知名安全廠商Bitdefender 發(fā)布的一份報告稱，他們在過去6個月中發(fā)現(xiàn)了 6萬款不同類型的 Android 應用秘密地嵌入了廣告軟件安全程序。

報告指出，經(jīng)分析，該活動旨在將廣告軟件傳播到用戶的Android系統(tǒng)設備，以此來增加收入。然而，網(wǎng)絡攻擊者可以輕松地改變策略，將用戶重定向到其他類型的惡意軟件，如針對銀行賬戶的竊取程序。

據(jù)統(tǒng)計，該廣告軟件主要針對美國用戶（55.27%），其次是韓國（9.8%）、巴西（5.96%）和德國（2.93%）。大量獨特樣本表明，有人設計了一個自動化過程來創(chuàng)建帶有惡意軟件的應用程序，通過仿冒游戲破解程序、免費 VPN、Netflix 虛假教程、無廣告版YouTube/TikTok以及虛假的安全程序來分發(fā)。

廣告軟件活動的國家分布

偷偷安裝以逃避檢測

這些應用程序托管在第三方網(wǎng)站上，研究人員沒有在 Google Play 的應用程序中發(fā)現(xiàn)相同的廣告軟件。訪問這些網(wǎng)站時，用戶將被重定向到這些應用的下載站點，當用戶安裝這些應用程序后，并不會將自身配置為自動運行，因為這需要額外的權(quán)限。相反，它依賴于正常的 Android 應用程序安裝流程，該流程會提示用戶在安裝后“打開”應用程序。

此外，這些應用程序不會顯示圖標，并在應用程序標簽中使用 UTF-8 字符，因此更難被發(fā)現(xiàn)。這是一把雙刃劍，因為這也意味著如果用戶在安裝后不啟動該應用程序，則該應用程序很可能不會在安裝后啟動。

如果啟動，該應用程序?qū)@示一條錯誤消息，指出“應用程序在您所在的地區(qū)不可用。點擊確定卸載?！钡珜嶋H上，應用程序并沒有被卸載，而只是在注冊兩個意圖（Intent）之前進行了休眠，這兩個意圖可讓應用程序在設備啟動或設備解鎖時開始運作。Bitdefender 表示后一種意圖在前兩天被禁用，可能是為了逃避用戶的檢測。

注冊啟動廣告程序的 Android 意圖

啟動后，該應用程序?qū)⑦B接到運營方的服務器并檢索要在移動瀏覽器中顯示或作為全屏 WebView 廣告顯示的廣告鏈接。

Android 設備是惡意軟件開發(fā)人員的高度攻擊目標，因為用戶能夠在不受 Google Play 商店保護之外的其他地方安裝應用程序。但目前，即便在Google Play 中也未必安全。近期，來自 Dr. Web 和 CloudSEK 的研究人員發(fā)現(xiàn)，惡意間諜軟件 SDK  通過 Google Play 上的應用程序在 Android 設備上竟安裝了超過 4 億次。

雖然 Google Play 仍然有惡意應用程序，但從官方商店安裝 Android 應用程序總體還是要安全得多，強烈建議用戶不要從第三方站點安裝任何 Android 應用程序，因為它們是惡意軟件的常見載體。