揪出Android流氓软件

揪出Android流氓软件

http://www.icpcw.com/Smartphone/Android/Android/1471/147142_all.htm

http://www.williamlong.info/archives/3134.html

 如果使用豌豆荚或其他应用市场安装APP之后，手机会定期收到一些垃圾推送，打开不是向你推荐程序，就是各种无用的广告，我想你的第一反应绝对是“怒”，接下来就很想知道是哪款软件在捣鬼。难道只能一个一个去卸载？费力又费时。本期小编就来告诉你如何揪出这些潜藏很深的流氓。

引鬼上身难摆脱
    投诉人李小姐前些时候入手HTC One X，最近很奇怪，每天都会莫名其妙的收到消息推送，有时候是游戏的广告，有时候是盛大、金山、搜狐的应用，刚开始只有一两条，最近变本加厉一天能收到七八条，最过分的是大半夜也推送。由于购买的是水货，李小姐先与卖家取得了联系，得到的答复是由于安装软件不甚造成的，建议将系统复位。果然，这样处理之后，烦人的推送消失了，可没过多久，问题再次无厘头的出现。无奈之下，李小姐向必答小子求助，而小编介入调查之后发现，祸根竟然是在李小姐通过系统内置的安智市场安装的那些应用身上。

私改代码暗藏广告
    通过对手机的远程控制小编发现，李小姐安装的应用多为常见的QQ、UC浏览器、美图秀秀、美人相机等，表面看运行都很正常，使用后台管理软件，也能停止服务。一个一个删除，用排除法太浪费时间，所以想到了调用Andriod系统log日志。使用的软件是《aLogcat日志记录器》，在手机弹出推送通知的时候打开，为了缩小搜索的范围，先把之前产生的日志清理，然后在推送中点开那个广告，接着再返回《aLogcat》，一个名为com.imangii.templerun的进程浮出的水面，搜索关键字，竟然是大名鼎鼎的《神庙逃亡》游戏。

为了挖出真相，我们从Google Play上也下载了一个相同版本的《神庙逃亡》游戏，将apk文件后缀改成rar,用winrar解压即可得到classes.dex文件。通过Android代码反编译工具dex2jar，就能得到java的源代码。然后使用源代码查看工具jd-gui，就能查看编译后的源代码，经过比对，发现在李小姐通过安智市场下载的《神庙逃亡》是被人动过手脚，植入了一个非官方广告包。事已至此，整个事情终于弄明白了。

挖出黑色产业链
    众所周知，Android系统以开放著称，这也是他吸引众多开发者的重要原因之一。在它提供给开发者的众多便利中，其中有就一条：系统允许第三方开发者开发系统级的程序驻留后台。这本来是为程序开发者提供方便，但是却被一些人利用。此前我们更多见到的是通过恶意软件联网自动下载或是刷机内置流氓推广的方式来强推应用，利用一条密集的流氓推广产业链，从中谋取暴利，然而随着各种反流氓软件的升级，以及获得Root权限越来越简单，老招数开始失效。

眼下最流行的流氓广告分别是通知栏匿名广告和积分墙广告。前者会在用户安装某款应用程序后触发广告的强制弹出，并隐藏出处。积分墙广告则要求用户完成如下载其他应用程序等行为来获取一定的积分，才能继续使用应用程序。究竟怎么才能铲除流氓？我们推荐《广告推送积分探测器》（下载地址：http://dl.dbank.com/c05ba59mgr），打开之后执行扫描，发现有通知栏匿名广告和积分墙广告会用红色标注，既可以直接卸载暗藏广告的流氓软件，也可以通过网络防火墙禁止这款软件开机启动和联网。

面对不良开发者坑害用户行径，必须引起各大应用商店和移动安全厂商的重视，不仅仅要加强审查机制，定时对流氓软件进行曝光，还要对移动互联网广告加强监管。此外我们建议广大机友，尽可能选择正规的应用市场下载原版软件，别被所谓的“优化版”、“去广告版”迷惑，这样可以大大降低中枪的机率。

日骚扰，夜骚扰，广告推送太流氓

被扫描，哪里逃

流氓软件通常通过私改代码，植入广告，达到掩人耳目的效果

这些流氓软件的最可怕之处就是他们本来就是病毒恶意攻击程序，只是伪装得很好，卡巴斯基实验室最新公布的病毒攻击数据显示，就今年发现的新病毒恶意程序已经超过14900种 

 

本文出自2012-08-27出版的《电脑报》第34期 D.平板数码