近日，研究人员从Google Play Store发现了35个基于Android的恶意反病毒应用程序，这些应用已被全球超过600万用户下载安装。大部分应用在过去几年里都未被发觉，悄无声息的感染了数百万用户。

这些恶意应用会伪装成合法的杀毒软件，同时执行各种恶意活动，如弹出不需要的广告、窃取用户的移动数据，或是产品本身就不具有安全防护功能。攻击者通过刷下载和好评的行为为产品前期推广赢得声誉，借以增加产品的下载次数。

这些应用除了会模仿合法的安全应用中存在的基本安全功能外，还经常将合法的应用检测为恶意程序。此外它还会在受害者的手机中生成虚假的安全警报，迫使他们点击并获得其他应用的许可。

根据ESET的分析，在这35款应用中，只有少数几个对用户来说是有用的，但它们也有各种各样的问题：有一款应用需要付费升级后才能起到防护作用；有一个应用执行了一个原始而易于绕过的app-locker管理器;还有一个应用虽然将其他34个恶意应用标记为“危险”，但它本身也是个恶意软件。

在这些假防毒软件中，最基础的安全功能和检测机制都是不完善的，所以会产生大量误报。

4种各类app中普遍存在的检测机制分别为：

· 白名单和黑名单——此机制的原理是将非常受欢迎的应用如Facebook，Instagram，LinkedIn，Skype等列入白名单，还有将少量应用黑名单。

· 权限黑名单——所有的应用程序(包括合法的)如果需要一些列出来的被认为是危险的权限，如发送和接收短信，访问位置数据，访问摄像头等，都会被标记出来。

· 来源白名单——除了来自官方Android商店Google Play的应用程序外，其余所有应用都会被标记，即使它们完全是良性的。

· 活动黑名单——包含任何黑名单活动的应用程序。

研究人员表示，在这种情况下，本文中描述的35个伪安全应用并不是传统意义上的勒索软件或其他硬核恶意软件，它们唯一的危害就是展示烦人的广告。

当然，安全的防病毒软件是绝对需要的，但并不是所有被命名为安全或防病毒的应用程序都能提供绝对的安全。