跳到主体内容

如何检测并移除安卓手机上的间谍软件

一名在看手机的男士

间谍软件会秘密跟踪您在设备上的一切活动,包括浏览互联网和操作敏感交易。如果间谍软件最终进入您的安卓手机,您可能会直接将自己的登录凭证和财务信息发送给网络犯罪分子。了解如何检测和移除安卓设备上的间谍软件。

什么是间谍软件?

间谍软件是一种恶意软件,可以在您毫不知情的情况下监视您的在线活动。它会收集有关您的敏感信息,例如登录详细信息、位置、银行和信用卡详细信息、消息、私人照片和浏览历史记录。黑客通常会利用这些敏感信息谋取经济利益。

间谍软件有不同类型,每种都用于执行特定的任务。这些包括:

  • 密码窃取程序
  • 键盘记录器
  • 录音录像间谍软件
  • 信息窃取程序
  • Cookie 跟踪程序
  • 银行木马

间谍软件为何如此危险?

所有恶意软件都会带来威胁。间谍软件隐藏在您的设备中,在您毫不知情的情况下访问您的个人信息,尤其暗藏危险。黑客利用他们通过间谍软件窃取的数据,实施身份盗用、欺诈等犯罪。

间谍软件通常涉及高级别的监视。例如,根据安卓设备上间谍软件的类型,它或许能够通过您的设备录制音频或视频、跟踪您的浏览历史记录或实际位置。键盘记录器甚至可以记录您键入的所有内容。

另一种形式的间谍软件是“跟踪软件”,这是指您认识的人在未经您许可或您不知情的情况下在您的设备上安装间谍应用程序。嫉妒心强的伴侣、多疑的雇主或过度焦虑的父母都可能使用这些类型的应用程序。跟踪软件不同于其他类型的间谍软件,它不会将您的数据发送给不认识的网络犯罪分子,而是发送给您认识的人。这是因为攻击者需要实际访问受害者的个人账户,从中查看从受害者设备接收到的数据。跟踪软件被用于敲诈勒索,或作为家庭暴力或虐待的工具。

间谍软件来自哪里?

间谍软件可能会以各种方式最终进入您的安卓手机,包括:

您无意中下载了一款恶意应用程序
虽然 Google 对允许进入 Play Store 的应用程序会执行审查程序,但有时恶意软件会躲过审查。

您成为网络钓鱼诈骗的受害者
在以电子邮件或短信为媒介的网络钓鱼诈骗中,网络犯罪分子会冒充合法公司或认识的联系人,诱骗受害者下载恶意文件或透露个人信息。

有人将跟踪软件下载到您的设备上
跟踪软件通常是由能够实际访问您设备的人员安装的。他们可能会在您的手机上安装跟踪软件,以跟踪您的位置、监视您的在线活动、记录您的通话,以及访问即时通讯工具中的通信内容。这可能还包括跟踪软件和记录所有输入内容的键盘记录器。

间谍软件示例

黑客不断设计出新的间谍软件。以下是近年来受到广泛关注的间谍软件:

RatMilad,2022 年

在中东,人们发现了一种名为 RatMilad 的新型安卓间谍软件入侵了许多移动设备,用于监视受害者并窃取数据。研究人员警告称,这种恶意软件可能被用于网络间谍活动、敲诈勒索或窃听受害者的对话。

该间谍软件是通过一个名为“NumRent”的虚假虚拟号码生成器分发的,该生成器用于激活社交媒体账户。安装后,该应用程序请求有风险的权限,然后滥用这些权限来侧载恶意的 RatMilad 负载。

虚假应用程序的主要分发渠道是 Telegram,因为 NumRent 或其他携带 RatMilad 的木马无法进入 Google Play Store 或第三方商店。RatMilad 威胁行为者还创建了一个专门的网站来传播移动设备远程访问木马 (RAT),使应用程序看起来更令人信服。该网站在 Telegram 和其他社交媒体平台上进行了推广。

