2017年12月初，趋势科技的研究人员在Google Play上共发现了36个冒充是安全防护软件的应用程序，比如Security Defender，Security Keeper，Smart Security，Advanced Boost等安全工具。实际上，这些应用程序包含的代码主要是显示虚假的安全警报，显示广告，并秘密收集个人数据，比如操作系统细节，硬件规格，地理位置详情，其他应用程序的详细信息等等。目前，这些恶意软件已被Google删除了。 

这些恶意软件会把自己标榜为具有扫描、清理垃圾、节省电量、降低CPU的占用率、锁定应用程序，维护WiFi安全等功能的安全防护工具，从而诱使用户下载。

其实，这些恶意应用程序是可以执行一些基本的安全防护任务的，但它们在执行任务的时候也秘密地收集用户数据，跟踪用户的位置，推送广告。

在Google Play上发现的恶意应用程序

技术分析

首次启动后，这些应用程序是不会出现在设备启动器的应用程序列表中的，快捷方式也不会出现在设备屏幕上。由于这些应用程序是隐藏的，因此用户将无法轻松地将其卸载。用户只会看到应用程序发送的通知。他们通常会向用户推送危言耸听的安全警告和弹出式窗口。

隐藏程序的代码片段

经过人工检查，研究人员发现恶意行为的运行要在特定的设备上，恶意软件的“隐藏”功能被明确设计为不在某些指定设备上运行，如下面的代码所示：

将特定设备排除在恶意行为之外的代码

这些被排除在外的设备是：谷歌Nexus 6P，小米MI 4LTE，中兴N958St和LGE LG-H525n。恶意软件开发者有可能知道这种攻击策略不适用于这些设备，或者他们希望在运行期间避免被Google Play检测到。

一旦恶意应用程序开始运行，用户将收到来自恶意软件的“安全”通知和其他广告的轰炸。在研究人员检查了原始代码后，他们发现通知中的大部分“安全”检测结果都属于谎报军情。例如，如果用户安装了一个新的应用程序，则会立即被报告为可疑程序，或者干脆向用户发送类似于“有10 GB文件占用了你的内存”这样的通知。

虽然这些消息中显示的“安全”检测结果是假的，但它们却是起到了很好的掩护作用，让用户误以为他们很有用，从而忍受它们的广告推广。

应用程序推送的通知

这些恶意应用程序的开发人员为了让所谓的安全工具运行地像真的一样，会在用户点开安全操作后，显示一个正在进行安全进程的动画。如下图所示，如果用户点击了 “欺诈短信漏洞”的安全提示，那么应用程序将只显示一个简单的动画，说明安全进程正在进行。这样，用户就会误认为该应用程序正在工作，不会对此感到怀疑。

关于系统漏洞的检测结果

点击RESOLVE后的代码片段

但是，当用户点开应用程序发送的这些通知后，恶意程序就开始收集用户的私人数据了，包括具体的位置细节，并将其发送到远程服务器。

应用程序如何收集用户私人数据的代码片段

在收集完用户的信息后，恶意程序就会根据不同的用户推送许多对应的广告，且广告无时无刻不在。例如，在你解锁设备屏幕或者连接到充电器之后，这些恶意程序也会趁着机会来条广告。很明显，应用程序的主要目的就是广告展示和点击欺诈。

实际上，在进行信息窃取前，用户已经签署并同意EULA（最终用户许可协议），该协议详细描述了应用程序将收集和使用的信息。虽然如此，应用程序也存在着滥用隐私的功能，因为个人数据的收集和传输与应用程序的功能无关。

该应用程序能够将用户数据信息，安装的应用程序信息以及附件，用户操作信息以及激活事件的数据上传到远程服务器。我们可以在上图中看到如何上传用户信息和用户的操作事件。

泄漏的用户操作隐私数据

这些应用程序还可以收集私人数据，如Android ID，Mac地址，IMSI（标识用户订购的网络运营商），操作系统信息，设备品牌和型号，设备细节（如每英寸点数和屏幕大小），语言，位置信息（从设备所在的城市到经度和纬度）以及已安装应用程序（如Google Play和Facebook）上的数据。该应用程序还记录了授予或不授予的权限，特别是使用统计信息，可访问性和读取通知栏。

缓解措施

1.供应商通常会快速地修补他们的应用程序和软件，所以用户及时最新到最新版本。

2.从正规商店下载应用程序，下载前，用户应该检查应用程序页面上的评论，以确保它是合法的。

3.管理共享的内容，确保在所有的应用程序和网站上使用隐私设置。有些网站默认情况下可以公开用户的位置，电子邮件，电话号码等。

4.请注意应用程序权限的范围，确保安装的应用程序只能访问他们需要的功能。

5.用户还应该使用多种安防措施，比如双因素密码保护，多种不同的杀毒软件等。