Android 警报：50 个“玩具”应用程序用顽固恶意软件感染 230 万部手机

令人震惊的发现：已识别出 50 个恶意“玩具”应用

网络安全公司 CyberGuard Labs 发布的一份令人不安的新报告显示，50 个看似无害的 Android 应用程序（主要属于儿童游戏和玩具主题实用程序）已总共感染了超过 230 万部智能手机。这些应用程序包含一种复杂且高度持久的恶意软件，称为“PhantomLock”，其设计目的是将自身深深嵌入到设备系统中，即使恢复出厂设置也能幸存，从而使普通用户实际上无法删除它。

经过 CyberGuard Labs 移动威胁情报团队数周的深入分析，这一发现于 2024 年 6 月 10 日公开，发现这些应用程序最初可在 Google Play 商店中找到。在谷歌安全协议标记并删除它们之前，它们已经积累了数百万次下载。然而，损害已经造成，其中许多恶意软件包已重新出现在各种第三方应用程序存储库和可疑下载网站上，继续构成重大威胁。

“这不仅仅是另一个广告欺诈计划，”Dr. CyberGuard Labs 移动威胁情报主管 Anya Sharma 在伦敦总部举行的新闻发布会上。 “PhantomLock 代表了移动恶意软件复杂性的显着升级。它针对基本系统组件，在大多数用户甚至许多 IT 专业人员都没有能力应对的水平上有效扎根。”报告中确定的应用程序包括听起来很流行的应用程序，例如“Kids Playtime Paradise”、“Color Splash Fun”、“Block Blast Mania”和“Virtual Pet Adventures”，这些应用程序都是为了吸引年轻受众或休闲游戏玩家而设计的。

“PhantomLock”恶意软件如何运行

PhantomLock 的独创性在于其多阶段感染过程和其先进的持久性机制。安装后，看似无辜的应用程序会请求广泛的权限，通常伪装成其功能所需的权限。一旦获得授权，恶意软件就会利用旧版 Android 版本中的已知漏洞（尽管某些变体可能会影响 Android 12 之前的较新操作系统迭代）来获得设备的 root 访问权限。

通过提升权限，PhantomLock 然后将自身安装到关键系统分区（例如 /system/vendor 或 /data/app-lib），并修改核心启动文件。这种深度的整合使得它很难被移除。当用户执行恢复出厂设置（通常会擦除用户数据并重新安装操作系统）时，PhantomLock 的组件作为修改后的系统映像的一部分，只需重新安装自身即可，从而允许恶意软件在重置后重新出现。

PhantomLock 的主要有效负载似乎是复杂的广告欺诈，通过侵入性弹出广告、背景广告点击和订阅诈骗为其运营商创造收入。然而，CyberGuard 实验室还发现了广泛数据泄露的证据，包括个人联系人、短信、浏览历史记录、精确位置数据，甚至可用于进一步有针对性的攻击或身份盗窃的设备标识符。该恶意软件还会显着耗尽电池寿命并降低整体设备性能，通常使手机运行缓慢且不可靠。

对受影响用户的严重影响

对于数百万设备现在受到威胁的用户来说，影响是严重的。除了持续不断的广告和手机速度慢带来的直接烦恼之外，他们的个人数据也面临风险。财务影响也可能是巨大的，从后台广告活动导致的数据费用膨胀，到银行信息因恶意软件的存在而导致的其他方式受到损害，可能会发生未经授权的购买。

PhantomLock 的“不可删除”性质意味着仅仅卸载恶意应用程序甚至执行恢复出厂设置通常是不够的。许多受影响的用户面临着严峻的选择：要么继续使用受损的设备，冒着持续的数据盗窃和隐私侵犯的风险，要么投资昂贵的专业维修，可能涉及刷新自定义固件，或者在最坏的情况下，完全更换设备。这种负担对那些可能不具备技术知识或财务资源来减轻威胁的人造成了不成比例的影响。