FurBall,2022 年

Domestic Kitten 黑客组织(又称 APT-C-50)被发现使用新版 FurBall 安卓间谍软件,对伊朗公民的移动设备进行监视。该间谍软件被部署用于一场至少自 2016 年起已在进行中的大规模监控行动中。

研究人员对最新版本的 FurBall 恶意软件进行了取样和分析,并在报告中指出,其与早期版本有很多相似之处,但加入了新的混淆功能。此版本的 FurBall 是通过在外观上克隆真实网站的虚假网站进行分发的,受害者会通过点击私信、社交媒体帖子、电子邮件、短信中的链接,或因不道德的搜索引擎优化 (SEO) 策略而遭到入侵。

PhoneSpy,2021 年

2021 年,研究人员在韩国发现了一款攻击安卓设备的间谍软件应用程序。此恶意程序被称为 PhoneSpy,伪装成一款普通的应用程序,以便能够访问受感染的设备,从而窃取数据并实施远程控制。据估计,该间谍软件已经感染超过 1,000 台安卓设备。

PhoneSpy 隐藏在看似合法的应用程序中,如瑜伽、视频流和消息应用程序。由于这些应用程序不在 Google Play Store 中,研究人员认为,该恶意软件是通过攻击者借助社会工程和网络钓鱼手段分享的其他第三方平台分发的。

GravityRAT,2020 年

2018 年,研究人员发现了一种用于攻击印度武装部队的间谍软件,名为 GravityRAT。该间谍软件以前主要针对 Windows 设备,但在 2018 年发生变化,其后开始攻击安卓设备。

2019 年,我们在 VirusTotal 上发现了一种安卓间谍软件,其连接至 GravityRAT。网络犯罪分子在一款名为 Travel Mate 的安卓应用程序(主要面向前往印度的旅客)中添加了一个监视模块。攻击者利用了该应用程序于 2018 年发布在 Github 上的某个版本,添加了恶意代码,同时更名为 Travel Mate Pro。

如何检测安卓手机上的间谍软件

那么,如何知道手机上是否有间谍软件呢?间谍软件是隐藏在手机里的,因此很难检测出来。但可以通过被感染的迹象来找出安卓设备上的间谍软件。这些包括:

速度缓慢和性能下降
即使没有运行占用大量系统资源的应用程序,手机的反应似乎也很迟钝。应用程序卡顿或加载时间变长、操作系统似乎有问题,设备的整体运行速度变慢。

电量和数据流量消耗加快
间谍软件在后台悄悄运行,为的是保持隐蔽,但在这个过程中,它会额外消耗很多电量和数据流量(当您没有接入 Wi-Fi 时)。这可能会导致话费增加或手机电量消耗明显比平时快。

出现新的或不同的应用程序或设置
您注意到手机上出现没有印象的活动,例如您不记得安装过的应用程序(包括隐藏的安卓应用程序)或被更改的设置(比如新的主页)。

持续过热

手机在正常使用时的确会有一定程度的发热,但恶意软件会导致手机比平时热得多。

来路不明的广告和弹出窗口

间谍软件有时会与广告软件捆绑。如果您发现设备上出现了随机弹出窗口,对使用体验产生了不利影响,这可能表明存在间谍软件。

难以访问受密码保护的应用程序和网页
当您尝试登录某些网站时,某些类型的间谍软件可能会使用欺诈性的浏览器。然后,它会收集您的登录信息,并在您毫不知情的情况下发送给第三方(等发现时往往为时已晚)。

反恶意软件的软件被禁用
如果您平常用来扫描手机上间谍软件的工具突然不起作用,这可能意味着您的设备已经被感染。捆绑的恶意软件会攻击系统的不同方面,而接管系统的最好方法是删除旨在阻止它的程序。

