研究表明，预计已有60多万名用户从Google Play商店错误地下载了恶意软件。该恶意软件正在尝试构建僵尸网络，提供欺诈性移动广告，为创建它的网络犯罪分子牟取暴利。

网络安全公司Check Point的研究人员率先发现了这一系列的恶意软件，并将其称之为“FalseGuide”。FalseGuide隐藏在包含Pokémon GO以及FIFA Mobile在内的40多款流行游戏的应用指南软件中。较早一批的这些虚假应用指南软件的更新程序已经早在2月14日上传至Google Play。

据悉，目前已经有几个应用程序的下载量超过了5万次，大约60万名安卓用户在寻找游戏指南时错误地下载了恶意软件。

这显然已经不是Google Play出现的第一个恶意软件，但它是最新发现的正在试图构建Android僵尸网络的移动恶意软件，就像此前发现的Viking Horde 和DressCode一样。恶意人士创建FalseGuide僵尸网络的目的是为了提供欺诈性的移动广告。它可以下载并显示非法的弹出式广告，目的就是通过广告显示和点击，为恶意开发者带来收益。

FalseGuide下载到设备上之后，就会请求获取设备管理员权限（恶意软件用于确保该应用程序无法被用户删除），其意图本身就表示该应用可能是用于从事恶意的活动。

隐藏的恶意属性

最终，这种类型的恶意软件能够渗透到Google Play中，因为该应用程序的恶意属性已经被隐藏起来了，只有在应用程序下载完成，且用户已经启用应用程序所需的权限来发布恶意指令后，该应用程序的恶意属性才会显现。

安装后，恶意软件会将自己注册到Firebase Cloud Messaging中（一种允许开发人员发送通知和消息的跨平台服务），其中具有与应用程序名称相同的主题，例如“Pokemon Go指南”。

通过使用Firebase（提供实时数据后端服务），FalseGuide能够接收附加模块并将其下载到受感染的设备中。FalseGuide通过使用设备启动时开始运行的后台服务来显示弹出式广告。

虽然FalseGuide背后的恶意开发者正在尝试将其用于广告欺诈，但它其实还可以从命令和控制（C2）服务器中接收其他指令模块，用于指示僵尸网络来root设备，实施DDoS攻击，或者甚至渗透专用网络等。

据分析，这些恶意应用程序可能出自俄罗斯黑客之手，因为它们是由两名有着俄罗斯名字（Sergei Vernik和Nikolai Zalupkin）的假冒开发者提交的，但是俄语研究人员指出，后者显然是一个假名字。

恶意软件开发者选择利用游戏指南的原因很简单：它们非常受欢迎。此外，这类应用程序本身并不需要太多的功能或开发要求。这两个因素使得诸如FalseGuide恶意开发者这样的恶意人士能够在短时间内取得非常显著的效果。

Check Point早于今年2月份就通知了Google公司此类恶意软件问题，之后它们也被迅速地从Play Store中移除。但是，它们背后的恶意开发者显然很有毅力，在4月初又上传了更多的恶意应用程序，这些软件在Check Point通过Google后，已经再次被删除。

虽然Google需要保障多达14亿Android用户免受恶意软件攻击，但是事实是，恶意软件仍然有办法瓦解防护程序，成功接触到受害者。对于此事，Google发言人表示，

我们正在对系统进行改进，只要我们发现有问题的应用程序就会第一时间采取行动，进行移除。

虽然FalseGuide恶意软件目前已经从Google Play中移除，但是由于此前大量的用户已经安装了该恶意程序，且公司没有对已经移除的或恶意应用程序进行任何形式的召回通知，所以僵尸网络可能依然存在。广大Android用户还需提高警惕，尽早对相关应用程序进行检测移除处理。