間諜軟體可暗中追蹤您在裝置上進行的所有活動,從瀏覽網路到敏感交易。如果間諜軟體最終進入您的 Android 手機,您可能會將您的登入憑據及財務資訊直接發送給網絡罪犯。瞭解如何偵測及清除 Android 裝置上的間諜軟體。
甚麼是間諜軟體?
間諜軟體是一種惡意軟體,可在您不知情的情況下監控您的線上活動。其可收集有關您的敏感資訊,例如登入詳細資料、位置、銀行及信用卡詳細資料、訊息、私人照片及瀏覽記錄等。通常情況下,駭客會利用此敏感資訊獲取經濟收益。
間諜軟體有多種不同類型,每種均專用於執行某種特定任務。這些類型包括:
- 密碼竊取器
- 鍵盤側錄木馬程式
- 錄音和錄影間諜軟體
- 資訊竊取器
- Cookie 追蹤器
- 理財木馬程式
間諜軟體為何如此危險?
所有惡意軟體都帶來威脅。間諜軟體隱藏於您的裝置中,在您不知情的情況下存取您的個人資訊,尤為危險。駭客使用其憑藉間諜軟體發掘的資料,從事身份竊取、欺詐等犯罪活動。
間諜軟體通常涉及高級別的監控。例如,視 Android 裝置上的間諜軟體類型而定,其或許能夠透過您的裝置錄製語音或影片,或追蹤您的瀏覽記錄或實際位置。鍵盤側錄木馬程式甚至能夠記錄您輸入的一切。
另一種間諜軟體為「追蹤軟體」,這是指您所認識的人未經您的許可或在您不知情的情況下在您的裝置上安裝間諜應用程式。這些類型的應用程式可能會被妒忌的伴侶、多疑的僱主或過度焦慮的父母所使用。追蹤軟體不同於其他類型的間諜軟體,其不會將您的資料傳送給未知的網絡罪犯,而是傳送給您熟識的人。這是因為攻擊者需要實際存取個人賬戶,並從個人賬戶中查看從受害者裝置獲取的資料。追蹤軟體可被用作敲詐、勒索或作為家庭暴力或虐待的工具。
間諜軟體來自何處?
間諜軟體可透過多種方式最終進入您的 Android 手機,包括:
您無意中下載了一種惡意應用程式
儘管 Google 對允許進入 Play Store 的應用程式設有審查流程,但有時惡意軟體亦可逃過審查。
您成為網絡釣魚欺詐的受害者
在利用電子郵件或短訊的網絡釣魚欺詐中,網絡罪犯冒充合法公司或認識的聯絡人,欺騙受害者下載惡意檔案或披露個人資訊。
有人下載追蹤軟體到您的裝置
追蹤軟體通常由能夠實際存取您裝置的人士安裝。其或會在您的手機上安裝追蹤軟體,以追蹤您的位置、監控您的網上活動、錄製您的通話及存取即時通訊程式中的通訊。這可能還包括追蹤軟體和記錄所有輸入內容的鍵盤側錄木馬程式。
間諜軟體示例
駭客不斷設計出新的間諜軟體。以下是近年較為惹人注意的幾個示例:
RatMilad,2022 年
在中東,人們發現了一種名為 RatMilad 的全新 Android 間諜軟體專門針對行動裝置,用於監視受害者及竊取資料。研究人員警告稱,此惡意軟體可能被用作網絡間諜活動、敲詐勒索或竊聽受害者的談話。
此間諜軟體是透過稱作「NumRent」的假冒虛擬號碼生成器分發的,該生成器用於激活社交媒體賬戶。安裝後,此應用程式即請求風險權限,然後濫用該等權限以側向加載惡意的 RatMilad 負載。
假冒應用程式的主要分發管道為 Telegram,原因在於 NumRent 或其他攜帶 RatMilad 的木馬程式在 Google Play Store 或第三方店鋪中均不予提供。RatMilad 威脅行為者還建立專用網站,以推廣行動裝置遙距存取木馬程式 (RAT),使應用程式看起來更具說服力。此網站在 Telegram 等社交媒體平台上推廣。
FurBall,2022 年
