早在2013年初，一个名为Armor for Android的新型移动杀毒软件公司就出现在移动安全软件行业，这让所有人都感到困惑。因为其杀毒软件看起来像被称为Fake AV的恶意软件，甚至有人直接给它贴上这种标签。作为一名年轻的移动研究人员，我是给它贴上这样一个标签的人之一，并将它添加到恶意软件检测列表中。不久之后，Armor for Android便联系了我当时工作的安全公司，要求移除对其杀毒软件的检测。

我写了一个博客进行反击，证明这家AV公司不可能是合法的——尽管它们的产品正在Google Play中上架。但我并没有把该博客发表，因为我被同行的行为啪啪打脸了:AV公司是由一家著名的反病毒测试公司测试的。更令人不快的是，它竟然在测试中得了高分，并且获得了官方认证!一个假冒的AV公司怎么可能通过一个知名度较高的AV测试公司的认证?

我将那篇博客搁置了，让这个话题消失了。但最近，Armor for Android似乎卷土重来。那么现在让我们看看五年前他们是如何玩弄Android系统，并且现在又有什么新花样。

欺骗Android系统

Armor for Android在短短几个月后就能与业内其他所有人竞争。他们是如何做到的呢？答案很简单，“作弊”。我清楚地记得，他们用来检测恶意软件的命名规范和其他比较受欢迎的反恶意软件移动扫描器是一样的。公平地说，许多业内人士使用了类似的命名规范。然而，Android for Armor使用的与其他公司完全一样。很明显，他们在窃取其他公司的情报。但是他们是如何做到的？

共享,不是窃取

VirusTotal是一个信息共享公司，任何软件安全行业的从业者都可以通过它与世界共享检测。你只需向virustotal.com上传一个文件，甚至只需一个Android APK，就会有几个防病毒/反恶意软件扫描结果返回给你。这可以帮助典型用户发现文件是否是恶意的。此外，它还可以帮助安全研究人员确定一个软件是否是恶意软件。VirusTotal不允许用户直接在其平台上偷偷检测以获取扫描结果。这不仅违反了服务条款，并且无论是谁，在安全行业中出现这种行为都相当于犯了一种致命的罪行。

那么Android for Armor到底都做了什么呢？通过使用网络分析仪工具并运行Android for Armor，你可以看到来自VirusTotal的流量。详细的数据显示他们确实窃取了别人的发现。就好像在考试中你偷偷抄袭了班级里最聪明的孩子的答案，你可以很容易获得好成绩。

显示出了真实意图

Android for Armor本可以见好就收。因为他们已经欺骗了Google Play。此外，很明显他们有能力支付昂贵的测试费用来获得认证。但是，他们仍然决定像其他Fake AV恶意软件一样，继续使用该策略。下面的证据是我多年前发现的，但遗憾的是从未发表过。

早在2013年，我就在Google Play中下载了一款免费游戏。就像我们中的很多人一样，为了换取该App免费使用的权利，我同意接受非攻击性的广告。之后我便收到了一系列使用恐吓性欺骗策略的各种不同的链接:

作为一名年轻的移动研究人员，我做了我们所有人都做过的事情：点击这些链接，来看看我将被链接到哪些rabbit hole。第一个跳转到的如下:

跟随rabbit hole前进，我点击Download & Scan FREE Now，然后它便开始下载一个名为Scan-For-Viruses-Now.apk的文件（关于该程序更多信息）。

下载完成后，跳转便停止在了一个已知的Armor for Android网页上，它指示你允许未知的来源，并再次下载和安装一个应用程序。

对于一家合法的AV公司来说，让手机用户直接从他们的网站上下载而不是将用户下载页面跳转到Google Play，这是很奇怪的。

双重感染的机会

进一步对下载的应用程序Scan-For-Viruses-Now.apk分析发现，其是Armor for Android的一个安卓版本，坚持要用户支付1.99美元来扫描设备。从下图可以看出其页面呈现设计精致，一个星期的费用就1.99美元，一年就是103.48美元。毕竟，不要忘了他们还有一个AV测试形式的认证。

在Scan-For-Viruses-Now.apk下载页面中可以发现，该网页请求允许未知来源并声明其重要性，以防万一你不想在最后一个网页上询问允许未知来源。你必须现在就安装、打开并激活。另外，如果你的设备禁用了未知来源，那么这将是你手机的最后一道屏障，因为这种情况下无法下载并安装Scan-For-Viruses-Now.apk。在我看来，这一切看起来都不像合法的AV公司的做法。

经典的重新崛起

就在几天前，我们的移动情报系统发现了一个APK，它有一个不同于Armor for Android的名字，但是其一系列的行为却很相似。很明显，是Armor for Android重新包装的一个变种，只是这次被称做“Android’s Antivirus”。

很快，我们又增加了一种名为PUP.Riskware.Armor的检测。

关于Fake AV的警告

像上面描述的那种Fake AV，已经存在了很长一段时间，并且有许多不同的变种。有些可能非常危险。对于合法的反病毒/反恶意软件程序的正常工作，我们必须给予特殊权限。例如，Android的Malwarebytes利用设备管理权限来修复恶意勒索软件。作为一个知名度较高的反恶意软件公司，我们向用户承诺，不会使用设备管理权限对用户的移动设备进行随意清除或者进行其他不法行为。但是，如果你赋予了一个恶意Fake AV应用程序同样的权限，你的设备就危险了。

Fake AV或合法的

由于需要更高的权限，消费者在选择移动反病毒/反恶意软件扫描器时需要格外小心。不幸的是，通常很难将Fake AV和合法的反病毒/反恶意软件app分辨开来，特别是当Fake AV潜入Google Play并花时间创建一个令人信服的网站。作为一个消费者，你要做的是挑选知名度比较高的软件公司。看该公司是否发表过有深度的、可靠的博客(比如本文)。以及该公司成立的时间，当有疑问时，你可以依靠Malwarebytes产品来保护您免受最新的威胁!

拒绝进入

虽然我并没有在博客上发表，但我还是坚持自己的立场，将Armor for Android归类为虚假AV。现在，作为一个Malwarebytes的研究人员，我依然在移动领域与可疑虚假AV公司进行斗争。几年前，我曾帮助检测过Armor for Android，确定其属于虚假Android AV。我也会为其他想要利用移动客户的公司做同样的事情。使其保持安全!