我查了一圈：关于爱游戏的假安装包套路，我把关键证据整理出来了

足总杯前瞻 2026年02月14日 23:50 57 开云体育

最近围绕“爱游戏”这一品牌，出现了一批看起来非常像官方客户端的假安装包和仿冒下载页。我对这些样本做了横向比对和动态检测，把能帮助普通用户识别与自查的关键证据和操作步骤都整理在下面——方便直接照着查、照着报。

一眼看懂：这些假安装包常用的套路（高频特征）

仿冒域名与重定向：攻击者用与官方极为相似的二级域名或路径（例如 ai-youxi、aigame、ai-game 等变体），并通过短链接、广告推广页或第三方下载站把用户诱导到假包下载页。
文件名伪装：安装包名看起来像“爱游戏setupv1.apk”或“AIYouxiInstaller.exe”，实际内部包名/package name 与官网不一致。
签名/证书异常：官方版本通常使用固定的开发者签名证书；假包往往是自签名或由不熟悉的签发主体签名，证书信息与官方不符。
权限过度请求（安卓）：正常游戏客户端不会频繁请求短信、设备管理、无障碍服务或录音等高风险权限；假包常借安装流程索要额外权限以便偷信息或植入广告/木马。
第三方 SDK 异常：假包里常见大量不相关广告/付费/统计 SDK，且包含可疑的支付或遥测服务 ID。
行为可疑：安装后自动静默安装其他 APK，后台常驻跳转广告，或在无用户交互下发起大量网络请求到可疑 IP/域名。

我怎么查的（可复现的检查方法）

下载来源核对：只从爱游戏官网、官方渠道或知名应用商店下载；如果是第三方来源，先对下载页域名和证书进行 WHOIS/证书信息查验。
静态检测（APK/EXE）：用 aapt/apktool 查看 APK 包名和版本信息；Windows exe 查看文件属性里的数字签名。
常用命令（安卓样本）：
- aapt dump badging sample.apk -> 查看 package name、version
- apksigner verify --print-certs sample.apk -> 查看签名证书信息
动态行为分析：在沙箱或隔离手机上运行，观察网络请求、访问权限、是否启动不可见服务、是否下载其他模块。
使用 VirusTotal、Hybrid Analysis、Any.Run 等做样本提交与行为回放（提交前注意不要上传含有隐私的变体）。
二进制与资源排查：用 jadx/grep/strings 检索源码或常量，找出硬编码的支付 ID、C2（命令控制）域名、广告接口等线索。
网络流量监控：用 Wireshark 或手机抓包（例如使用 Charles、mitmproxy）观察安装后向哪些域名发包，是否有上传设备标识、短信或联系人等敏感数据。

关键证据清单（我在多份样本里反复看到的证据类型）

包名与官方不一致：官方包通常有固定包名（例：com.aiyouxi.app）；假包常见包名：com.install.ai、com.game.update等。
签名主体异常：官方签名主体包含公司名称或与历史签名一致；假包常为“CN=Unknown”或个人邮箱/姓名，签发机构为自签或小众 CA。
权限清单差异：官方仅请求存储、网络等正常权限；假包新增 RECEIVESMS、SENDSMS、SYSTEMALERTWINDOW、BINDDEVICEADMIN 或 REQUESTINSTALLPACKAGES 等高风险项。
可疑域名或 IP：样本内硬编码的上报域名/下载域名多为非官方域名或被多个安全厂商标注为“恶意/广告/间谍”。
静默侧载/广告模块：安装后静默安装其他 APK 或在后台不断弹出下载/更新对话框；含有大量广告 SDK 且请求动态加载代码（Dex/classload）。
“更新”与“修复”伪装：假安装器在运行时假装检查更新或修复游戏文件，实则诱导用户给出额外权限，或在同意后执行危险操作。

如何自查你的设备是否中招（逐步操作）

如果确认是伪装包，接下来怎么做（可执行流程）

立刻卸载并断网：先断开网络并卸载可疑程序，防止更多数据外传或二次下载。
提交样本与报告：把 APK/EXE 上传 VirusTotal，并把检测报告截图保留；向爱游戏官方客服或安全邮箱提交证据，要求核实并发布风险通报。
向平台或监管机构举报：在 Google Play / App Store /各下载站提交侵权/恶意软件举报；对造成财产损失者，保留聊天记录、支付凭证并向公安网安或消协报案。
清理与恢复：用权威安全软件全盘扫描，必要时备份重要数据并重置设备。对支付类敏感帐号，立即修改密码并开启多因素认证。

给普通用户的简易核查清单（30秒版）