可被黑客惡意利用，超6萬款Android應用暗藏廣告軟件

知名安全廠商Bitdefender 發布的一份報告稱，他們在過去6個月中發現了 6萬款不同類型的 Android 應用秘密地嵌入了廣告軟件安全程序。

報告指出，經分析，該活動旨在將廣告軟件傳播到用戶的Android系統設備，以此來增加收入。然而，網絡攻擊者可以輕松地改變策略，將用戶重定向到其他類型的惡意軟件，如針對銀行賬戶的竊取程序。

據統計，該廣告軟件主要針對美國用戶（55.27%），其次是韓國（9.8%）、巴西（5.96%）和德國（2.93%）。大量獨特樣本表明，有人設計了一個自動化過程來創建帶有惡意軟件的應用程序，通過仿冒游戲破解程序、免費 VPN、Netflix 虛假教程、無廣告版YouTube/TikTok以及虛假的安全程序來分發。

廣告軟件活動的國家分布

偷偷安裝以逃避檢測

這些應用程序托管在第三方網站上，研究人員沒有在 Google Play 的應用程序中發現相同的廣告軟件。訪問這些網站時，用戶將被重定向到這些應用的下載站點，當用戶安裝這些應用程序后，并不會將自身配置為自動運行，因為這需要額外的權限。相反，它依賴于正常的 Android 應用程序安裝流程，該流程會提示用戶在安裝后“打開”應用程序。

此外，這些應用程序不會顯示圖標，并在應用程序標簽中使用 UTF-8 字符，因此更難被發現。這是一把雙刃劍，因為這也意味著如果用戶在安裝后不啟動該應用程序，則該應用程序很可能不會在安裝后啟動。

如果啟動，該應用程序將顯示一條錯誤消息，指出“應用程序在您所在的地區不可用。點擊確定卸載。”但實際上，應用程序并沒有被卸載，而只是在注冊兩個意圖（Intent）之前進行了休眠，這兩個意圖可讓應用程序在設備啟動或設備解鎖時開始運作。Bitdefender 表示后一種意圖在前兩天被禁用，可能是為了逃避用戶的檢測。

注冊啟動廣告程序的 Android 意圖

啟動后，該應用程序將連接到運營方的服務器并檢索要在移動瀏覽器中顯示或作為全屏 WebView 廣告顯示的廣告鏈接。

Android 設備是惡意軟件開發人員的高度攻擊目標，因為用戶能夠在不受 Google Play 商店保護之外的其他地方安裝應用程序。但目前，即便在Google Play 中也未必安全。近期，來自 Dr. Web 和 CloudSEK 的研究人員發現，惡意間諜軟件 SDK 通過 Google Play 上的應用程序在 Android 設備上竟安裝了超過 4 億次。

雖然 Google Play 仍然有惡意應用程序，但從官方商店安裝 Android 應用程序總體還是要安全得多，強烈建議用戶不要從第三方站點安裝任何 Android 應用程序，因為它們是惡意軟件的常見載體。