“Hook” 安卓木马新增勒索功能，全球超 50 万设备遭感染

木马进化：从 “数据窃取者” 到 “双重威胁”

1. 隐蔽植入：通过 “仿冒应用下载链接” 或 “恶意广告弹窗” 诱导用户安装，安装后伪装成 “系统服务” 图标，避免被用户察觉；
2. 权限获取：请求 “文件访问”“后台运行”“显示悬浮窗” 等高危权限，部分情况下通过漏洞绕过安卓系统的权限验证机制；
3. 双重攻击：
   • 先执行数据窃取：将用户的微信 / WhatsApp 聊天记录、相册照片、银行 APP 截图等敏感数据压缩加密后，通过加密通道发送至攻击者的 C2（命令与控制）服务器；
   • 再触发文件加密：对设备内部存储及外接 SD 卡中的文档（PDF、Word）、照片（JPG、PNG）、视频（MP4）等文件进行加密，加密后文件扩展名变为 “.hooklocked”，同时在设备桌面生成 “解密指南” 弹窗。

勒索机制与技术特点

1. 加密算法与解密门槛

2. 反检测与持久化手段

• 代码混淆：通过加壳工具对恶意代码进行多层混淆，避免被杀毒软件识别特征码；
• 进程守护：若木马主进程被安全软件终止，会通过 “服务重启机制” 自动恢复运行，部分情况下还会篡改系统启动项，确保设备重启后仍能加载；
• 规避沙箱：检测设备是否处于安全沙箱环境（如模拟器、安全测试工具），若检测到则暂停恶意行为，仅在 “真实用户设备” 上执行攻击。

感染渠道与高风险人群

1. 主要传播途径

• 第三方应用商店：在未经过谷歌 Play 商店审核的小众应用平台（如部分地区的本土应用市场）上架仿冒应用，名称多包含 “免费”“高速”“破解” 等吸引用户的关键词；
• 社交媒体钓鱼链接：通过 Facebook、WhatsApp、Telegram 等平台发送 “福利链接”（如 “免费影视资源”“手机清理神器”），诱导用户点击下载；
• 恶意广告弹窗：在访问非法网站（如盗版视频站、赌博网站）时，弹出伪装成 “系统提示” 的广告，声称 “设备存在风险，点击安装安全插件修复”。

2. 高风险人群特征

• 习惯从非官方渠道下载应用的用户；
• 未开启安卓设备 “未知来源应用安装限制” 的用户；
• 对弹窗广告、免费资源链接缺乏警惕的中老年用户及学生群体；
• 未安装正规手机安全软件的用户。

防御与应对建议

1. 强化应用安装安全：
   • 仅从谷歌 Play 商店或设备厂商官方应用商店下载应用，彻底杜绝从第三方平台、不明链接安装 APP；
   • 开启安卓设备的 “未知来源应用安装限制”（路径：设置 – 安全与隐私 – 未知来源应用安装，关闭所有非官方渠道的安装权限）。
2. 及时检测与清除：
   • 安装正规手机安全软件（如 Avast、卡巴斯基、腾讯手机管家、360 手机卫士），并定期进行全盘扫描；
   • 若发现设备出现异常（如陌生弹窗、文件后缀变更、后台流量突增），立即进入 “安全模式”（不同品牌设备进入方式不同，通常为长按电源键后长按 “关机” 选项），在安全模式下卸载可疑应用并删除后缀为 “.hooklocked” 的文件（若已备份数据）。
3. 数据备份与应急处理：
   • 定期将手机中的重要照片、文档备份至云端（如谷歌云盘、百度云盘）或电脑，避免数据丢失；
   • 若不幸感染木马并被勒索，不建议直接支付赎金（存在被骗风险），可联系警方报案，并向安全厂商提交样本（如通过谷歌安全中心的 “恶意软件报告” 通道），等待技术团队研发解密工具；
   • 感染后立即修改所有账户密码（尤其是银行 APP、支付软件、社交媒体的登录密码），防止已窃取的凭据被用于进一步攻击。
4. 提升安全意识：
   • 警惕包含 “免费”“破解”“高速” 等关键词的应用，此类应用往往是恶意软件的高发载体；
   • 不点击社交媒体、短信中收到的陌生链接，尤其是要求 “登录账号”“下载文件” 的链接；
   • 向家人（尤其是中老年亲属）普及手机安全知识，帮助其开启设备安全防护功能。

行业警示