黄色软件3.0的首次完整识别:从下载到中毒只用了三分钟
上周帮朋友清理手机时,第一次见到伪装成“天气时钟”的黄色软件3.0变种,图标和系统自带的一模一样,但打开后直接跳转到了一个赌场页面。类似的情况今年我们在三个不同品牌的手机上复现过,过程惊人的一致:用户点击浏览器弹窗里的“关闭”按钮,实际触发了静默下载,安装包会在几秒内改名为“系统更新”或“相册修复”。这类软件的核心特征是不在桌面上留下可辨的入口,只通过悬浮窗和后台服务长期驻留,一旦联网就自动拉取最新变体,普通的“卸载”根本清不干净。
很多用户以为恢复出厂设置就万事大吉,但安卓恶意软件残留的一个常见手段是把启动脚本藏在第三方 Recovery 分区里,格机之后重新激活。我们在测试机上一共捕获了四个不同签名的 黄色软件3.0 样本,最小的一个只有1.8MB,但展开后的脚本链多达270条。它们的共同点是利用无障碍服务权限来模拟用户点击,权限申请界面被嵌在一个半透明的图层下面,绝大多数人还没看清就已经点了“允许”。
黄色软件3.0的四大传播路径
今年三月份以来,黄色软件3.0的投放渠道明显从网页劫持向社交平台私信转移。我们分析了二十七个受害者的反馈,整理出目前最常见的四种感染路径:
- 剪贴板劫持弹窗:浏览器地址栏被注入一段 JavaScript,每次复制文本时都会弹出“检测到剪切板敏感信息,请立即修复”的提示,点击后直接下载安装包。这是目前弹窗诱导下载系列中最难防的一种,因为看起来像系统级通知。
- 聚合充电设备诱导:商场的共享充电宝机身上的二维码被替换,扫码后提示“为保护设备安全,需安装驱动组件”,实则是 黄色软件3.0 的投放包,主要在火车站和步行街的充电网点被发现。
- 短视频评论区跳转:在点赞数上万的评论区里,用“资源在主页”之类的简短话术引导点击主页链接,主页中的“一键下载”按钮实际绑定的是一个经过混淆的 APK 直链,安装包名称通常伪装成“相册助手3.0”。
- 伪基站短信:冒充快递公司发送“包裹已退回”,附带的短链接指向一个高度仿冒的物流查询页面,页面内嵌的“查询更新”按钮是 流氓启动项注入 的触发器,安卓8.0以下的设备命中率最高。
黄色软件3.0与旧版本的行为差异对比
如果还按照对付 1.0 和 2.0 版本的老办法来处理 黄色软件3.0,基本无效。这代变种在技术上做了三个方向的升级:权限持久化范围更大、母体与子包分离、以及通讯加密算法替换。
| 对比维度 | 黄色软件2.0 | 黄色软件3.0 |
|---|---|---|
| 权限锁定 | 仅锁住设备管理器 | 同时锁定设备管理器和通知使用权,任何三方清理工具无法调出卸载界面 |
| 残留路径 | /system/app 下单体 APK | /data/local/tmp 下存放加密的 dex 壳、/system/bin 下植入监控脚本 |
| 指令下发 | HTTP 明文轮询 | WebSocket 双向加密,心跳包间隔仅15秒,封禁单个IP后立即切换域名 |
| 联网行为 | 仅在亮屏时触发弹窗 | 利用 JobScheduler 在充电+WiFi 条件下全量上传通讯录和短信 |
避坑提醒:如果你在应用管理里看到一个名为“Provision”或者“SecureSetting”的应用,图标是灰色齿轮,占用空间不到2MB,千万不要点“强行停止”,这很可能是 黄色软件3.0 的伪装母体。一旦手动停止,它的子进程会立即触发自保机制,把手机音量调到最大并播放报警音频,逼迫你重启,重启后恢复出厂设置选项会被系统策略屏蔽。
不格机的情况下手动清除黄色软件3.0
这个方法我在两台小米和一台 vivo 上亲自走通过,前提是还能进入开发者选项。整个流程大概需要十五分钟,核心思路是切断通讯、撤销权限、再清理残留。
- 飞行模式 + 关闭 WiFi 后重启:一定要先开飞行模式再关机,而不是直接关机,因为在关机的瞬间 黄色软件3.0 会尝试最后一次联网拉取自毁指令,一旦接收成功就会清空 /sdcard 根目录。重启后不要连接任何网络。
- 进入“设备管理器”解除激活:设置 → 安全 → 设备管理器,你会看到一个名为“设备完整性”或“系统完整性”的选项,右边没有显示图标,只有一行小字。点击后取消勾选,这时候系统会弹出“可能导致数据丢失”的警告,确认即可。
- 限制后台活动:进入电池优化设置,找到所有不认识的系统进程,手动设为“不允许后台活动”。这一步能阻止 恶意后台驻留 的复活机制触发,因为 3.0 版本的复活逻辑依赖双进程互相监听,只要一个被冻结,另一个就无法重建。
- 用自带文件管理器删除残留:不要下载新的文件浏览器,用系统自带的进入 /data/local/tmp,按修改日期排序,删除最近48小时内的所有 .tmp 和 .so 文件。通常在3到8个之间,文件名是随机字母。
- 无障碍权限滥用
- 指软件通过请求 Android Accessibility Service 获取屏幕读取和触摸模拟能力,黄色软件3.0 正是通过这个通道自动跳过卸载确认弹窗,并将“卸载”按钮的坐标重定向到“取消”。
- Dex 壳载入
- 将核心恶意代码加密后存放于 data 分区,运行时动态解密到内存中执行,从而绕过文件级别的查杀。市面上大部分免费杀毒软件对壳载入的检出率不足40%,黄色软件3.0 使用了一种被开发者称为“三明治壳”的自定义结构。
常见疑问
手机格式化后黄色软件3.0还在吗?
