一位网安工程师的提醒:别再搜“每日大赛91”了——这种“伪装成小说阅读”在后台装了第二个壳;能不下载就不下载
最近在各大搜索和社交平台上流传的“每日大赛91”,看起来像是普通的小说阅读或答题类APP,但实地分析与多起用户报案显示,这类软件采用“伪装 + 二次载荷”的手法,把真正的恶意模块藏在后台或动态下载的第二个壳里。目的是偷权、偷数据、推送诈骗/广告,甚至把设备变成僵尸机执行更多恶意行为。这里把我能说得明白、实操性强的内容写下来,遇到相关内容就别点了。
为什么别信这个名字的搜索结果
- 表面功能诱人:以免费小说、答题奖励、每日抽奖等吸引用户下载安装。
- 二次载荷/双壳手法:表壳负责展示“正常”功能,第二个壳(或动态下载的模块)在后台偷偷激活,具有更高权限或更多恶意行为。
- 权限与能力:会诱导用户授予如“无障碍服务”“安装未知应用”“显示在其他应用之上”“读取短信/联系人”等高风险权限,一旦获得就很难清除或会继续下载其他恶意程序。
- 来源不可信:多数在非官方渠道分发(第三方APK站、二维码、微信群/短链接),开发者信息模糊或伪造,用户评论常被刷评干扰真实反馈。
这些恶意APP可能做的事
- 偷短信/通讯录,造成社工诈骗或自动验证被滥用;
- 强制弹窗、植入广告,耗电耗流量;
- 静默下载第二个APK并隐藏其图标,后者可能具备远程控制、拦截短信、劫持浏览器或窃取账号密码的能力;
- 把手机加入僵尸网络,参与恶意流量/挖矿/分发垃圾信息;
- 利用“无障碍服务”执行病毒式操作(自动点击、授权等),绕过系统限制。
如何判断你是不是中招了(快速排查)
- 手机突然弹窗很多、流量激增、电量异常耗尽;
- 出现陌生应用图标或没有图标但行为异常(后台有应用在联网);
- 手机被设置为设备管理员,导致无法卸载某些应用;
- 短信被自动转发、收到异常验证码或有陌生账户被绑定;
- 浏览器主页或搜索引擎被劫持、出现大量未知广告;
- 账号出现异常登录或银行/支付被提示异常操作。
检测与初步处理步骤(Android为主,多数感染来自Android侧) 1) 立刻断网:关闭Wi‑Fi与移动数据,避免进一步数据外发或二次下载。 2) 检查设备管理员权限:设置 -> 安全与隐私 -> 设备管理器(或“设备管理员应用”),把可疑项取消激活。很多恶意软件通过这项阻止卸载。 3) 进入安全模式再卸载:长按电源键,长按“关机”出现“重启到安全模式”的选项(不同机型方法不一)。进入安全模式后,第三方应用不会自动运行,去 设置 -> 应用,找到可疑应用卸载。 4) 查找“隐形”应用:设置 -> 应用 -> 查看全部应用,按安装时间排序,留意没有图标或名称奇怪的package。可使用“应用管理器”或借助ADB查看:adb shell pm list packages -f(需要开发者选项与USB调试)。 5) 授予/无障碍权限复核:设置 -> 应用 -> 特殊权限(或无障碍)/安装未知来源,撤销可疑应用的所有权限。 6) 扫描杀毒:用多个主流、口碑好的移动安全产品扫描(例如 Malwarebytes、Bitdefender、ESET、腾讯 / 360 等),多款交叉扫描能提高发现概率。 7) 若卸载失败或行为持续:备份重要数据后考虑恢复出厂设置(Factory Reset)。在恢复前,导出重要通讯录、照片、消息(注意不要把可疑APK备份回新系统)。 8) 如有财务或账号异常:立即修改重要账号密码、启用两步验证,联系银行并留意异常交易,必要时冻结卡片或报失。
如果你已经被盗号或有敏感信息泄漏
- 逐一修改关联的邮箱、社交、支付账户密码并启用双因素认证;
- 检查银行和支付工具的授权设备与授权记录,撤销未知授权;
- 联系银行并说明可能遭遇诈骗或异常交易,必要时报警并提交证据;
- 监控短信和邮箱,防止二次身份验证被滥用。
如何避免再次中招(实用建议)
- 不安装来历不明的APK。偏离官方应用商店下载,风险大很多。
- 看清开发者与应用权限:在应用商店看“开发者”信息、下载量、真实用户评论;安装时警惕要求非常规权限的应用(例如小说阅读类却要求“读取短信/无障碍/设备管理”)。
- 开启Google Play Protect或厂商自带的应用安全防护,并保持系统与应用更新。
- 对短链/二维码/社交媒体链接保持怀疑,很多传播渠道被用来分发恶意安装包。
- 不随意授予“无障碍服务”“安装未知应用”“在其他应用之上”的权限,确需开启时先确认来源可信性。
- 定期检查设备应用权限与安装列表,及时删除长期未使用的应用。
- 使用强密码和多因素认证,金融账号单独设置并少在同一设备上保持长期登录状态。
如果你要给别人提个醒(一句话版) 别搜也别点“每日大赛91”这类不明来历的App/链接;看起来像小说或答题的“壳”可能在后台装了第二个壳,带来远比广告更严重的安全风险。
