在手机上安装应用程序已经变得如此自动化。 我们常常不加甄别地点击“安装”。然而,在精美的图标和吸引人的名称背后,可能隐藏着恶意APK,它们能够窃取你的银行信息、让你的手机充斥着广告,甚至锁定你的文件并勒索赎金。
本文将介绍如何检测恶意APK。 安卓系统(以及在较小程度上iOS系统)上的虚假应用,仅利用手机上已有的资源:应用商店、系统设置以及一点常识。我们将介绍这些应用的症状、威胁类型、区分合法应用和欺诈应用的技巧,以及在出现问题时保护自己的措施。
什么是恶意APK和虚假应用?
恶意APK是一种Android安装文件。 这是网络犯罪分子设计用来损害用户或其设备的。它通常伪装成合法应用程序,但在后台会进行诸如监视你、安装更多恶意软件、向你推送大量广告、让你订阅付费服务或窃取你的凭证和个人信息等活动。
虚假应用模仿真实应用 他们这样做是为了让你误以为是在下载 WhatsApp、最新游戏或最流行的工具,而实际上你安装的是其他东西。他们通常会复制名称、图标、屏幕截图和描述,并在文本中填充关键词,以提高在应用商店搜索结果中的排名。
这些恶意应用程序也可能出现在官方应用商店中。 (Google Play 或者,较少情况下,也会通过 App Store 下载应用,此外还有第三方应用商店、直接下载网站,或者通过电子邮件、短信或社交媒体收到的链接。尽管谷歌和苹果会不断审核应用,但没有哪个审核系统是完美的,每天都有成千上万的新应用上传。
攻击者常用的一个伎俩是重新打包应用程序。他们下载一个合法的应用程序(通常是从……下载的)。 开放源码他们修改代码,添加侵入式广告或有害功能,然后重新上传,就好像这是一个全新的应用程序。这样,他们就能利用原设计建立起来的信任,而无需从头开始开发。
社会工程学技巧也经常被使用。 诱导你安装这些 APK:冒充你的银行、你的短信服务商、所谓的 Android 安全警报或“好得难以置信”的优惠信息,所有这些都包含指向下载或虚假系统更新的直接链接。
恶意APK是如何传播的
网络犯罪分子会利用任何可以安装应用程序的渠道。近年来观察到的主要分布向量非常清晰:
- 第三方商店和非官方存储库它们的安全控制措施往往少得多,因此很容易受到感染应用程序的侵害。
- 模仿 Google Play 或 App Store 的虚假应用商店他们抄袭了设计,但从那里下载的所有内容都可能存在危险。
- 通过电子邮件、短信或社交媒体发起的网络钓鱼活动他们会向你发送 APK 的直接链接或欺诈网站,该网站伪装成你的银行、知名公司或重要更新。
- 误导性出版物和广告社交网络、论坛或网站上的链接 下载页面 承诺提供免费付费应用、“高级”版本、游戏作弊码或盗版内容。
甚至连恶意应用也潜入了 Google Play。 这些应用伪装成杀毒软件、浏览器、游戏或加密货币应用。谷歌定期删除数千个此类应用,但总会有一些用户设法安装它们。
最常见的虚假应用和恶意APK类型
并非所有恶意应用程序都会做同样的事情。有些只是令人烦恼,而有些则会让你倾家荡产。以下是根据真实案例列举的最常见的几种类型:
复制品和仿制品(假冒品)
它们是热门应用程序的克隆版,名称几乎相同(只更改一个字母、空格或句号),图标非常相似,并且盗用了屏幕截图。 他们的目标通常是悄悄出现在搜索结果中。 从商店购买并吸引毫无戒心的用户。
重新打包的合法应用程序
他们利用开源或免费应用程序,添加侵入性广告层、跟踪模块,甚至恶意软件,然后重新分发。 它们并非总是在许可层面上属于非法行为。但对用户而言,它们却充斥着广告和风险。
广告机器人和侵略性广告软件
这类应用专门在不该出现广告的地方投放广告: 弹出式屏幕,主屏幕上的横幅广告不断弹出的通知,甚至是重叠的广告,妨碍你正常使用手机。
账单欺诈和隐性收费
某些恶意 APK 可以在未经您同意的情况下拨打高价电话号码、发送高价短信或授权应用内购买。 典型症状是账单金额异常增加。 或者与您不记得的购物相关的信用卡费用。
僵尸网络和设备的秘密使用
你的手机会变成攻击者控制的网络中的另一个“僵尸”。 他们可以将其用于DDoS攻击、加密货币挖矿或发送垃圾邮件。虽然这会消耗资源和数据,但屏幕上不会出现任何异常情况。
敌对内容和下载器
有些应用程序本身并不包含恶意软件,但是 它们用作入口门 在后台下载其他有害应用程序。或者它们包含仇恨言论、极端暴力或不当内容等问题内容。
应用程序内部的网络钓鱼
而不是给你发邮件, 该应用会要求您登录。 在你的银行账户、社交媒体或其他服务上,它会将你重定向到虚假页面。他们就是这样悄无声息地窃取你的用户名和密码的。
移动勒索软件
这种恶意软件会加密您的照片、视频和文档, 屏幕上显示一条勒索信息,要求支付赎金。 重新获得访问权限。在移动设备上,它主要与来源可疑的应用程序有关,例如虚假玩家、游戏或更新。
