深夜熟睡时银行卡被刷空，不是密码泄露，而是你点开的那个App

最近北京出了十八件怪事，从三月到现在，有人半夜睡觉时银行卡里的钱突然没了，时间都卡在凌晨零点到四点之间，这些人没把密码告诉别人，也没输错验证码，卡号更没有泄露，可钱就这么不见了。

这些人有个共同点，睡前都下载了一个色情App，不是正规商店里的那种，是微信里发的链接，或者短视频评论区跳转的小网站，点进去安装后，系统弹出一个权限请求，叫“无障碍服务”，很多人觉得就是个辅助功能嘛，随手就点了允许。

这个权限听起来没什么问题，实际上很危险，它原本是给老年人使用，或者程序员调试手机用的，普通应用根本不需要这种功能，一旦开启这个权限，你的手机就等于被远程控制了，别人可以查看屏幕内容、模拟点击操作、覆盖虚假界面，还能拦截系统指令，你按任何键都能被它知道，你想删除它，它早就防着你了。

警方发现这些App不是普通病毒，安装后会自动设置成开机启动，还屏蔽了长按卸载和应用管理里的删除功能，如果你强行清理内存，它自己又会重新出现，手机就完全不受控制了。

更让人意外的是，这个软件会一直盯着你的手机弹窗和短信，你在输入解锁密码时，它悄悄记下内容，银行发来验证码，它直接拦截并伪造一条“新号码已绑定”的虚假短信，等你意识到的时候，账户已经绑到别人的手机上，交易提醒全都收不到了。

这套手法在2023年江苏和浙江出现过，现在变得更复杂了，它使用三个连环招数，包括无障碍权限、反卸载机制和短信劫持，安卓系统对这个权限管得比较松，用户一旦点击允许，它就能做所有事情，没法选择只读不点，iOS因为隔离做得严格，目前还没听说有类似大规模事件。

工信部去年提到要管这件事，新规定写明不能强行要求无障碍权限，但这个政策到现在还没真正落实，大家习惯了权限弹窗一出来就点同意选项，根本没有仔细看内容。

警察在演示中展示过，打开这个权限后，对方能远程弹出虚假的支付页面让你输入密码，能够悄悄调用你的人脸或指纹来解锁设备，还能自动启动你的银行应用并点击确认转账按钮。你想删除它，长按屏幕没有反应；想重启手机，它会自动恢复回来；想要重置系统，就得进入安全模式——可大多数人根本不知道还有这个操作步骤。

我想，问题不在技术有多高明，而是在我们太相信点一下这个动作了，一个弹窗出来，两秒钟做决定，结果可能是整个手机都被人控制。