如何偵測並移除 Android 手機中的間諜軟體?
在裝置上,無論您是瀏覽網際網路還是進行敏感交易,間諜軟體都會暗中追蹤您的一舉一動。如果您的 Android 手機感染了間諜軟體,您的登入憑證以及財務資訊很可能會被直接傳送給網路犯罪者。了解如何偵測並移除 Android 裝置上的間諜軟體。
什麼是間諜軟體?
間諜軟體是一種惡意軟體,可在您不知情的情況下,監視您的線上活動。它可收集關於您的敏感資訊,例如登入資料、所在位置、銀行與信用卡資料、簡訊、私人相片以及瀏覽記錄。駭客通常會利用這些敏感資訊來謀取金錢利益。
間諜軟體有多種類型,每種都專用於執行特定任務。這些包括:
- 密碼竊取器
- 鍵盤側錄木馬程式
- 錄音與錄影間諜軟體
- 資訊竊取器
- Cookie 追蹤器
- 網銀木馬程式
為什麼間諜軟體如此危險?
所有惡意軟體都代表著威脅。但其中的間諜軟體尤其危險,因為它們會隱藏於您的裝置之中,在您不知情的情況下存取您的個人資訊。駭客會利用透過間諜軟體得到的資料,從事身分盜用、詐騙和其他犯罪活動。
間諜軟體通常涉及高度監控。例如,Android 上的間諜軟體其依所屬類型,可能會透過您的裝置錄音或錄影,或是追蹤您的瀏覽記錄或實體位置。鍵盤側錄木馬程式甚至能記錄您輸入的所有內容。
還有一種形式的間諜軟體稱為「跟蹤軟體」,這涉及您認識的人未經您的許可或在您不知情的情況下,在您的裝置上安裝間諜應用程式。會利用這類應用程式的人有很多,諸如吃醋的伴侶、多疑的雇主或過度擔心的家長。不同於其他類型的間諜軟體,跟蹤軟體並不會將您的資料傳送給不明的網路犯罪者,而是傳送給您認識的人。這是因為攻擊者需要實際存取個人帳戶,以便查看從受害者的裝置接收到的資料。跟蹤軟體可被用作敲詐、勒索或作為家庭暴力或虐待的工具。
間諜軟體可能來自何處?
間諜軟體可透過各種不同方式進入您的 Android 手機,包括:
您無意中下載了惡意應用程式
雖然 Google 針對要在 Play 商店上架的應用程式設有審查程序,但有時還是會有一些惡意軟體未被檢查出來。
您成為網路釣魚詐騙的受害者
在以電子郵件或簡訊進行的網絡釣魚詐騙中,網路犯罪者會冒充合法公司或認識的人,欺騙受害者下載惡意檔案或披露個人資訊。
有人下載跟蹤軟體到您的裝置
跟蹤軟體通常是由可實際存取您裝置的人所安裝。他們會在您的手機上安裝跟蹤軟體,可能是為了追蹤您的位置、監控您的線上活動、記錄您的通話,以及存取即時通訊工具中的通訊內容。因此,會安裝的除了有跟蹤軟體,可能還有記錄您所有輸入內容的鍵盤側錄木馬程式。
間諜軟體案例
無論何時,都有駭客在製造新的間諜軟體。以下是近年一些較為引人注目的案例:
2022 年的 RatMilad
在中東發現一款名為 RatMilad 的新 Android 間諜軟體,其以行動裝置為目標,被用於監視受害者並竊取資料。研究人員警告該惡意軟體可能被用於網路間諜活動、敲詐勒索或是竊聽受害者的對話。
該間諜軟體的散布管道,是一款假的社群媒體帳戶虛擬驗證編號產生器,名為「NumRent」。該應用程式一經安裝,即會要求高風險權限,然後濫用這些權限來側載惡意的 RatMilad 內容。
該假應用程式的主要散布來源為 Telegram,因為 NumRent(或其他攜帶 RatMilad 的木馬程式)無法在 Google Play 商店或第三方商店上架。RatMilad 威脅行為者還建立了專門的網站來推廣該行動版遠端存取木馬程式 (RAT),使該應用程式看起來更具說服力。此網站是在 Telegram 和其他社群媒體平台上受到推廣。
2022 年的 FurBall
