近期,360手机安全团队收到多名用户反馈:
手机上有个应用卸载不掉了!点卸载就锁屏,进设置就返回桌面!
我的开发者选项打不开了!
无障碍设置一点就返回桌面!
……
起初,我们以为这只是普通的流氓软件,然而经过360手机安全团队的紧急分析,发现事情不简单,这是具备远程控制功能的木马应用,且有多重防卸载机制,这类远控木马通常冒充色情、投资等应用软件,通过诱导方式引导用户下载安装,普通用户很容易中招。更可怕的是,一旦手机被远控,手机可能就会面临“失控”的风险。
远控木马应用三步致命套路
第一步:诱导开启“无障碍”权限。
应用安装过程,即使手机系统会弹出层层安全提示,但如果用户执意允许本次安装、“继续安装”,还是可以成功安装的。
先是索要了“通知与状态栏”权限授权,到这里看起来还很正常,毕竟大多应用也都会索要这个常规权限;
随即就要求开启“无障碍”授权才能进一步使用,点击“确定”会自动跳转到系统无障碍设置页面。
然而致命真相就是无障碍权限 = 远控的核心武器!这是木马应用实现操控手机的首要关键的步骤!
直白一点来说,这意味着黑客可以:
✅ 查你的银行余额
✅ 看你的聊天记录
✅ “代替”你点击转账按钮
✅ “代替”你输入收款账号
✅ “代替”你输入支付密码
第二步:骗取锁屏密码
开启“无障碍”授权后,应用开始加载,然而就在进度条加载过程中,会突兀的要求“输入锁屏密码”,输入后木马就进入加载流程,真正的操控铺垫就此完成。
正常用户心里会以为装不了就算了,点击了卸载从而放松警惕。此时轻松两步操作,黑客已达到目的:
✅ 无障碍权限(可操控手机)
✅ 锁屏密码(可解锁手机)
✅ 用户已失去警惕(以为卸载了)
这意味着,黑客可以在悄无声息的深夜,利用“无障碍”权限远控你的手机,肆无忌惮的进行窃取隐私信息、资金转移等操作,且即使你发现了手机异常,也难以阻止。
第三步:防卸载策略:像病毒一样潜伏
经过技术分析发现,这类远控木马应用会采用多重防卸载策略,目的就是“变脸”,即伪装成正常应用软件,继续潜伏在用户手机里,且用户根本无法卸载。
策略一:应用变脸伪装
点击卸载后,手机桌面原有的木马应用图标直接“变脸”。点击会闪退,也无法卸载,甚至会触发自动锁屏,彻底阻断用户手动清理的可能。
策略二:锁死所有卸载通道
试图通过“设置”进行清理,却发现多个卸载通道被锁死:
打开手机“设置-应用-应用管理”,仍可以看到原木马应用的图标,但点击后会返回桌面;
打开手机“设置-系统设置-无障碍”,尝试关闭“无障碍”授权,自动返回;
打开手机“设置-系统设置-开发者选项”,试图进入开发者选项,自动返回。
360手机安全团队针对这类远控木马应用进行了技术分析,我们发现了其具有多重防卸载机制:
无障碍服务配置的技术原理:通过声明无障碍服务,木马应用可以监听系统界面变化、获取界面元素信息、执行点击等自动化操作,这是实现防卸载和凭证窃取的核心机制。基于无障碍服务的防卸载机制,监听多个厂商的卸载对话框并自动点击取消按钮。目标设备覆盖了十余家手机厂商,其中还针对主流手机厂商设备做了专门适配。
360手机安全团队紧急发布《安卓手机远控木马卸载指引》
第一步:紧急安全处置
在进行卸载操作前,请优先完成以下紧急处置:立即拔出手机 SIM 卡(极其重要)
目的: 防止攻击者获取短信验证码,避免账号被盗、资金被转移。
第二步:卸载方案
方案一:使用 360 手机助手安卓版卸载应用
步骤 1:下载安装360手机助手
手机浏览器访问360手机助手官网(地址:https://sj.360.cn),下载安装360手机助手手机版,部分手机会提示“允许浏览器安装应用吗”,选择允许安装。
