一、问题:恢复出厂后仍“复发”,用户遭遇持续骚扰与风险外溢 近期,多地用户反映部分安卓手机出现待机发热、耗电明显加快、广告弹窗频繁、自动跳转网页,甚至软件卸载后“重启又回来”等情况。更值得警惕的是,一些用户在恢复出厂设置或进行常规清理后,异常虽短期缓解,却很快反复,既影响日常使用,也带来隐私和资金安全隐患。国家计算机病毒应急处理中心提示,上述现象可能与新型安卓木马有关,其隐蔽性强、具备持久化能力,常规手段难以彻底清除。 二、原因:伪装工具类应用诱导授权,以高权限实现“系统级驻留” 从传播路径看,这类恶意程序常伪装成“手机清理”“电池优化”“壁纸美化”等应用,通过外部链接、二维码、第三方应用商店或“破解版”安装包进入用户设备,并以“提升性能”“一键加速”等话术诱导用户授予关键权限。 从技术机制看,其核心在于获取并滥用设备管理、无障碍服务等高权限。一旦获得授权,恶意代码可能通过篡改或替换关键组件等方式嵌入系统运行链条,形成开机自启、重启复活的驻留状态。由于其活动更贴近系统底层,单纯卸载可疑应用、清理缓存,甚至恢复出厂设置,往往只能清掉表层数据,难以触及“根部”,从而出现“清了又来”。 三、影响:广告与流量只是表象,隐私泄露与账户风险更需警惕 该木马带来的直接影响首先体现在使用体验:广告弹窗密集、系统卡顿、应用闪退、异常发热以及电量快速下降等,明显增加使用成本。 更深层的风险在于数据与资产安全。部分恶意程序可能在后台拉起下载、调用敏感权限、上传数据,带来通讯录、短信、定位、麦克风、摄像头等信息泄露隐患;还可能诱导跳转钓鱼页面、劫持支付或登录流程,增加账户被盗和资金受损的可能。对企业用户而言,如终端用于办公、接入内网或保存业务资料,还可能引发数据合规与管理风险外溢。 四、对策:尽快自查处置,按“止损—清权—备份—官方修复—加固”流程推进 安全部门与业内机构建议,若发现多项异常同时出现,应先控制损失,再进行清除与修复。 第一步,及时止损并切断潜在通道。关闭移动数据、Wi‑Fi、蓝牙等连接,必要时取出SIM卡;同时使用其他可靠设备对支付、网银等关键账户采取冻结、改密、开启多因素验证等措施,避免在疑似感染设备上进行转账、登录等高风险操作。 第二步,全面排查并收回高危权限。重点检查“设备管理”“无障碍服务”等页面,关闭非必要或来历不明应用的管理权限与无障碍权限;对工具类应用索要通讯录、短信、麦克风、摄像头等敏感权限的情况要提高警惕,做到“功能用不着、权限不授予”。 第三步,分类备份“干净数据”。优先备份照片、视频、通讯录、文档等必要信息至电脑或移动存储介质,尽量不要迁移安装包、压缩包、缓存数据及不明来源文件,避免“带毒迁移”导致二次感染。 第四步,通过官方渠道实施系统级修复。若怀疑已实现底层驻留,建议前往品牌官方售后服务网点刷写原厂固件,或在官方指引下使用对应机型的官方工具包完成修复,避免使用来源不明的“魔改系统”和第三方刷机包。修复后应优先通过系统自带应用商店或官方应用市场安装软件。 第五步,完成加固与长期防护。开启系统与应用自动更新,及时安装安全补丁;关闭“未知来源安装”等高风险选项;对支付类、社交类、邮箱等关键应用启用多重验证并清理不常用绑定;定期检查自启动、后台耗电、流量排行与权限列表,形成常态化“体检”习惯。 同时,对网络上流传的处置说法应保持警惕:其一,“只能换新机”并非必然结论,按规范进行官方修复往往可以解决;其二,“付费远程修复”可能伴随二次诈骗风险,涉及系统底层操作应优先走官方渠道;其三,反复恢复出厂设置可能造成数据损失,也未必能清除底层驻留,不宜盲目尝试。 五、前景:移动安全对抗将长期存在,提升源头治理与用户安全习惯同样关键 从趋势看,恶意程序通过“伪装应用+权限诱导+持久化驻留”的组合方式,说明移动端黑灰产正向更隐蔽、更系统化演化。下一步,应用分发平台的审核与下架联动、关键权限的精细化管理、系统补丁的快速覆盖,以及无障碍等高权限的合规使用边界,将成为治理重点。对用户来说,减少非官方渠道安装、谨慎点击外部链接与二维码、强化权限管理与更新习惯,仍是降低风险的有效方式。
移动互联网带来便利,也放大了“一个权限、一次点击”可能引发的连锁风险;面对不断升级的移动端威胁,既要依靠权威机构预警、厂商补丁与合规治理,也需要用户把安全意识落实到日常操作:不装来源不明应用、不随意授予敏感权限、及时更新修补漏洞。把防线前移,才能让技术进步更好地服务于安全与信任。