近日，ESET的安全系统检测到一个新的multi-stage安卓恶意软件家族（Android/TrojanDropper.Agent.BKY），这些恶意软件看起来一点不像恶意软件，也没有什么恶意活动。安全系统在Google Play中发现了该恶意软件家族的8款恶意应用，并通报给了Google的安全团队。Google从应用商店中下架了这8款恶意应用。

Figure 1 Google Play中发现的6款multi-stage下载器

这些有问题的应用的下载量都只有几百，但是这些应用的高级反检测特征还是很有意思的。

反检测特征

这些恶意软件样本都使用了multi-stage架构和加密来防止被检测到。在下载和安装后，这些应用都不请求任何可疑的permission。恶意应用会解密和执行first-stage payload。First-stage payload会加密和执行second-stage payload，而该payload保存在Google Play的应用中。这些步骤对用户是可见的，而且以一种混乱的方式服务。

Figure 2 Android/TrojanDropper.Agent.BKY执行模式

Second-stage payload含有一个硬编码的URL，这个URL可以在无需用户同意的情况下下载另外一个恶意应用，即third-stage payload。经过预先设定好的5分钟时延之后，用户会收到提示安装下载应用的提示。

根据second-stage payload下载的应用伪装成Adobe Flash Player或者Android Update。应用的目的是获取最后一步的payload，并获取所有进行恶意行为的权限。

Figure 3 – 第三阶段的安全请求

安装并得到要求的权限后，作为third-stage payload的恶意应用会解密和执行fourth-stage和final payload。

在所有调查的案例中，final payload是一个手机银行木马。一旦安装后，该银行木马的行为就是典型的恶意应用，会向用户展示假的登录表单来窃取用户的证书或者信用卡细节。

其中一个恶意应用使用bit.ly URL shortener来下载final payload。因此，文明可以获取下载统计量，截止11月14日，该链接被点击了超过3000次，其中主要是来自荷兰的用户。

Figure 4 恶意应用的下载量统计

如何清除

如果用户下载了任意一款恶意应用，需要进行以下操作：

1. 取消安装的payload的admin权限。

2. 卸载偷偷安装的payload；

3. 下载从其他应用商店下载的应用。

如何保护

与普通的安卓恶意软件相比，multi-stage下载器的混淆特征利用让其进入官方应用商店。用户不应该只依赖于应用商店的保护，还应该检查应用的评分和评价，注意应用请求的权限，在手机上安装xx手机安全卫士等工具。