普通恢复出厂设置无法清除 黄色软件3.0,因为它的脚本已经写入了 Recovery 分区。需要下载官方线刷包进行全量刷入,线刷过程会重写所有分区表,通常用时10分钟左右。刷机后不要用云备份恢复应用数据,因为备份包中可能夹带着母体安装包的加密片段,恢复回去会二次中毒。
银行 APP 里的钱会被盗吗?
根据目前收集到的样本,黄色软件3.0 主要做的是广告欺诈和隐私售卖,还没有截获到直接攻击银行 APP 的代码,但它会通过无障碍服务读取通知栏,获取验证码短信后上传到后台,这个能力如果被用来配合社工库撞库,风险很大。如果你已经中招,建议先冻结所有银行卡的非柜面交易,再去营业厅换一张新 SIM 卡。
为什么手机厂商不直接屏蔽这类软件?
黄色软件3.0 的投放团队会针对热门机型制作带有厂商签名的伪装包,系统分不清它和正版应用的差别。加上每次测试投放的时间不超过48小时,厂商病毒库的更新周期一般是72小时,时间差造成了覆盖盲区。这种情况更依赖用户自己的下载习惯和权限管理,不要在任何非官方渠道下载应用,遇到要求开启“无障碍服务”的第三方应用直接拒绝。
关于手机安全习惯的三条实操底线
从去年到现在,周围至少有七个人因为一台中招手机被迫换掉了所有密码,而一开始他们只是点击了一个“加速清理内存”的按钮。我的习惯是:主力机永远不开启“未知来源”安装,即使用户手动设置的开关也保持关闭;每个月进一次开发者选项查看“正在运行的服务”,陌生的进程截图搜索一下,通常就能在第一阶段发现类似 黄色软件3.0 的早期变体;删短信时不点链接,直接长按识别号码去百度搜索,能避开绝大部分伪装成服务提醒的诱饵。如果你刚好在应用市场看到某个评分4.5以上、但评论只有几十条的应用,建议等一周再下载,黑产最喜欢用这种“高评分低评论”的组合测试新包收网。安全这件事,慢半拍往往比快一步更稳妥。
另外,如果你遇到的是以视频播放器名义诱导安装的版本,可以试试在断网状态下长按应用图标,选择“应用详情”,在存储占用里先“清除数据”再“清除缓存”,最后才点卸载。这个顺序能让 黄色软件3.0 的子包来不及重组。如果界面在这一步卡死了,按住电源键十秒强制重启,期间不要松手,重启后立刻进入安全模式运行一次 ADB 命令卸载。这个过程对第一次操作的人来说不算友好,但比起直接格机丢数据,已经是无ROOT彻底清理里最稳妥的一条路径。
本文为本站原创内容,如需转载请注明出处。
本文永久地址:https://mip.ace6237.store/article/44479.html
文章观点仅供学习交流参考。
精选评论
补充一下,我是华为P40,在/data/local/tmp下面找到的不是.tmp文件,是几个以lib开头的.so,删完之后把无障碍服务里所有不认识的应用全关了,重启后没再弹窗。飞行模式那一步很关键,我第一次没开就重启,结果通讯录被上传了。
有人告诉我这是所谓的黄色软件3.0吗?我一直以为就是个普通的流氓广告程序。去应用市场搜了下“相册助手3.0”还真有,评分4.7,但评论只有22条,果断举报了。这种高评分低评论的应用到底怎么上的架,平台审核是摆设吗?
我就是那个在商场扫码租充电宝中招的,当时提示要装驱动,我脑子一抽就装了。后来发现相册里多了几十张彩票截图,相册权限被读得干干净净。现在主力机再也不装任何从扫码来的东西了,吃一堑长一智。