我们发现了一个新的Android木马，它使用多种技术将自己隐藏在设备上，并留存在Google Play商店中。这款恶意软件可以收集设备信息，并在设备上显示广告。然而，这款应用的功能和活动很容易被扩展，以达到其他多种恶意目的。

这款恶意软件(Android.Doublehidden)用波斯语命名。英文名为“Photograph by Fiery”，包名称为com.aseee.apptec.treeapp。该恶意应用在Google Play上的可用性模式表明，该恶意软件的作者一直试图使其保持隐藏性。2017年10月和11月，这款应用已经更新了5次，在一个合法的照片编辑应用和自身隐藏的恶意软件之间进行切换。据我们所知，该应用的开发者“i.r.r developer”还发布了其他一些合法的应用。

图1所示，Google Play的Norton Mobile安全应用顾问禁止了 Android.DoubleHidden

这款应用将自己伪装成一款照片编辑应用，来欺骗用户，并在安装过程中隐藏自己。在启动时，该应用会向用户询问设备管理员权限——这是一种被恶意软件广泛使用的方法，通过获得管理员权限，可以在设备上获得一个强大的立足点。随后，用户界面(UI)屏幕上，该应用会弹出一条信息，大致意思是:“很不幸，本应用在该手机上不能使用。退出后，应用程序将被删除。”

尽管这款应用已经关闭，但其恶意功能已经设置好了。

这款应用使用下面的技术隐藏在设备上:

· 开始图标被设置为一个没有应用名称的透明图像。安装之后，应用图标会出现在主屏幕上的空白区域。在设置中，无论它在哪里出现，该应用程序都将显示为一个空白条目。

应用程序调用setComponentEnableSetting()。一旦启用了该应用，它就会从应用开始中消失(即它的图标不再出现在主屏幕上)。

图2 一旦恶意软件被启动，主屏幕上的空白应用图标就会消失

该应用利用其在受害者设备上的位置来收集数据和获取广告收入。该应用程序收集用户信息，发送给恶意软件作者。这款恶意软件利用Google Cloud Messaging（云消息）推送配置信息，包括何时收集数据以及往哪里发送信息。

该恶意软件可以收集以下信息:

· 设备信息，如国际移动设备标识(IMEI)号、Mac地址、设备模型、设备品牌、设备屏幕

· 已安装的应用程序，以及安装和卸载应用程序的时间

· 恶意软件的活动/UI时间

· 网络连接(漫游/wi-fi连接/载波连接时的吞吐量)

· 设备的位置

· 帐户服务中登陆过的所有帐户

· 在前台运行的应用程序

恶意软件还会请求并在设备上显示广告，包括使用OneSignal通知网络推荐安装其他应用程序。

如果用户给恶意应用程序设置了设备管理员权限，就会更难删除该恶意软件，因为用户必须在该恶意应用程序设置中禁用“设备管理员”(但是，这款恶意软件的该条目是一个空白行)，以便真正的卸载它。

图3  空白Android.DoubleHidden条目的设置屏幕

Symantec和Norton产品检测到了这个恶意软件:

Android.Doublehidden

通过采取下面这些预防措施，可以帮助远离移动恶意软件。

保持软件及时更新
不要从不熟悉的网站下载应用
只从可信来源安装应用程序
密切注意应用程序所要求的权限
安装一个合适的移动安全应用，来保护设备和数据，比如Norton。
对重要数据进行频繁备份