对于许多手机用户来说，遭到恶意软件的攻击并不怎么新鲜。但近几个月来，恶意软件的开发者变得越来越狡猾猖狂，他们已经能够轻易地隐藏或部署这些具有破坏力的软件，更重要的是，他们越来越激进。这种趋势让广大移动用户受到威胁。

Kaspersky实验室曾发布了一份《2018年移动恶意软件发展情况报告》，报告显示，受到恶意软件攻击的设备数量从2017年的6640万台飙升至2018年的1.165亿台。报告还显示，从2017年到2018年，“Trojan-droppers”（一种恶意软件）的数量翻了一番。恶意软件的质量（精确性和影响力）也在不断增强。

在McAfee公司最近发布的报告表示，数十家应用商店都隐藏着山寨应用，这类应用在2018年年中大概只有1万个，然而，预计到2019年年底，数量会升至6.5万个。

此外，Verizon公司最近进行的调查结果显示，大多数受访者都认为自己的公司处在被恶意软件攻击的风险之中。有三分之一的公司承认，遭到恶意攻击后，他们都选择了妥协。而且，有超半数的人表示，他们为了完成工作必须“牺牲”安全，比如使用不安全的公共WiFi，哪怕这样存在安全隐患。

所有数据都表明，移动设备遭受的威胁正飞速增长，然而，这并不能阻挡恶意软件的发展。我们应该做好心理准备，这一系列的数字在2019年都会大幅增长。

Anubis的规避策略

一般来说，利用应用程序来传播恶意软件是最有效的方式。恶意软件要想潜入非正规的应用商店十分简单，因为这种应用商店很少或根本不会对这些软件进行筛查。但可怕之处在于，恶意软件要想通过正规应用商店的检查也很简单。

我们先来瞧一瞧新型恶意软件Anubis是如何将“创新”发扬光大的。

在谷歌的Play store中，Anubis至少植入在两个应用程序里。狡猾的Anubis的开发者发现，谷歌安全员一般使用模拟器搜索应用程序中的木马，所以，他们利用目标手机的运动传感器来隐藏自己的恶意软件。

他们把Anubis设定成检测到运动后才激活，因此，这种恶意软件对研究员来说是隐形的。只有用户的运动传感器开始运行，Anubis才可以激活。

Trend Micro公司今年1月报道称，通过检测运动实现激活的Anubis出现在两个看似正常的应用程序中，一个是4.5星评级的电池扩展程序，另一个是货币转换器。Anubis激活之后，为了窃取凭证会安装一个键盘记录程序，或者直接截屏。

clipper潜入play store

除了之前提到的Anubis，今年2月，安全公司ESET在谷歌的play store中发现的第一个clipper恶意软件：Android/Clipper.C。

以前，这种恶意软件常常出没在非正规的应用商店里，然而现在，它已潜入正规应用商店。

这种恶意软件会用其他数据替换设备剪贴板里的内容，比如，该软件会在用户进行加密货币交易时切换存款帐户，将交易转移到其他帐户。

此外，Android/Clipper.C还试图窃取凭证和私钥，并将它们发送到攻击者的Telegram账户，窃取以太坊的资金。它还可以更换以太坊或阅批钱包地址。

根据谷歌的数据，在2018年，play store里潜在有害应用程序(PHA)的安装率约为0.04%。然而，我们不该对这个利率的微小而感到安慰，因为这个几率代表着你每下载2500次，就会有一次安装到PHA，或者说，一个拥有数千名员工的公司可能安装了很多PHA。