在駭客組織 Domestic Kitten(亦稱為 APT-C-50)進行的手機監控活動中,一種新版的 FurBall Android 間諜軟體被發現用於監控伊朗居民。此間諜軟體被部署用於一場至少自 2016 年起便在進行的大規模監控行動中。
研究人員對最新版 FurBall 惡意軟體進行了抽樣分析,據稱其與早期版本有很多相似之處,但具備最新的混淆功能。此版本 FurBall 是透過在外觀上克隆真實網站的假冒網站進行分發,而受害者透過單擊私信、社交媒體貼文、電子郵件、短訊中的連結或透過不道德的搜索引擎優化 (SEO) 技術陷入其中。
PhoneSpy,2021 年
2021 年,研究人員在南韓發現一種影響 Android 裝置的間諜軟體應用程式。此惡意程式稱為 PhoneSpy,偽裝為常見應用程式,以便獲取受感染裝置的存取權限,從而竊取資料及進行遙距控制。此間諜軟體估計已感染超過 1,000 台 Android 裝置。
PhoneSpy 出現在看似正當的應用程式中,如瑜伽、影片串流及即時通訊應用程式。由於該等應用程式不在 Google Play Store 中,研究人員認為,該惡意軟體是透過攻擊者藉由社會工程及網絡釣魚技術共享的其他第三方平台分發的。
GravityRAT,2020 年
2018 年,研究人員發現一種稱為 GravityRAT 的間諜軟體,專門用於針對印度武裝部隊。其先前主要針對 Windows 裝置,後於 2018 年發生變動,Android 裝置亦成為其目標。
2019 年,我們在 VirusTotal 上遇到一種 Android 間諜軟體,其連接至 GravityRAT。網絡罪犯為一種名為 Travel Mate 的 Android 應用程式(供前往印度的人士使用)新增了一個間諜模塊。攻擊者利用了該應用程式於 2018 年在 Github 上發佈的一個版本,新增了惡意代碼,同時改名為 Travel Mate Pro。
如何偵測 Android 手機上的間諜軟體
那麼,怎樣知道手機上是否有間諜軟體呢?間諜軟體採用隱藏式設計,這使其很難偵測。然而,各種感染跡象可協助您找到 Android 裝置上的間諜軟體。這些跡象包括:
速度和性能下降
即使沒有運行占用較高的應用程式,您的手機仍表現遲緩。應用程式無響應或需要更長時間加載,作業系統似乎有問題,且裝置整體響應更慢。
電量和流量消耗更快
間諜軟體在後台悄悄運行,企圖保持隱匿,但其在此過程中大量消耗額外的電量和流量(在您未使用
Wi-Fi 時)。這可導致手機賬單增加或手機電量消耗明顯快於平常。
全新或不同的應用程式或設定
您注意到陌生的手機活動,例如,您不記得安裝過的應用程式(包括隱藏的
Android 應用程式)或被更改的設定(如新的主頁)。
持續過熱
正常使用手機會導致一定程度的發熱,但惡意軟體會導致手機比往常過熱很多。
來路不明的廣告和彈出視窗
間諜軟體有時會與廣告軟體捆綁。如果您發現裝置上存在隨機彈出視窗,對使用者體驗產生不利影響,這可能表明存在間諜軟體。
難以存取受密碼保護的應用程式及網頁
某些類型的間諜軟體或會在您嘗試登入某些網站時使用假冒的瀏覽器。其隨後收集您的登入資訊並在您不知情的情況下將其傳送至第三方(直至為時已晚)。
反惡意軟體的軟體被禁用
如果您通常用於幫助掃描手機是否存在間諜軟體的工具突然無法正常使用,這可能意味著您的裝置已經被感染。捆綁的惡意軟體可能攻擊系統的不同方面,控制系統的最佳方式是清除專門用於阻止它的程式。