奇怪的短信和电子邮件
目标设备可能会收到短信和电子邮件,旨在诱骗用户手动安装间谍软件。这些消息会采用链接、代码或符号等形式。这类代码可能伪装成身份验证代码,以获取您的社交媒体账户的访问权限。消息也可能伪装成似乎来自您信任的联系人。如果您收到了奇怪的短信、社交媒体消息或电子邮件,这可能是间谍软件企图感染设备的警示。您应该立即删除它们,切勿点击任何链接或下载任何文件。

通话时听到噪音
信号不佳偶尔会导致您在通话时听到静电噪声或哔哔声。但这种情况并不一定就是信号不佳造成的。有时,出现这些噪音可能是因为您的通话正被间谍软件窃听或录音。

异常行为
如果您的手机突然休眠或被唤醒、随机重启,或者难以关机,您的设备上可能有间谍软件或其他恶意软件。

正在使用手机的机器人手

如何移除安卓设备上的间谍软件

移除安卓设备上的间谍软件有很多种方法。这些包括:

方法 1:通过安卓手机设置查找间谍软件

您可以通过查看安卓手机上的手机设置来发现间谍软件活动的痕迹。

  • 首先,重启手机进入安全模式。安全模式可防止所有第三方应用程序运行,由此可确认手机的奇怪行为由间谍软件造成,而非其他问题造成。为此,请执行以下操作:

    • 按住手机的电源按钮,即可看到关机和重启选项。(请注意,某些所需的按钮和指示器位置可能因设备型号和安卓版本而异)。
    • 长按“关机”选项,将出现“重启进入安全模式”选项。点击“确定”。
    • 您应该能够通过左下方的指示看到您处于安全模式。
  • 然后,启动“设置”应用程序
  • 点击“应用程序”或“应用”(取决于您的设备使用的术语)。
  • 点击屏幕右上角的汉堡菜单或三个竖点。
  • 点击“显示系统进程”或“显示系统应用程序”。
  • 查看显示的应用程序列表,查找任何可疑或陌生的应用程序。
  • 卸载您在安卓设备上发现的任何隐藏的间谍手机应用程序

方法 2:通过下载文件夹查找间谍软件

检查下载文件夹有助于查找跟踪软件和用户确定并未下载的可疑文件。为此,请执行以下操作(同样在安全模式下):

  1. 启动“我的文件”或“文件”应用程序
  2. 点击“下载”。此文件夹包含以前下载到设备上的任何类型或格式的所有文件。
  3. 查看该列表,看看是否有您不记得下载过的看似可疑的文件或应用程序。如果不确定,用 Google 搜索该应用程序的名称,看看其他人是否发现与它有关的问题。
  4. 继续点击“卸载将其删除,即可将其移除。

请注意,某些应用程序可能具有设备管理员权限,导致您无法卸载。在这种情况下,您需要取消权限。该过程因您的手机类型和安卓版本而异,但通常是进入“设置”>“安全”>“高级”>“设备管理员”。

  • 在具有设备管理员权限的应用程序列表中,取消勾选恶意应用程序旁边的复选框。您也可以借此机会检查是否有其他可疑应用程序具有这类权限,如果有,也一并删除。
  • 在弹出的列表中,点击“停用此设备管理员应用程序”。
  • 返回到应用程序列表。现在,您可以卸载此前无法卸载的应用程序,以及其他看起来可疑的应用程序。
  • 重启手机,开机后进入正常模式,测试一下。

希望这样可以移除间谍软件,让您的手机正常运行。

方法 3:通过安卓间谍软件扫描来查找间谍软件

要查找安卓设备上的间谍软件,使用反病毒软件是最快且可能最有效的方法。相关步骤如下:

  • 确保您使用的反病毒软件安全、合法且与设备兼容
  • 扫描您的安卓设备。使用专门的应用程序扫描手机来查找间谍软件时,您更有可能检测出间谍软件。
  • 继续操作以删除间谍软件。反病毒程序可能会自动删除间谍软件,或提示您同意删除。

