次选择我的(管理)、应用卸载,选中需卸载的应用,点击卸载。
由于存在攻防对抗机制,远控木马通常会限制、拦截应用卸载操作,因此可能出现,360 手机助手打开后被关闭,无法完成卸载,如出现以上情况,请继续执行以下步骤。
方案二:使用 360 手机助手电脑版卸载应用
步骤1:开启手机USB调试模式
依次进入设置、关于本机(关于手机)、版本信息、版本号,连续点击版本号,提示“您现在处于开发者模式”。
返回设置菜单,搜索开发者选项,勾选 USB 调试
步骤 2:安装并配置360手机助手电脑版
电脑浏览器访问360手机助手官网(地址:https://sj.360.cn),下载安装360手机助手电脑版。
步骤 3:连接手机与电脑
启动360手机助手电脑版,使用数据线连接电脑和手机,手机弹窗界面,选择传输文件。
打开360手机助手电脑版,点击“连接手机”,此时手机显示“允许弹出USB调试”窗口,点击允许。
步骤 4:使用360手机助手电脑版卸载
360手机助手电脑版主界面,选择“应用管理”,选择“已装应用”,选择需卸载的应用,点击卸载。
在部分严重感染场景中,远控木马可能限制系统设置操作,阻止 USB 调试开启,表现为无法进入开发者选项、USB 调试选项无法勾选,如出现上述情况,请继续执行以下步骤。
方案三:使用手机安全模式卸载应用
风险提示(请务必阅读)
部分手机型号在进入安全模式时,会先进入 Recovery菜单,该界面中通常包含如下选项:重启系统、安全模式、清除数据。请务必注意:仅选择 “进入安全模式”,切勿选择 “清除数据”选项。错误选择“清除数据”,将导致手机内所有数据被清空,请谨慎操作。
1、进入安全模式方法
各品牌进入方式不同,包括以下方式
通用方式1:长按电源键,出现手机品牌LOGO后,连续点按音量下键,进入系统后,左下角出现“安全模式”。
通用方式2:长按电源键+音量上键,出现手机品牌LOGO后,松开电源键。在出现的页面中,选择“安全模式”,进入系统后,左下角出现“安全模式”。
部分厂商的进入方式如下,同一个厂商,部分机型也可能会存在差异。
品牌 操作方式
华为 手机关机状态下,同时按音量上键+ 电源键,选择“安全模式”
荣耀 手机关机状态下,同时按音量上键+ 电源键,选择“安全模式(或Safe mode)”
vivo 手机关机状态下,同时按音量上键+ 电源键,先选择“进入recovery”,再选择“进入安全模式”
OPPO 手机关机状态下,先按电源键,出现手机logo时,按住音量下键
小米 手机关机状态下,先按电源键,出现手机logo时,点按音量下键
2、进入安全模式下卸载应用步骤
进入安全模式后,依次进入设置、应用(应用管理)界面,选择应用,选择卸载,卸载完成后重启手机。
三、卸载完成后检查
查看手机中是否仍存在该应用,包括应用名、图标。
进入系统后,依次进入设置、应用(应用管理)界面,确认该应用未在列表中出现。
四、卸载完成后的安全加固建议
1、立即修改所有重要账号密码
2、使用360手机卫士等杀毒软件进行全盘扫描
终极防护建议
1.谨慎下载应用。建议从官方应用商店下载应用,对于安装来源未知的应用时,及时使用杀毒软件进行风险扫描,对于提示的风险应用不启动、及时卸载;
2.加强手机权限管理。仔细审查应用请求的权限,拒绝不必要的权限请求,定期检查已授予的权限。尤其注意任何APP索要“无障碍”“锁屏密码”时,一律拒绝!
3.异常检测。注意应用图标和名称是否异常,监控设备性能和电池消耗,检查是否有未知应用在后台运行。
手机作为我们的“移动钱包”和隐私载体,容不得半点疏忽,赶紧转发给家人朋友,警惕这种陷阱,守住手机安全防线! {:15_456:} 手机版的远控恶意的确也需要注意,建议用户安装靠谱的手机安全软件,不乱装陌生软件 小心{:14_367:}
页:
[1]