许多用户抱怨未知来源广告软件被安装在手机上 。 广告软件可植入到系统分区中或者在代码级别嵌入到不可删除的系统应用和库中 。 数据显示 ， 受恶意软件或广告软件攻击的所有用户中有14.8％的用户系统分区受到感染 。
不可删除广告软件引入设备主要有两种策略：
1、获得设备root权限 ， 并在系统分区中安装软件；2、在购买手机前就已经在设备固件之中 。
2019年5月至2020年5月系统分区中存在恶意软件或广告软件的用户地理分布：

本文插图
恶意软件分析Trojan-Dropper.AndroidOS.Agent.pe该混淆木马通常隐藏在处理系统图形界面应用程序或“设置”程序中 ，恶意软件传播植入有效负载 ， 有效负载又可以下载运行任意文件 。 其payload功能代码如下：

本文插图

本文插图
Trojan.AndroidOS.Sivu.cSivu木马是伪装成HTMLViewer应用程序的Dropper 。 该恶意软件包含两个模块 ， 可以在设备上使用root权限 。 第一个模块在其他窗口顶部和通知中显示广告：

本文插图
第二个模块是后门模块 ， 可远程控制智能手机 。 它的功能包括安装 ， 卸载和运行应用程序 ， 这些应用程序可以根据目标静默安装应用程序 。

本文插图
AdWare.AndroidOS.Plague.f该广告软件应用程序会伪装成系统服务 ， 自称Android服务（com.android.syscore） 。 它可以后台下载安装应用 ， 也可以在通知中显示广告 。

本文插图
Trojan.AndroidOS.Agent.pacAgent.pac可以模仿CIT TEST应用 ， 该应用可以检查设备组件的操作 。 在C＆C的命令下 ， 它可以运行应用程序 ， 打开URL ， 下载和运行任意DEX文件（如下图） ， 安装/卸载应用程序 ， 显示通知并启动服务 。

本文插图
Trojan-Dropper.AndroidOS.Penguin.e该木马程序隐藏在名为STS的应用程序中 ， 该应用程序除了显示广告外没有其他功能 。 它可以部署ToastWindow函数 ， 该函数类似于SYSTEM_ALERT_WINDOW位于所有应用程序顶部的窗口 。

本文插图
该应用还可以下载运行代码：

本文插图
Trojan-Downloader.AndroidOS.Necro.dNecro.d位于系统目录中的本地库 。 它的启动机制内置在另一个系统库libandroid_servers.so中 ， 该库处理Android服务的操作 。
木马加载代码：

本文插图
在C＆C的命令下 ， Necro.d可以下载 ， 安装 ， 卸载和运行应用程序 ， 并在手机中预留后门 。 远程命令执行代码如下：

本文插图
Necro.d可以下载Kingroot：

• 移动网站|手机网站设计要注意哪些细节？
• 金十数据|苹果欲向印转移6条生产线，印度手机市场混战：三星份额紧追小米
• 92年的可乐冰 4G手机还能用吗，探讨：5G时代
• 北京网站建设 手机网站设计要注意哪些细节？
• 电脑报 这些手机早已愉快地刷公交了，别傻等iPhone支持了
• 中国青年网|疑发公告禁手机录像，中储粮一直属库被曝问题后
• 中储粮回应下属公司“禁止携带手机入库”：已严厉批评 继续调查
• 免费在线|小娘惹免费在线看地址 小娘惹全集电视剧免费在线看手机版
• 白首|暮白首免费在线看地址 暮白首电视剧全集手机完整版在线看
• 『中储粮回应外人禁带手机进粮库』中储粮回应外人禁带手机进粮库录像