FurBall Android 間諜軟體有個新版本被發現在駭客組織 Domestic Kitten(亦稱為 APT-C-50)主導的手機監視活動中用於監視伊朗公民。該間諜軟體最初是在一個大規模監視行動中部署,而該監視行動至少始於 2016 年。
研究人員對最新版的 FurBall 惡意軟體進行抽樣分析後,報告其與早期版本有諸多相同之處,但具備最新的混淆功能。此版本的 FurBall 的散布管道為受害者點選私訊、社群媒體貼文、電子郵件與簡訊中的連結,或是點選不道德的 SEO 技術所帶出的連結後,所進入外觀與正版網站無異的假冒網站。
2021 年的 PhoneSpy
2021 年,研究人員在南韓發現一款影響 Android 裝置的間諜軟體應用程式。此惡意程式名為 PhoneSpy,偽裝成一般應用程式來獲取受感染機器的存取權限,進而竊取資料及進行遠端控制。此間諜軟體估計已感染超過 1,000 台 Android 裝置。
PhoneSpy 被發現於看似正當的應用程式中,例如瑜伽、影音串流和通訊應用程式。由於這些應用程式並不在 Google Play 商店上,研究人員認為該惡意軟體的散布管道為攻擊者透過社交工程和網路釣魚技術分享的其他第三方平台。
2020 年的 GravityRAT
2018 年,研究人員發現一款專門以印度武裝部隊為對象的間諜軟體,名為 GravityRAT。其原本主要以 Windows 電腦為對象,後於 2018 年有了改變,亦以 Android 裝置為對象。
2019 年,我們在 VirusTotal 遇到一款會連到 GravityRAT 的 Android 間諜軟體。網路犯罪者在一款名為 Travel Mate 的 Android 應用程式中,新增了一個間諜模組來供前往印度的旅客使用。攻擊者是在該應用程式於 2018 年在 Github 上發布的一個版本中,新增惡意程式碼並改名為 Travel Mate Pro。
如何偵測 Android 手機上的間諜軟體
那麼,您要如何才能知道自己手機上是否有間諜軟體?間諜軟體的設計是要保持隱匿,因此難以偵測。不過,如果您的 Android 裝置上有間諜軟體,或許能透過一些端倪將它揪出來。這些包括:
速度和效能低落
手機執行速度似乎很緩慢,即使未執行大量應用程式也一樣。應用程式沒有回應或載入時間更長、作業系統似乎經常出錯,而裝置整體回應速度變慢。
電量和行動數據消耗更快
為了保持隱匿,間諜軟體會在背景默默執行,但過程中會大量消耗電量以及行動數據(當您未使用
Wi-Fi
時)。這可能會導致手機賬單費用變高,或是手機電量比平常明顯消耗更快。
有新的或不同的應用程式或設定
手機上出現您不記得做過的活動。例如,您不記得安裝的應用程式(包括隱藏的
Android 應用程式)或變更的設定(例如新的首頁)。
持續過熱
手機在正常使用的情況下確實會有些熱,但惡意軟體可能會讓您的手機比平常熱得多。
來路不明的廣告和彈出視窗
部分間諜軟體會綁定廣告軟體。如果您注意到裝置上會隨機彈出視窗而干擾到使用者體驗,就表示可能有間諜軟體。
難以存取設有密碼保護的應用程式與網頁
某些類型的間諜軟體會在您嘗試登入某些網站時,啟動假冒的瀏覽器。於是,您的登入資訊便為其所收集並傳送給第三方,等到您發現問題時為時已晚。
停用惡意軟體防護軟體
如果手機上平時用來掃描間諜軟體的工具突然不能用,這可能表示該裝置已被感染。綁定的惡意軟體可攻擊系統的不同層面,因此奪回主控權的最佳方法,便是擺脫專門設計的程式來加以阻止。
奇怪的簡訊和電子郵件