如果这些方法都无法解决您的手机问题,最后一个选择就是恢复出厂设置。

方法 4:恢复出厂设置

如果以上方法均不起作用,则可以执行恢复出厂设置。恢复出厂设置将删除手机上的所有数据,包括间谍软件。在恢复出厂设置之前,请确保您已经备份了手机,以避免丢失应用程序、照片和其他数据。您需要将手机恢复到开始出现间谍软件问题之前的备份

要擦除设备并将其恢复到默认出厂设置,请执行以下操作:

  • 进入“设置”>“系统”>“重置”选项
  • 根据您的手机类型,点击“恢复出厂数据”或“擦除所有数据”(恢复出厂设置)
  • 点击“重置设备”进行确认。
  • 手机系统会要求您输入密码或 PIN 码进行确认。
  • 删除和重置所有数据将需要一段时间,然后手机会重启,就像是全新设备一样。

手机系统会询问您是还原成出厂状态还是从备份中恢复。如果您使用备份,请务必选择手机出现问题之前的备份(这样就不会重新安装间谍软件)。

在将安卓设备上的间谍软件移除后,您还应该进一步采取以下措施:

  • 清除浏览器的缓存
  • 更改所有重要账户的密码
  • 在设备和账户(如有)上启用双因素身份验证 (2FA)

关于跟踪软件的说明

对于跟踪软件,如果受害者的设备进行了清理,一些操作人员会收到提醒。如果您觉得这样做可能会危及您的人身安全,请勿对设备进行改动。请联系支持机构或在必要时联系执法部门。

保护安卓手机免受间谍软件攻击

以下是保护手机免受间谍软件攻击的一些步骤:

警惕网络钓鱼企图
如果您收到不确定的短信或电子邮件,切勿点开。如果您已经点开了,则不要打开任何附件或点击电子邮件中提供的任何链接。

定期更改密码
间谍软件意图收集敏感信息,如手机上的银行软件的登录信息。只要定期更改这些登录信息,即便黑客以某种方式访问到您的数据,当他们想使用时,数据也可能已经过时(假设您已经从设备中删除了间谍软件)。

仅浏览安全网站
在点击网站链接之前,请仔细检查。链接如指向安全且经过验证的网站,通常以 HTTPS 开头——S 代表“安全”,表示网站拥有最新的安全证书

确保手机安全
如果您的手机上安装了跟踪软件,您的设备很有可能被解锁、不受保护,或者您的锁屏密码被猜出来或被破解。更强的锁屏密码有助于保护您的手机免受潜在跟踪软件的入侵。您还应该尽可能使用双因素身份验证来保护电子邮件和其他在线账户的安全。限制他人实际访问您的设备,例如启用人脸识别或指纹登录,这样即使手机丢失或被盗,其他人也很难解锁您的手机。

让手机保持最新状态
定期将安卓手机更新到最新版本。定期更新手机操作系统将确保设备获得最新的安全更新,使攻击者更难入侵您的设备。

避免下载可疑应用程序
在第三方网站上找到盗版的安卓应用程序并不难。无论您有多想下载这类应用程序,都要抵制住诱惑,因为它们有时会自带间谍软件。为了安全起见,最好仅下载 Google Play Store 或经过验证的官方网站上的应用程序,但仍要小心, Google Play Store 上也有可能存在恶意软件

避免点击弹出广告
那类许诺免费送现金、礼品,或者其他“天降福利”的弹出窗口可能包含间谍软件或其他形式的恶意软件。注意自己点击的是什么。

使用反病毒软件
反病毒软件不仅可以扫描和移除间谍软件,还能从一开始就阻止间谍软件入侵您的安卓手机。当您的设备受到威胁时,反病毒软件会提醒您离开相关网站或取消正在进行的下载此外,它还可以阻止来自此类网站的有害数据或阻止您下载可疑文件。

相关产品:

延伸阅读:

如何检测并移除安卓手机上的间谍软件

安卓设备上的间谍软件会秘密跟踪您的活动并将您的数据发送给网络犯罪分子。了解如何检测并移除安卓设备上的间谍软件。
Kaspersky logo

相关文章