最近发现的安卓恶意软件 Herodotus 的出现,引发了网络安全领域的广泛关注。该恶意软件采用恶意软件即服务 (MaaS) 模式运行,使得恶意攻击者能够相对轻松地开发和部署它。Herodotus 利用欺骗性策略误导用户并绕过各种安全措施,对设备完整性构成严重威胁。本文将深入探讨 Herodotus 的工作原理、其入侵设备的方式,以及保护您数字生活的关键步骤。
了解希罗多德的写作方式
Herodotus 是一款独具特色的恶意软件,它融合了臭名昭著的 Brokewell 的部分功能,并引入了自身复杂的技术手段。其主要传播方式包括短信钓鱼攻击和诱导用户侧载该应用程序的恶意网页。
安装完成后,该恶意软件会提示用户启用辅助功能服务,并直接引导用户进入设备设置。这一操作允许 Herodotus 执行其恶意任务,主要目的是盗取银行账户资金。
激活后,它会接收定制命令来打开特定应用程序、拦截双因素身份验证 (2FA) 短信、自动填写表单,并通过点击和手势操纵设备输入。
值得注意的是,Herodotus 通过在输入文本时引入 0.3 到 3 秒的随机延迟来模拟人类自然打字。这种策略使其能够绕过许多应用程序部署的行为监控机制的检测,使得标准安全解决方案难以识别威胁。由于它以移动即服务 (MaaS) 的形式提供,多个用户可以访问和使用它,目前已有报告显示 Herodotus 已投入使用七个不同的实例。
希罗多德论预防感染
抵御Herodotus恶意软件的第一道防线是提高警惕和谨慎行事。作为一种银行木马,它会伪装成合法应用程序诱骗用户下载。务必对通过短信或浏览器弹出的、要求安装应用程序的链接保持高度警惕,无论它们声称是安全更新或其他必要应用程序。
正规渠道不会要求您手动安装应用,因为更新通常不需要这样做。请始终从 Google Play 商店或其他可信应用商店获取应用,尤其是在收到看似未经请求或异常的推送通知时。
启用辅助功能服务的请求应立即引起警惕。授予此权限将使恶意软件能够观察和操纵屏幕内容,从而使黑客能够控制您的设备。
此外,请确保已在应用商店中启用 Google Play Protect,因为此功能会自动识别并禁用有害应用。要检查其状态,请打开 Play 商店,点击主菜单中的“Play Protect”,然后确认其已启用。
识别希罗多德感染的迹象
由于 Herodotus 拥有更高的访问权限和干扰行为追踪的能力,普通安全软件可能难以检测到它。如果您怀疑您的安卓设备可能已被入侵,请注意以下警告信号:
- 如果您遇到可疑的全屏提示,敦促您等待,尤其是在启动银行应用程序等敏感应用程序时,这可能表明存在恶意软件活动。
- 未知应用拥有辅助功能权限:访问权限应仅授予受信任的应用。请检查“设置”→“辅助功能”→“已下载的应用”,查看是否存在不熟悉的条目。
- 意外的短信活动:如果您开始收到您不认识的 2FA 短信,或者短信数量意外增加,则您的设备可能已被 Herodotus 入侵。
- 资源占用增加:此恶意软件会运行大量后台进程,可能导致电池异常耗电或系统运行缓慢。请检查“设置”→“电池”,查找任何消耗过多电量的未知应用。
如果您的设备感染了病毒,请采取以下步骤
如果您确认您的设备感染了Herodotus病毒,请立即将手机切换到飞行模式,并按照以下重要步骤操作:
卸载恶意应用程序
您的首要任务是清除恶意软件。由于它拥有较高的权限,传统的卸载方法可能不足以彻底清除。如果您卸载困难,请重新进入辅助功能设置,撤销其权限。
此外,请依次进入“设置”→“隐私保护”→“特殊权限”,确保恶意软件没有“设备管理员”或“显示其他应用”的权限。将设备启动到 Android 安全模式也有助于清除恶意软件。
保护您的在线账户。
立即使用安全设备更改所有在被入侵设备上访问过的账户密码,尤其是银行账户密码。尽可能使用身份验证器应用启用双因素身份验证 (2FA),并通过在线服务的安全设置撤销所有活跃会话。如果发现未经授权的交易,请立即通知您的金融机构。
执行全面安全扫描
卸载恶意应用后,务必进行安全扫描,确保彻底清除所有恶意软件痕迹。首先,如前所述,访问 Google Play 商店中的Play Protect进行扫描。随后,建议下载一款可信赖的杀毒软件,例如Avast Antivirus & Security,对系统进行全面检查。
为了进一步防范希罗多德式的攻击,备份重要数据并恢复出厂设置是明智之举。
预防像Herodotus这样的恶意软件,主要在于仅从Google Play商店下载应用,避免侧载。然而,即使是来自信誉良好的来源的应用也可能被篡改,因此启用所有可用的Android安全功能对于最佳防护至关重要。
发表回复