间谍软件和键盘记录器
他们专注于监视你的通信: 它们可以记录心跳、读取短信和访问通话记录。将您的 GPS 位置、照片甚至其他应用程序(例如银行或社交网络)中的数据发送到远程服务器。
伪装成无害应用程序的木马程序
它们看起来像是简单的游戏、手电筒或星座应用,但它们包含一个隐藏组件,该组件会在后台执行操作,例如让你订阅高级服务或打开通往更多恶意软件的大门。
恶意root或越狱应用程序
并非所有root工具都危险,但很多都是假的。 他们滥用自己的特权 禁用系统安全功能、安装更多恶意软件或完全控制设备。
如何检测是否安装了恶意 APK
在杀毒软件发出任何警告之前,你的手机通常会给出一些线索。 这表明情况不对劲。以下是一些在许多感染病例中反复出现的典型症状:
- 你未曾发出的信息和拨打的电话。您的联系人会收到以您的名义发送的奇怪短信、WhatsApp消息或电子邮件,或者您的通话记录中会出现您不记得的来电。
- 电池突然失效即使没有运行任何大型应用程序,手机也会发热,电量百分比下降得非常快。
- 数据使用量出现异常激增:您的数据流量套餐使用量激增,或者您在设置中看到某个应用在后台使用了大量数据。
- 到处都是弹出式广告。:在主屏幕、浏览器中、以前没有广告的应用程序内,甚至在手机锁定时弹出广告。
- 自发出现的新应用你会看到一些你不记得安装过的应用图标,这些应用的名称通常很普通或很可疑。
- 运行速度非常慢,而且空间不足。手机无响应、死机,可用存储空间无故突然减少。
- 关于“病毒”或“警察罚款”的奇怪警告:全屏消息锁定设备,并要求您付费“解锁”或删除所谓的威胁。
- 杀毒软件停止工作或无法打开。有些恶意APK会试图禁用安全应用程序,使其无法被检测到。
浏览器中也能观察到关键信号。首页或搜索引擎不断变化,出现您不记得安装的工具栏或扩展程序,自动重定向到充满广告的网站,以及您无法轻易关闭的感染警报。
如何在安装 APK 之前分析应用程序
避免感染恶意软件的最佳方法就是避免安装它。点击安装按钮之前,建议您花几秒钟时间回顾一些基本要点:
1. 检查应用程序请求的权限。
从 Google Play 安装应用时,请注意它请求的权限。 如果他们要求接触与工作职责不符的物品,就要提高警惕。例如,一款想要读取你短信的照片编辑器,一款想要访问你联系人的手电筒,或者一款简单的游戏请求管理通话和确切位置的权限。
2. 检查名称、图标和开发者
克隆作品通常通过细节来区分:图标颜色略有不同,名称中字母或空格有所改变,开发者名称与原版非常相似但不完全相同。 务必点击开发者名称。 查看它还发布了哪些其他应用程序,如有必要,在 Google 上搜索以查看其是否合法。
3. 查看发布日期和下载次数
如果一款据说非常受欢迎的应用程序有 下载量很少,或者四天前发布的这事儿有点蹊跷。而且,一个新上传的应用突然获得大量安装量和完美评分,这也十分可疑。
4. 以批判的眼光阅读评论和描述
不要只关注平均成绩。 留意负面评论和反复出现的投诉。 注意广告、不寻常的许可证或异常行为。如果许多好评的写作风格或措辞相同,则可能是虚假的。描述中的拼写错误、翻译生硬或千篇一律的文字也是危险信号。
5. 核实其来源是否为官方渠道
如果您正在寻找特定的应用程序(例如,您的银行或政府机构的应用程序),最可靠的选择是 先访问官方网站。 然后点击链接进入应用商店。避免从随机页面、社交媒体链接或未知应用商店安装 APK 文件。
用于检测恶意应用的 Android 和 iOS 工具
Android 系统内置了一个名为 Google Play Protect 的应用分析系统。 它会在您下载应用之前检查 Play 商店中的应用,并定期扫描您已安装的应用。
检查 Play Protect 是否已启用前往 Google Play 商店,点击右上角的个人头像,然后选择“Play Protect”。在这里,您可以查看上次扫描的时间并手动运行扫描,还可以启用“改进有害应用检测”等高级选项,以便 Google 可以扫描在应用商店之外安装的应用。
如果 Play Protect 检测到可疑情况它通常会自动禁用或移除该应用,或者显示警告提示您自行卸载。日常使用中遇到有害应用的情况很少见,但定期手动扫描一下总是值得的。
iOS 在 App Store 中有自己的评论系统。 原则上,它不允许从官方应用商店以外的渠道安装应用(极少数特殊情况除外)。这大大减少了恶意APK的出现,但并不能完全杜绝欺诈应用漏网的可能性,因此,检查开发者、权限、评价和描述等建议仍然适用。
如果你的手机上已经安装了恶意应用程序,该怎么办?
