如果你刚点了那种“爆料链接”,先停一下:这种“伪装成小说阅读”在后台装了第二个壳;立刻检查这三个设置
最近这类骗局很猖獗:一个看起来像小说阅读、长篇“爆料”的链接,点进去后会诱导你下载安装“阅读器”或直接在页面里触发下载。表面上它只是个看小说的工具,实际在后台悄悄放下第二个“壳”(dropper/loader),用来窃取短信、劫持界面、偷偷安装更危险的程序。遇到这种情况,先别慌,马上按下面三个设置逐一排查并处理。
一、先别让任何程序安装新应用 —— 检查“允许从未知来源安装应用 / 安装未知应用”的权限(Android)
- 为什么要查:这种后壳往往会请求通过浏览器或下载器直接安装 APK,如果你不收紧权限,它就能悄悄装上去。
- 怎么查(通用路径,机型界面名称略有差异):
- 设置 > 应用或应用管理 > 特殊访问权限(或高级)> 安装未知应用 / Install unknown apps;
- 查看哪些应用被允许安装未知来源的应用(比如你常用的浏览器、文件管理器、第三方市场等)。如果看到不熟悉或可疑的应用有权限,立刻关闭该权限。
- 立即动作:把权限只保留给你信任的来源(通常只允许官方应用商店),对可疑应用点“禁止”。
二、检查“辅助功能权限”(Accessibility)
- 为什么要查:恶意程序常滥用辅助功能来自动操作界面、读取屏幕内容、绕过安全提示或自动授权更多权限。
- 怎么查:
- 设置 > 辅助功能(或可访问性服务);
- 列表里会显示拥有辅助功能权限的应用,逐个审查是否为你安装且信任的应用。
- 立即动作:对任何不认识或不需要该能力的应用,点进去关闭辅助功能权限。若发现无法取消(被设置为设备管理员之类),先撤销设备管理员再操作(见下文“设备管理/所有者”)。
三、检查“在其他应用上层显示 / 悬浮窗”权限(Overlay)
- 为什么要查:攻击者用悬浮窗来伪装登录界面、遮挡真实提示或诱导输入银行密码、验证码等敏感信息。
- 怎么查:
- 设置 > 应用 > 特殊权限 > 在其他应用上层显示(显示在其他应用上方 / Draw over other apps);
- 查看哪些应用有此权限,撤销可疑应用的悬浮窗权限。
- 立即动作:关闭所有不必要的悬浮窗权限,尤其是近期你通过可疑链接安装的应用。
额外的关键检查(同样很常见,建议一并确认)
- 设备管理员 / 设备所有者权限:设置 > 安全 > 设备管理员应用。若可疑应用被设置为设备管理员,先取消管理员权限再卸载。
- 通知访问权限:设置 > 应用 > 特殊权限 > 通知访问。恶意应用可读短信/通知来截取验证码,若发现陌生应用有通知访问权限,撤销。
- 已安装应用列表:设置 > 应用 > 查看全部应用,按“最近使用”或“大小”排序,注意任何你没安装过但最近活跃的应用,尤其图标可疑或名字奇怪的。点进去卸载或强制停止并清除数据。
iPhone 用户需做的快速检查(iOS 病毒少,但配置档/描述文件和企业签名可被滥用)
- 设置 > 通用 > VPN与设备管理(或描述文件与设备管理),如果看到未知的描述档或企业证书,删除它们。
- 检查 Safari 下载、已安装的未知应用、并更新 iOS 到最新版本;对可疑应用删除并改密码。
如果你发现可疑程序或异常征兆,按这几步清理和保护:
- 立刻断网(关闭 Wi‑Fi 和移动数据),阻断恶意程序与控制端的通信。
- 在设置里卸载可疑应用:设置 > 应用 > 卸载。若无法卸载,先撤销设备管理员和辅助功能权限,然后再卸载。
- 重启进入安全模式(Android)后卸载:大多数 Android 机型长按电源键,选择重启并按住屏幕提示进入安全模式,或查自己机型的进入方法。安全模式下第三方应用被禁用,更容易清除顽固恶件。
- 在 Google Play 中运行 Play Protect 扫描,或使用可信的移动安全软件进行全盘扫描。
- 修改重要账户密码(尤其是绑定手机的银行、支付、邮箱),开启并优先使用单独的 2FA 应用或硬件密钥,不要只依赖短信验证码。
- 检查银行/支付账户明细,如有异常交易,立即联系银行或支付平台冻结账户。
- 最后手段:备份重要数据后恢复出厂设置,这能清除绝大多数深度植入的恶意程序。
如何避免再次中招(实用习惯)
- 不轻易点击来源不明的“爆料链接”或陌生社交账号中的下载链接;尤其不要通过未知链接直接下载安装包。
- 使用官方应用商店下载安装应用,避免第三方市场和未知 APK。
- 安装系统和应用更新,开启 Google Play Protect(Android)。
- 定期检查特殊权限,保持“安装未知应用”“辅助功能”“悬浮窗”“通知访问”“设备管理员”等权限最小化。