奇怪的短訊及電子郵件
目標裝置可能會收到短訊及電子郵件,專門用於騙其手動安裝間諜軟體。這些訊息可能採用連結、代碼或符號等形式。這些代碼可能偽裝為身份認證代碼,以獲取您的社交媒體賬戶的存取權限。訊息亦可能會偽裝為似乎來自您所信任的聯絡人。如果您收到奇怪的短訊、社交媒體訊息或電子郵件,這可能是間諜軟體企圖感染装置的一種警示信號。您應將其刪除,而不單擊任何連結或下載任何檔案。
通話期間的雜聲
信號不好可能偶爾會導致在通話時聽到靜電或蜂鳴噪聲。但這不總是因為信號,有時產生這些聲音,可能是您的電話在被間諜軟體竊聽或錄音。
異常行為
如果您的手機突然休眠或喚醒、隨機重啟,或難以關機,您的裝置可能存在間諜軟體或其他惡意軟體。
如何清除 Android 裝置上的間諜軟體
清除 Android 裝置上的間諜軟體有多種選項。這些選項包括:
選項 1:透過 Android 手機設定查找間諜軟體
您可透過查看 Android 手機上的手機設定,查找間諜軟體活動的痕跡。
-
首先,重啟手機至安全模式。安全模式可防止所有第三方應用程式運行,您將能夠確認手機上的奇怪行為由間諜軟體造成,而非其他問題。如需執行此行動:
- 按下手機電源鍵,即可看到關機及重啟選項。(請注意,部分所需按鍵及指示燈位置可能因裝置型號及 Android 版本而異)。
- 長按關機選項,重啟至安全模式選項將會出現。點擊確定。
- 您應該能夠透過左下方的指示看到您處於安全模式。
- 然後,開啟設定應用程式。
- 單擊應用或應用程式,視裝置所用詞語而定。
- 單擊螢幕右上角的漢堡菜單或三個豎點。
- 單擊顯示系統流程或顯示系統應用程式。
- 查看顯示的應用程式列表,查找任何可疑或陌生的應用程式。
- 卸載您在 Android 裝置上發現的任何隱藏的間諜手機應用程式。
選項 2:透過下載資料夾查找間諜軟體
檢查下載資料夾可協助查找任何追蹤軟體及使用者明確並未下載的可疑檔案。如需執行此行動(亦需在安全模式下):
- 開啟我的檔案或檔案應用程式。
- 單擊下載。此資料夾包含先前在裝置上下載的所有檔案,不論檔案類型或格式。
- 查看列表,確認是否有任何您不記得下載過的看似可疑的檔案或應用程式。如果不確定,在 Google 中搜尋該應用程式的名稱,確認其他人是否發現與其有關的問題。
- 繼續單擊卸載將其刪除,即可予以清除。
請注意,有些應用程式可能具有裝置管理員權限,阻止您將其卸載。在這種情況下,您將需要移除該權限。此流程因您所使用的手機類型以及 Android 版本而異,但通常需要導航至設定 > 安全 > 進階 > 裝置管理員。
- 從具有裝置管理員權限的應用程式列表中,取消勾選惡意應用程式旁的方框。這也是檢查是否有任何其他可疑應用程式具備該等權限的絕佳機會,如有,亦可將其清除。
- 從彈出列表中,點擊停用此裝置管理員應用程式。
- 返回至應用程式列表。現在可卸載之前無法卸載的應用程式以及其他任何看似可疑的應用程式。
- 重啟手機,以正常模式開機,然後試一下。
希望這樣將會清除間諜軟體,讓您的手機恢復正常使用。
選項 3:透過 Android 間諜軟體掃描查找間諜軟體
要查找 Android 裝置上的間諜軟體,使用防毒軟體是最快且可能最好的方法。以下是相關步驟:
- 確保所使用的防毒軟體安全、合法且與裝置相容。
- 掃描您的 Android 裝置。使用專用應用程式掃描手機時,您更有可能偵測到間諜軟體。