如果您怀疑自己安装了危险的APK文件 如果你开始注意到以上几种症状,最好迅速采取行动,以尽量减少损失:
1. 卸载可疑应用程序
进入“设置”>“应用程序”,找到有问题的应用程序,然后点击“卸载”。 如果它因为被列为设备管理员而阻止您执行此操作。首先,在“设置”>“安全”>“设备管理员”(或类似路径,具体取决于品牌)中取消选中该选项。
2. 重启设备并运行安全扫描
卸载应用后,请将手机关机再开机。 使用 Play Protect 或您信赖的移动防病毒软件进行扫描。 确保不留下任何痕迹或其他相关应用程序。
3. 考虑将手机恢复出厂设置
如果异常行为持续发生,或者恶意软件特别具有攻击性(例如勒索软件、银行木马等),最安全的做法是备份重要数据。 将设备重置为出厂设置在某些情况下,建议在安全模式下启动,以便在不运行应用程序的情况下将其卸载。
4. 检查您的账户并更改密码
如果你曾经感染过间谍软件、键盘记录器或银行木马,谨慎起见 更改关键服务的密码 (电子邮件、社交媒体、银行账户等)并启用双重验证 (2FA)。您还应该查看银行对账单,确认是否有任何未经授权的消费。
5. 报告并告知申请情况
从您下载它的商店,您可以 举报该应用 这样一来,就可以进行审核,并在必要时将其删除。如果产生了未经授权的费用,最好联系商店客服申请退款,如果涉及付费短信或通话,则还应联系您的移动运营商。
避免未来遭受恶意 APK 攻击的最佳实践
谨慎行事并采取一些技术措施 这大大降低了遭遇恶意应用程序的风险。以下是网络安全组织和业内主要公司共同推荐的关键准则:
- 坚持使用 Google Play 和 App Store 尽可能避免从第三方商店和直接下载,除非你非常清楚自己在做什么。
- 保持操作系统和应用程序更新至最新版本因为新版本修复了安全漏洞,堵住了许多移动恶意软件程序利用的漏洞。
- 不要随意点击短信、电子邮件或社交媒体中的链接。尤其是当他们谈论付款、超值优惠或紧急安全问题时。
- 使用双因素身份验证 (2FA) 在您最敏感的账户中,尤其是那些包含数据或资金的账户(银行账户、主要电子邮件账户、支付服务账户等)。
- 保护对设备的访问 使用较长的PIN码、复杂的图案或生物特征数据(指纹、面部识别)以及 为应用程序设置密码 为了防止盗窃,增加获取赃物的难度。
- 进行定期备份 将数据保存在云端或外部存储设备中,以便在勒索软件或严重故障导致手机无法使用时可以恢复数据,并考虑以下因素: 隐藏文件的应用程序 作为额外的保护层。
- 考虑安装一款公认的移动安全解决方案 它与 Play Protect 相辅相成,增加了针对间谍软件、木马和网络钓鱼的多层保护。
连接公共 WiFi 网络时,请使用可靠的 VPN 它还增加了安全点,而且 更改手机上的 DNS 设置 在某些情况下,它可以帮助阻止恶意域名。
口袋里装着数百万个应用程序,这需要一定的批判性思维。检查你的下载来源、你授予权限的对象,以及安装新应用后手机出现的症状。养成良好的习惯,正确配置 Play Protect,如果需要,还可以安装一款优秀的手机杀毒软件,恶意 APK 就很难让你措手不及。