被當成目標的裝置,可能會收到誘騙人手動安裝間諜軟體的簡訊和電子郵件。這些訊息可能會採取連結、代碼或符號的形式。這類代碼可能會偽裝成存取您社群媒體帳戶所需的驗證碼。這些訊息也可能會偽裝成來自您信任的聯絡人。如果您發現收到奇怪的簡訊、社群媒體訊息或電子郵件,這可能是有有心人士企圖用間諜軟體感染您裝置的警訊。您應該立即加以刪除,而不要點選其中任何連結或下載其中任何檔案。
通話時有噪音
您在通話時聽到訊號噪音或蜂鳴聲,有時確實可能是因為訊號差的關係。但這並不總是訊號差所致。這些聲音有時可能是間諜軟體對您手機進行竊聽或錄音而產生。
異常行為
如果您的手機會突然休眠或喚醒、隨機重新啟動,或難以關機,則該裝置上可能有間諜軟體或其他惡意軟體。
如何移除 Android 中的間諜軟體
要移除 Android 中的間諜軟體,有多種方式可選擇。這些包括:
選擇 1:透過 Android 手機設定揪出間諜軟體
您可透過查看 Android 手機上的手機設定,找出間諜軟體活動的痕跡。
-
首先,以安全模式重新啟動手機。安全模式會防止所有第三方應用程式執行,因此您可透過這個方式,確認手機的異常行為是來自間諜軟體而非其他問題。若要這麼做,請:
- 按住手機電源鍵,直到看見關機及重啟選項。(請注意,部分按鍵及指示器位置可能會因裝置型號和 Android 版本而異)。
- 長按關機選項,重新啟動進入安全模式選項即會出現。點選確定。
- 左下角應該會有文字,表示手機已處於安全模式。
- 接著,啟動設定應用程式。
- 點選應用或應用程式(視裝置所用詞語而定)。
- 點選畫面右上角的三橫線選單或垂直排列的三個圓點。
- 點選顯示系統程序或顯示系統應用程式。
- 查看顯示的應用程式清單,看看是否有任何可疑或陌生的應用程式。
- 將您發現 Android 裝置上隱藏的任何間諜手機應用程式解除安裝。
選擇 2:透過下載資料夾揪出間諜軟體
檢查下載資料夾,有助於揪出使用者絕對未下載的任何跟蹤軟體和可疑檔案。若要這麼做,請同樣在安全模式下:
- 啟動我的檔案或檔案應用程式。
- 點選下載。此資料夾包含先前下載到裝置上的所有檔案(無論類型或格式為何)。
- 查看清單,看看是否有看起來可疑的檔案或您不記得下載過的應用程式。如果不確定,請在 Google 中搜尋該應用程式的名稱,看看是否有他人發現該應用程式有問題。
- 繼續加以刪除,也就是點選解除安裝來加以移除。
請注意,有些應用程式可能具有裝置管理員權限,導致您無法將其解除安裝。若是如此,您需要移除這些權限。該程序視手機類型和 Android 版本而異,但通常需要瀏覽至設定 > 安全性 > 進階 > 裝置管理員。
- 在具有裝置管理員權限的應用程式清單中,取消勾選惡意應用程式旁邊的方框。這也是檢查是否有任何其他可疑應用程式具有這些權限的好機會;如果有的話,請一併刪除。
- 在彈出的清單中,點選停用這個裝置管理員應用程式。
- 返回應用程式清單。現在,您可以解除安裝之前無法解除安裝和任何其他看起來可疑的應用程式。
- 以正常模式重新啟動手機,然後測試看看。
希望如此就能將間諜軟體移除,讓手機正常運作。
選擇 3:透過對 Android 進行間諜軟體掃描揪出間諜軟體
使用防毒軟體是揪出 Android 裝置上的間諜軟體最快、且可能最好的方法。相關步驟如下:
- 確定您已在使用安全、合法且與您裝置相容的防毒軟體。
- 對您的 Android 裝置執行掃描。使用專門的應用程式對手機進行間諜軟體掃描時,偵測到間諜軟體的機會會高許多。
- 繼續刪除間諜軟體。防毒程式可能會自動執行這個動作,或是提示您核准刪除。
如果以上方法都無法解決手機問題,那麼您最後一個選擇便是恢復原廠設定。
