问题:一类以“银行木马”为核心能力的安卓恶意软件正加速演化。研究显示,“Perseus”可借助系统辅助功能权限建立远程会话,近实时监看受害者屏幕、操控界面并执行指令,达到“设备接管”效果;同时通过覆盖层伪装登录页、记录输入等方式窃取金融应用与加密资产服务的凭证,进而推动未授权转账或交易。值得警惕的是,该木马新增“扫描笔记”能力,针对多款常见笔记工具提取内容,意味着攻击者不仅盯住账户密码,也在搜集验证码、助记词、备忘录式的资金信息与个人敏感资料。 原因:其扩散路径与移动端“侧载生态”密切有关。该木马常伪装为IPTV类应用,通过钓鱼站点分发,迎合部分用户为获取付费内容而绕过官方应用商店安装的习惯。此类应用在传播形态上与用户预期相符,能降低戒心、提高安装成功率。技术层面看,“Perseus”建立在既有恶意代码基础上深入模块化扩展:一上延续利用辅助功能服务获取高权限的老套路,另一方面引入更细粒度的远控与交互机制,包括启动近实时视觉流、传输界面结构并实现对UI元素的程序化操作、启用辅助功能截图、黑屏遮罩隐藏操作痕迹、静音等,提升隐蔽性与可操控性。研究还提到,代码中出现更密集的应用内日志与非典型标记,显示其开发方式可能更偏向“快速迭代、自动化辅助”,使得木马更新频率与适配能力增强。 影响:第一,金融风险由“盗号”走向“代操作”。当攻击者能在远控会话中直接发起并授权交易,传统仅依靠短信提醒或简单风控的防线将面临压力,受害者可能在短时间内发生连续资金损失。第二,数据风险从银行应用外溢至“个人信息仓库”。笔记应用常被用户用于保存账号信息、一次性口令、支付提示、加密钱包助记词、客户资料等,一旦被批量读取,可能引发连锁入侵与长期勒索、诈骗。第三,攻击面呈现跨区域扩散态势。相关活动被观察到涉及土耳其、意大利以及波兰、德国、法国、阿联酋、葡萄牙等地,说明黑产团伙在不同语言与地区环境中复用投放模板,并根据当地常见应用与使用习惯调整诱饵,具有较强的迁移能力。 对策:面向公众,应把住“安装来源”和“权限授权”两道关口。尽量通过官方应用商店获取软件,谨慎从网页下载并侧载所谓“影视、直播、加速器”等应用;安装过程中如出现异常索取辅助功能、无障碍服务、屏幕读取、短信读取等高敏权限,应立即终止并卸载。对已安装可疑应用的用户,建议及时断网、备份必要资料后卸载,修改重要账号密码,开启多因素认证,检查银行与支付平台的登录设备列表与交易记录,必要时冻结账户并联系机构客服。面向金融机构与平台企业,应强化“远控型欺诈”识别:结合设备指纹、界面叠加检测、辅助功能异常调用、屏幕录制/无障碍服务开启状态等信号,完善分级风控与延迟确认机制;同时加强对仿冒应用与钓鱼域名的联动处置,缩短黑产投放窗口。面向终端与系统生态,应持续收紧辅助功能滥用空间,在不影响无障碍需求的前提下,对高风险权限的调用场景、后台持续运行、叠加窗口等行为做更严格提示与审计。 前景:从演进趋势看,安卓银行木马正在向“平台化、组件化、远程交互精细化”发展:不再满足于收集静态凭证,而是通过可视化与结构化远控将终端变成“可操作的作案工具”,同时将数据触角延伸至笔记、消息、文件等高价值信息载体。随着侧载分发与伪装题材不断更新,相关威胁仍可能在更多市场出现“借壳传播”。未来一段时期,围绕高权限获取、叠加欺诈、远控会话的攻防对抗或将持续升级,安全治理需要用户习惯、平台审核、系统能力与金融风控共同发力。
Perseus恶意软件的演变表明,网络威胁已从单纯的资金窃取转向全方位数据掠夺;技术防御固然重要,但构建国际化的网络安全治理体系更为关键。用户保持警惕是基础,而制度化的数字安全防线才是应对智能化犯罪的核心策略。