趋势网(微博｜微信)讯：研究人员发现了一种新型的几乎不能被卸载的Android程序，里面有Shedun、Shuanet和ShiftyBug这三种恶意广告变种之中的一种。这种程序给手机带来了潜在危险。这种程序可以伪装成各种各样的程序，例如Twitter、Facebook 甚至是Okta（一个两因素认证服务）。

研究人员发现了超过2万种有木马病毒的应用程序。攻击者从Google Play上下载多款官方应用程序，然后捆绑病毒并重新打包成软件，并把它们发布到其他软件商城上。对用户来说，他们看不出这些程序与本来的有什么不同，而事实上这些有病毒的软件也跟原来的软件的外表和功能一模一样。然而，这些有病毒的程序却秘密地在手机里获得了root权限，进入到了安卓操作系统的内部。研究人员在Shedun、 Shuanet和 ShiftyBug这三个恶意广告变种里发现了三个通用漏洞，这三个漏洞允许木马程序安装成为系统程序。（系统程序有很高的权限，是系统级别的进程。）

00后小伙约嫖60后大妈被抓 黄金创近两年单日最大跌幅 杨晓明涉嫌严重违纪违法 赵雅芝工作室辟谣去世传闻 鲁迅家属向乐乐茶发律师函

信息安全公司Lookout Mobile Security本周三发表博文说：“对于有些人来说，感染了Shedun,Shuanet和ShiftyBug这三个恶意广告变种，就意味着他们要换新手机了。因为这些恶意广告程序破解了手机并在里面把自己安装成系统程序，使得它们变得难以卸载。这经常迫使一些受害者不得不换手机。”

Lookout Mobile Security的工作人员认为这些广告程序虽然看起来好像只是展示广告而已，但是其实它们也 偷 偷 地给自己打开了root权限。通过这样，它们破坏了安卓系统的关键的安全机制，并自我安装到安卓系统里。安卓系统有一种限制，就是应用程序不被允许访问其他程序的密码和数据。但是一旦拥有了root权限，这些应用就有超级用户权限去打破这些限制。然后，它们就可以肆无忌惮地读取和篡改数据了。

它也写道：“一开始，我们很惊讶为什么有些人会从一些正规软件上感染到病毒。后来，我们考虑到命令和控制服务器的分布规律，知道这些软件是被以编程的方式改编而成的冒牌软件。但是令人惊奇的是，杀毒软件却被没有被改 装成有病毒的软件。这也表现了那些黑客在创建这些恶意软件的时候的高明。”

Lookout Mobile Security研究发现，从Google Play上下载软件，并把它们捆绑上恶意代码，然后发布在其他的网站上的情况在美国、德国、伊朗、俄罗斯、印度、牙买加、苏丹、巴西、墨西哥和印度尼西亚等地区都有发生。这个最新的研究报告强调了在第三方市场上下载应用程序的风险。并表示目前还没有发现Google Play上的程序有木马病毒。像这样的事情每年都会发生许多次，但是如果它们包含了已经被Lookout通过验证了的应用程序，这些程序就是有特别大的危害性的。

在许多情况下，这些应用程序利用多重root漏洞来使它们可以进行调整并进入被感染的手机的漏洞。例如，shiftybug，配备至少八个独立的root漏洞。像memexploit，framaroot，和exynosabuse这种开发软件都是公开的并且合法的。它们提供合法的服务，让Android用户root设备。它们可以打破运营商或制造商的限制。ARS之前报道了一篇题为“合法的应用程序开发商是如何威胁到整个Android用户群的”来谴责这种开发软件会对安卓用户造成危害。

通过对这三款衍生恶意程序代码的分析，安全研究人员发现Shuanet和Shedun和ShiftyBug的的代码相似度分别达到了71%和82%。尽管这三个恶意程序的源代码非常相似，但是Lookout并不认为都是同一个恶意程序团队所为。“但是显然的是，它们都听说过对方的存在吧。”Lookout这样说。