選擇 4:恢復原廠設定
如果以上方法都無效,您可以恢復原廠設定。恢復原廠設定會刪除手機上的所有資料,包括間諜軟體在內。執行這項操作之前,請務必先備份手機,以免遺失應用程式、相片和其他資料。您將需要把手機還原到開始遇到間諜軟體問題之前的備份。
若要清空裝置上的所有資料,使裝置回復到預設原廠設定:
- 瀏覽至設定 > 系統 > 重設選項。
- 視您的手機而定,點選恢復原廠設定或清除所有資料(恢復原廠設定)。
- 點選重設裝置表示確認。
- 手機將要求您輸入密碼或 PIN 碼表示確認。
- 手機將花費一些時間刪除所有資料並重設環境,隨後便會重新啟動成跟新裝置一樣的環境。
手機將詢問您是要重新開始使用,還是從備份還原。如果選擇使用備份,請謹慎選擇手機開始出現問題之前的備份(以免又重新安裝到間諜軟體)。
移除 Android 中的間諜軟體後,您還應進一步採取的步驟包括:
- 清除瀏覽器快取
- 變更所有重要帳戶的密碼
- 在提供雙重因素驗證 (2FA) 機制的裝置及帳戶中啟用該機制
關於跟蹤軟體的注意事項
對於跟蹤軟體,有些操作者會收到警告,表示受害者裝置已被清除。如果您認為更動裝置可能會導致您的人身安全遭遇危險,切勿這麼做。請改為聯絡支援機構,必要時甚至聯絡執法部門。
保護 Android 手機不被間諜軟體感染
以下為您可採取的一些步驟,以保護自己的手機不被間諜軟體感染:
時時提防網路釣魚攻擊
如果您收到您無法確定的簡訊或電子郵件,請勿開啟。如果已開啟,切勿點開電子郵件中的任何附件或連結。
定期變更密碼
間諜軟體是為了收集敏感資訊(例如手機上網銀應用程式的登入資料)而設計。定期變更這些登入資料,可確保即使駭客成功取得您的資料,日後當他們要使用這些資料時,這些資料也可能已經過時(前提是您已移除裝置中的間諜軟體)。
僅瀏覽安全的網站
點選網站連結之前,請先謹慎加以檢查。安全、經驗證的網站連結通常會以 HTTPS
開頭,其中 S 代表「安全」,表示網站具有最新的安全憑證。
確定手機安全無虞
如果您的手機上被安裝跟蹤軟體,那麼該手機有很高機率已被解鎖、解除保護,或是螢幕鎖定密碼已被猜到或獲悉。強度更高的螢幕鎖定密碼將有助於保護您的手機不被潛在跟蹤者破解。您還應盡可能使用雙重因素驗證機制,保護您的電子郵件與其他線上帳戶。對您裝置的實際存取設下限制,包括使用人臉辨識或指紋登入,如此即使手機遺失或被盜,也會增加他人解鎖您手機的難度。
將手機保持在最新版本
定期將您的 Android
更新到最新版本。定期更新手機的作業系統,將可確保裝置享有最新安全更新,讓攻擊者更難以滲透您的裝置。
避免下載可疑的應用程式
在第三方網站上,並不難見到盜版 Android
應用程式。無論這類應用程式看起來多麼誘人,都請克制下載它們的欲望,因為它們有時會嵌入間諜軟體。為了安全起見,您最好僅從
Google Play 商店或經官方驗證的網站下載應用程式,但即便如此仍要小心,因為
Google
Play 商店仍有可能未檢查出惡意軟體。
避免點選彈出式廣告
那些許諾提供現金或免費物品或其他好到令人難以置信的福利的彈出式廣告,可能含有間諜軟體或其他形式的惡意軟體。點選前,務必先看清要點選之處不是彈出式廣告。
使用防毒軟體
防毒軟體不僅會掃描並移除間諜軟體,還會一開始就阻止間諜軟體進入您的
Android
手機。當您的裝置暴露於威脅下時,防毒軟體會警示您離開網站或是取消正在進行的下載。它還會擋下來自這類網站的有害資料,或是阻止您下載可疑檔案。
相關產品:
如何偵測並移除 Android 手機中的間諜軟體?
Kaspersky