- 繼續操作以刪除間諜軟體。防毒程式可自動完成此步驟或提示您同意刪除。
如果所有辦法均無法解決您手機的問題,那麼最後選項是恢復出廠設定。
選項 4:恢復出廠設定
如果以上選項均沒有用,您可恢復出廠設定。恢復出廠設定將刪除手機上包括間諜軟體在內的所有資料。在此之前,請務必備份手機,以免丟失應用程式、照片及其他資料。您將需要恢復手機至開始出現間諜軟體問題之前的備份。
如需清理裝置並將其恢復至預設出廠設定:
- 導航至設定 > 系統 > 重設選項。
- 視所用手機而定,點擊出廠資料重設或擦除全部資料(恢復出廠設定)。
- 點擊重設裝置進行確認。
- 手機將要求您輸入密碼或 PIN 進行確認。
- 刪除及重設需要花費一些時間,隨後手機將重啟,如同全新裝置一樣。
手機將詢問您是重新開始還是從備份中恢復。如選擇備份,請謹慎選擇手機開始出現問題之前的備份(換而言之,間諜軟體將不會重新安裝)。
將間諜軟體從 Android 裝置上清除後,後續應採取的步驟包括:
- 清除瀏覽器緩存
- 變更所有重要賬戶的密碼
- 在裝置及賬戶(如有)上啟用雙因素身份認證 (2FA)
關於追蹤軟體的提示
對於追蹤軟體,如果受害人的裝置進行清理,一些操作員就會收到提示。如果您感覺擅自修改裝置可能會危及您的人身安全,切勿這麼做。相反,請聯絡支援機構或必要時聯絡執法部門。
保護 Android 手機免受間諜軟體非法入侵
以下是保護手機免受間諜軟體非法入侵的一些可操作步驟:
對網絡釣魚攻擊保持警惕
如果您收到無法確定的短訊或電子郵件,請勿開啟。如果您已開啟,請勿開啟任何附件或點擊電子郵件中的任何連結。
定期變更密碼
間諜軟體旨在收集敏感資訊,如手機上的銀行應用程式登入詳細資料。定期變更該等登入詳細資料,可確保即使駭客以某種方式存取您資料,等其選擇使用時可能已經過時(假設彼時您已清除裝置上的間諜軟體)。
僅瀏覽安全網站
在單擊網址連結之前,請仔細檢查。安全且經核驗的網址通常以 HTTPS
開始——S 代表「安全」,表明該網站已獲得最新安全證書。
確保手機的安全
如果追蹤軟體已安裝在您的手機上,您的裝置極有可能被解鎖、無保護或螢幕鎖被猜中或破解。較強的鎖屏密碼有助於保護手機免受潛在追蹤者非法入侵。您還應盡可能使用雙因素身份認證保護您的電子郵件及其他線上賬戶。限制他人實際存取您的裝置,包括開啟人臉識別或指紋登入,即便手機丟失或被盜竊,也會增加他人解鎖您的手機的難度。
將手機更新至最新版本
定期更新 Android
裝置至最新版本。定期更新手機作業系統將確保裝置獲得最新安全更新,使攻擊者更加難以入侵您的裝置。
避免下載可疑應用程式
盜版 Android
應用程式常常出現在第三方站點。不論該等應用程式看上去多麼誘人,由於其有時嵌入間諜軟體,因此,對於該等應用程式千萬要抵制誘惑,拒絕下載。安全起見,最好僅在
Google Play Store 或經官方核驗的網站進行下載,但 Google
Play Store 亦容易受惡意軟體影響,因此須對其保持警惕。
避免單擊彈出廣告
有些彈出視窗許諾現金或免費物品或存在其他好的令人難以置信的說辭,可能包含間諜軟體或其他形式的惡意軟體。警惕您所單擊的位置。
使用防毒軟體
防毒軟體不僅可掃描並清除間諜軟體,而且還能封鎖間諜軟體,從一開始便阻止其進入您的
Android
手機。當裝置暴露於威脅時,防毒軟體可提示您離開相關網站或取消正在進行的下載。或者,其可封鎖來自該等站點的有害資料,或阻止您下載可疑檔案。
相關產品: