手機端木馬程式如何避開偵測？攻擊流程與實作策略全覽

自製手機惡意程式與免殺技術研究

程序員阿凱 Telegram：@Ti969

手機惡意軟體的演進趨勢

相較於傳統的電腦惡意程式，現代手機惡意軟體更傾向於資訊收集、帳號接管、遠端控制與金融詐騙用途。

尤其在 Android 平台，由於其開放原始碼、生態自由、簽章管理較鬆，加上第三方應用分發平台的存在，使得惡意應用程式具備更大的活動空間。

常見的惡意行為包括：

• 竊取簡訊與 OTP 驗證碼

• 監控通話與語音內容

• 遠端操控畫面與觸控

• 自動轉發社群訊息進行擴散

• 誘導使用者授權 Accessibility 或 Device Admin 權限

攻擊者可藉由這些能力實現釣魚植入、銀行木馬、RAT（遠端存取工具）等多種用途。

惡意應用程式開發流程

一個基礎惡意應用通常由以下核心模組構成：

1. 前台誘導模組：以正常應用形式包裝，例如假冒 VPN、相機、系統更新等工具

2. 權限申請模組：在安裝後即嘗試引導使用者授權通知存取、可存取性（Accessibility Service）、橫跨應用畫面、背景執行等高風險權限

3. 持久化模組：透過開機啟動廣播（BOOT_COMPLETED）、排程任務或無視電源管理機制強制留存

4. 資料擷取模組：竊取聯絡人、簡訊、螢幕內容、鍵盤輸入等資料後封裝加密並上傳

5. 遠端控制模組：結合 Firebase、Socket 或 HTTP 請求與 Command 模式完成行為執行與任務回報

程式可利用 Android WebView 進行網頁釣魚，亦可動態注入 JavaScript 執行反向連線或 Cookie 抓取。

免殺技術與防毒繞過策略

在製作惡意程式時，若欲對抗手機端防毒系統（如 Play Protect、Avast、Kaspersky 等），常見的免殺技術包括：

一、反靜態分析技術

• 混淆器（如 ProGuard、DexGuard）自動變更類別名稱、方法簽名與資源索引

• 加密 payload 模組，例如將 C2 URL、Token 儲存在加密檔案中，於 Runtime 解密

• 多層包裝：將真實惡意邏輯封裝於動態載入的 dex 或 native so 檔案中

二、反動態分析技巧

• 檢查裝置環境是否為模擬器（如偵測 QEMU、AVD、Genymotion 跡象）

• 偵測沙箱環境，例如是否為單一應用安裝、無 SIM 卡、無 Google Play

• 避免觸發行為直到滿足條件（如延遲執行、用戶輸入特定資料後才啟動）

三、簽章繞過與第三方分發

攻擊者通常不經 Play 商店上架，而是透過以下方式分發：

• 社群媒體釣魚連結下載 APK

• 假冒知名應用的更新提示

• 使用第三方平台如 APKPure、Aptoide 等進行包裝傳播

為了降低病毒偵測率，亦可能使用 Multi-Dex 結構分散程式邏輯或在安裝後動態從遠端載入主功能模組。

資料傳輸與 C2 機制設計

資料回傳與指令接收通常透過以下方式進行：

• Firebase Cloud Messaging（FCM）：假借合法雲端通知通道傳遞命令

• Telegram Bot API、Discord Webhook：透過社交平台通訊避開封鎖

• Domain Fronting：利用 CDN 主機混淆真實 C2 位置

另可整合自訂加密通訊協定或 TLS over WebSocket 技術，避開主動式封包檢測與偵測系統。

實務攻擊應用場景

根據滲透測試與攻擊模擬經驗，手機惡意程式常見應用場景包括：

• 社交帳號接管：搭配 Overlay 攻擊或 Fake Login 畫面誘騙使用者輸入認證資料

• 兩步驗證繞過：擷取簡訊或自動點擊 OTP 提交頁面完成登入

• 金流詐騙：複製轉帳畫面或攔截銀行推播訊息進行轉帳操控

• 廣告注入與加密貨幣挖礦：藉由靜音背景任務植入廣告點擊程式或礦機元件

• 滲透式植入：作為手機端初始入侵點，配合內部 Wi-Fi 掃描與 LAN 滲透進行橫向移動

防禦對策與識別建議

對於使用者與企業防禦面建議如下：

1. 禁止安裝非商店應用，特別是來源不明的 APK 檔案

2. 開啟 Google Play Protect，並搭配專業行動資安產品（如 Zimperium、Lookout）

3. 檢查是否有異常 Accessibility 權限被啟用或 Device Admin 權限無法移除

4. 企業端可部署行動裝置管理系統（MDM），限制程式安裝與 API 存取行為

5. 建立主動監控策略，例如 DNS 查詢異常、HTTPS 流量模式偏移等行為基線分析

#Android資安#手機惡意程式#APK免殺技術#惡意行為分析#RAT開發#反分析技術#社交帳號劫持#行動滲透