你的手机收到一条普通通知,随手一点——15秒内,前置摄像头已经拍下你的脸,定位数据正在上传,而这一切你完全不知情。这不是电影桥段,是Google Play上真实在售的"反盗窃工具"。
一张图看懂:Cerberus的运作链条
Hexproof研究员在2026年4月还原了这款名为Cerberus Anti-theft的监控软件全貌。它的商业模式极其直白:5欧元月费,44条远程指令,通过cerberusapp.com的网页控制台一键下发。
但真正值得拆解的,是它如何把Google的基建变成自己的"帮凶"。
【第一层:入口伪装】
应用上架名称是"反盗窃工具",开发者LSDroid SRL来自意大利米兰。包名com.ssurebrec——如果你没注意,很难把它和2018年被Google下架的Cerberus联系起来。
那次下架源于政策违规,而非 stalkerware(监控软件)定性。于是开发者换了个包名,2023年10月4日重新上架,一待就是18个月。
【第二层:权限获取】
Cerberus的核心武器是滥用Android无障碍服务(Accessibility Service)。这个设计初衷是帮助视障用户的系统功能,被它改造成了"万能钥匙"。
一旦安装,它能监听:设备启动、屏幕解锁、网络切换、应用安装、甚至手机移动——通过运动传感器感知物理位移。这些触发条件确保7×24小时在线,无论控制者是否登录后台。
【第三层:指令通道】
最讽刺的部分来了。所有远程指令——"拍照""录音""抹除数据"——全部走Firebase Cloud Messaging(谷歌云消息推送)传输。
Hexproof发现,同一个LSDroid开发者账号下挂着5个Firebase项目,既是指令通道,也是实时数据库,同步控制台与受害设备。研究员的原话是:封掉这些项目,能"立即切断运营"。
但Google没有这么做。
老问题,新包装
Cornell Tech和NYU的研究者在2018年发表过一篇学术论文,系统梳理了Cerberus的监控能力。Hexproof确认,Play Store现行版本完整保留了这些功能。
历史数据更刺眼:F-Secure 2020年的全球追踪显示,Cerberus占当年所有监控软件检测量的52%,是单一最大家族。
一个被学术圈定性、被安全厂商标记、曾被官方下架的产品,换个马甲就能续费运营——这套"复活"机制本身,比技术细节更值得警惕。
平台责任的灰色地带
Cerberus的定价策略很有意思:5欧元月费,订阅制。这不是地下论坛的比特币交易,是绑着信用卡的正规商业流程。Google Play不仅提供分发,还处理了支付分成。
Firebase的滥用则暴露另一个盲区。云消息推送本是中立的基建服务,但当它成为监控指令的"高速公路"时,平台是否有义务识别流量特征?
Hexproof的措辞很直接:技术上,封禁5个Firebase项目就能终结运营。但"能"和"做"之间,隔着商业判断、法律风险评估、以及"反盗窃工具"与"监控软件"的定性模糊。
用户能做什么
如果你怀疑设备被植入类似工具,检查点很具体:无障碍服务权限列表里有没有陌生应用?电池消耗异常的应用?能接收推送但无明显界面的后台进程?
更深一层:Android的权限设计正在收紧,但无障碍服务作为"辅助功能"的豁免通道,始终是灰色软件的突破口。Google在2023年底推出了新的stalkerware检测政策,但Cerberus的案例说明,执行层面的漏网之鱼依然存在。
对于开发者生态,这件事的启示是反直觉的——有时候最大的合规风险不是"做了什么",而是"在哪里做"。同一套代码,挂在第三方论坛是黑产,包上反盗窃叙事、配上5欧元订阅、走通Google Play审核,就变成了"待观察对象"。
平台治理的滞后性,永远是产品创新者的套利空间——只是这次的产品,买家和卖家都知道真实用途是什么。
热门跟贴