我怀疑我的 Android 手机被入侵了，有人在控制我的设备。我现在该怎么做？

如果你认为有人正在控制你的 Android 手机，第一条原则是：保持冷静，并有条理地行动。Protectstar 在自己的紧急 FAQ 中也是以这一点开头，而且非常正确：仓促反应往往会让这类情况变得更糟。同时，你也应该认真对待真实的怀疑，并从现在开始谨慎处理这台设备。

1. 暂时不要再在设备上执行任何敏感操作
在怀疑尚未澄清之前，请暂时不要用这台手机进行网上银行、购物、修改密码或机密通信。如果设备真的已经被攻陷，你之后输入的任何内容都可能被监视或滥用。对于怀疑存在间谍软件的情况，Protectstar 也建议在清理完成后重置重要的登录凭据。

2. 如果怀疑非常紧急，请暂时断开连接
如果你认为此刻数据正在被主动窃取，或者设备正在被远程控制，请临时开启飞行模式，或关闭Wi‑Fi 和移动数据。在确认存在间谍软件或高度怀疑存在间谍软件的情况下，Protectstar 明确建议先让设备离线，以防止继续传输数据，并中断正在进行的连接。

3. 在第二台设备上保护重要账号
请在另一台值得信任的设备上保护你的Google 账号、电子邮箱、银行访问、即时通讯工具和社交网络。Google 建议：对于疑似被入侵的账号，应检查安全事件和已登录设备，移除未知设备，并启用两步验证（2‑Step Verification）。如果你的手机可能已被攻陷，就不应首先在这台手机上更改密码。

4. 有针对性地检查手机本身
接下来，请检查设备上的已安装应用，移除任何未知项目，并审查可疑的权限和特殊访问权限。尤其要注意摄像头、麦克风、辅助功能、设备管理员应用、VPN 连接以及通知访问权限。在间谍软件或跟踪型监控软件案件中，这些正是最常被滥用的区域。

5. 运行安全扫描，并保持 Play Protect 处于启用状态
在这种情况下，Protectstar 建议按产品职责使用其安全应用：Antivirus AI 用于检测恶意软件和木马，Anti Spy 用于检测间谍软件和跟踪型监控软件，Firewall AI 用于发现可疑网络连接。此外，Google Play Protect 也应保持启用状态，因为 Google 明确将其推荐为 Android 的重要保护功能。如果检测到的应用无法被移除，请先保存警告截图，然后按步骤处理移除过程。

6. 如果怀疑依然很强：与其半吊子处理，不如进行干净重置
如果可疑应用不断重新出现、无法移除，或者整体上看设备似乎已经被攻陷，那么恢复出厂设置通常是最安全的解决方案。Protectstar 也明确将其描述为在持续性间谍软件情况下合理的最后一步。请事先只备份真正重要的数据，然后尽可能将设备作为新设备重新设置，不要恢复可疑 APK 或旧的、未清理干净的备份。

7. 保留证据，如果问题严重请寻求外部帮助
如果你怀疑存在跟踪骚扰、勒索、账号接管或金融滥用，请保存证据，例如截图、可疑应用名称或异常活动。Protectstar 明确建议在这类情况下保留证据。对于被攻陷的账号，Google 也提到，如果可能产生财务或安全后果，应联系你的银行或当地主管部门。

简而言之：
如果你认为有人已经入侵并控制了你的 Android 手机，正确的立即处理顺序是：保持冷静，停止敏感操作，必要时断网，在第二台设备上保护账号，系统性检查手机，运行扫描，并在怀疑持续时果断重置设备。 这样就能把恐惧转化为一套有结构的应急方案。