周四，研究人员记录了两起针对Android用户的新恶意软件攻击。

第一个涉及到9个应用程序，它们在谷歌上的下载量超过了47万次。这些应用程序的名字有“Speed Clean”和“Super Clean”，它们伪装成优化设备性能的实用程序。在幕后，他们连接的服务器可以下载多达3000种不同的恶意软件变种。安装后，这些应用程序可以登录用户的Facebook和谷歌账户进行广告欺诈。另一项与此无关的活动则利用精心设计的钓鱼邮件，诱使用户安装针对Android操作系统的恶意软件，恶意软件是最令人讨厌的软件之一。

安装后，这些应用程序伪装成优化器实用程序，连接到一个由攻击者控制的服务器，该服务器能够下载执行各种欺诈任务的其他恶意应用程序，包括:

据趋势微报道，这一运动在日本、台湾、美国、印度和泰国最为活跃。中国是这场运动不太活跃的地方之一。当趋势科技的研究人员将地理参数修改到中国时，这些应用程序并没有进行任何恶意下载。(通常情况下，恶意软件活动会将攻击者的原籍国排除在外，以防止地方当局的打击行动。)

参与该活动的应用程序包括:

谷歌已经将这些应用程序从游戏中移除。

周四公布的活动使用的电子邮件向目标提供了一个附件，表面上是一张账单发票。实际上，它是一个APK文件，通常用于安装Android应用程序。允许安装来自谷歌Play之外的应用程序的设备将显示一条假的谷歌保护消息，要求获得这两种无害的特权。

当用户点击OK时，该应用程序将禁用Play Protect并获得19个权限，其中许多权限高度敏感。安全公司cofenen记录了这次活动，他们的研究人员怀疑这个诡计是虚假信息覆盖并阻止真实的Android对话框的结果。

然后Anubis检查受感染的设备，看看是否安装了263个不同的银行和购物应用程序。一旦用户打开这些应用程序中的任何一个，恶意软件就会使用一个覆盖屏幕来伪装该应用程序的账户密码。其他功能包括:

该恶意软件还包括一个勒索软件组件，该组件对内部和外部存储中的文件进行加密，并添加文件扩展名. anubiscrypt。然后，它将每个加密文件发送到攻击者控制的服务器。

Cofense的一名研究人员在电子邮件中写道:“勒索软件模块是一个额外的或次要的‘功能’，一旦攻击者对手机没有其他用途，就可以远程激活它。”“例如，一旦攻击者获取并利用了所有的凭证、联系方式、电子邮件、消息、敏感照片等，他们可能会选择为手机加密以获取赎金，或者出于恶意将手机销毁。”

总的来说，周四披露的信息强调了让Android设备远离恶意软件的古老建议。首先是对可用的应用程序持怀疑态度。人们应该避开那些用户相对较少的应用，那些来自不知名开发者的应用，或者那些报告可疑行为的用户评论。那些没有什么好处或者最近没有使用过的应用程序应该总是被卸载。

尽管谷歌Play可能存在问题，但从第三方获得应用程序的风险几乎总是更大(除非这些应用程序来自亚马逊或用户或用户雇主认识的开发人员)。在任何情况下，人们都不应该安装通过电子邮件发送的应用程序。