步骤2:卸载应用
手机启动360手机助手,授权360手机助手应用列表权限(手机弹窗允许应用列表),依次选择我的(管理)、应用卸载,选中需卸载的应用,点击卸载。
由于存在攻防对抗机制,远控木马通常会限制、拦截应用卸载操作,因此可能出现,360 手机助手打开后被关闭,无法完成卸载,如出现以上情况,请继续执行以下步骤。
方案二:使用 360 手机助手电脑版卸载应用
步骤1:开启手机USB调试模式
依次进入设置、关于本机(关于手机)、版本信息、版本号,连续点击版本号,提示“您现在处于开发者模式”。
返回设置菜单,搜索开发者选项,勾选 USB 调试。
步骤 2:安装并配置360手机助手电脑版
电脑浏览器访问360手机助手官网(地址:https://sj.360.cn),下载安装360手机助手电脑版。
步骤 3:连接手机与电脑
启动360手机助手电脑版,使用数据线连接电脑和手机,手机弹窗界面,选择传输文件。
打开360手机助手电脑版,点击“连接手机”,此时手机显示“允许弹出USB调试”窗口,点击允许。
步骤 4:使用360手机助手电脑版卸载
360手机助手电脑版主界面,选择“应用管理”,选择“已装应用”,选择需卸载的应用,点击卸载。
在部分严重感染场景中,远控木马可能限制系统设置操作,阻止 USB 调试开启,表现为无法进入开发者选项、USB 调试选项无法勾选,如出现上述情况,请继续执行以下步骤。
方案三:使用手机安全模式卸载应用
风险提示(请务必阅读)
部分手机型号在进入安全模式时,会先进入 Recovery菜单,该界面中通常包含如下选项:重启系统、安全模式、清除数据。请务必注意:仅选择 “进入安全模式”,切勿选择 “清除数据”选项。错误选择“清除数据”,将导致手机内所有数据被清空,请谨慎操作。
1、进入安全模式方法
各品牌进入方式不同,包括以下方式
通用方式1:长按电源键,出现手机品牌LOGO后,连续点按音量下键,进入系统后,左下角出现“安全模式”。
通用方式2:长按电源键+音量上键,出现手机品牌LOGO后,松开电源键。在出现的页面中,选择“安全模式”,进入系统后,左下角出现“安全模式”。
部分厂商的进入方式如下,同一个厂商,部分机型也可能会存在差异。
2、进入安全模式下卸载应用步骤
进入安全模式后,依次进入设置、应用(应用管理)界面,选择应用,选择卸载,卸载完成后重启手机。
卸载完成后检查
查看手机中是否仍存在该应用,包括应用名、图标。
进入系统后,依次进入设置、应用(应用管理)界面,确认该应用未在列表中出现。
卸载完成后的安全加固建议
1、 立即修改所有重要账号密码;
2、 使用360手机卫士等杀毒软件进行全盘扫描。
防护建议
1. 谨慎下载应用。建议从官方应用商店下载应用,对于安装来源未知的应用时,及时使用杀毒软件进行风险扫描,对于提示的风险应用不启动、及时卸载;
2. 加强手机权限管理。仔细审查应用请求的权限,拒绝不必要的权限请求,定期检查已授予的权限。尤其注意任何APP索要“无障碍”、“锁屏密码”时,一律拒绝!
3. 异常检测。注意应用图标和名称是否异常,监控设备性能和电池消耗,检查是否有未知应用在后台运行。
手机作为我们的“移动钱包”和隐私载体,容不得半点疏忽,赶紧转发给家人朋友,警惕这种陷阱,守住手机安全防线!
来源 360移动产品中心
|
|
|
|
|
|
|
京公网安备 11000002002063号
京ICP备08010314号-6 Copyright©2005- 360.com 版权所有 360互联网安全中心
安全卫士
极速浏览器
360壁纸
360摄像机
纳米AI搜索
手机卫士
评论
直达楼层