研究人员概述了两个独立的恶意广告系列，这两个系列感染了200多个安卓应用程序，超过了2.5亿的下载里程碑。

这两个分别专注于广告软件和数据捕获的广告系列，只针对安卓用户，通过欺骗开发者使用恶意软件开发工具包(SDK)来感染大量应用。

根据Check Point Research的数据，这两个名为“SimBad”的突出广告已经感染了206个下载的应用程序，总共下载了1.5亿次，因为它们主要影响的是模拟游戏。

恶意软件本身存在于广告相关的“RXDroider”SDK中，由“addroider.com”提供，被大量开发者采用。

一旦用户下载并安装了受感染的应用程序，SimBad将向设备注册并允许自动操作。安装后，恶意软件随后与命令和控制服务器连接以接收订单。这些可能包括用给定的网址打开浏览器，并从启动器中删除应用程序图标。

这个应用程序的三管齐下的功能包括显示广告、打开网络钓鱼页面和将用户暴露给其他应用程序。攻击者还可以从指定的服务器安装远程应用程序，这样他们就可以决定进一步感染用户的恶意软件。

研究人员表示，“它有能力显示范围外的广告，让用户联系其他应用，在浏览器中打开网站”。“SimBad”现在被用作广告软件，但它已经有了一个进化的基础设施，并成为了更大的威胁。'

在昨天的第二份报告中，检查站研究也概述了“羊的行动”。这涉及到一群安卓应用在未经用户同意的情况下，大规模收集用户手机的联系方式。

这种恶意软件也被加载到为数据分析而构建的软件开发工具包中。到目前为止，它已经出现在多达12个不同的安卓应用程序中。这些已被下载超过1.11亿次。

SWAnlaytics SDK已经集成到十几个在第三方应用商店(如华为应用商店、Xioami应用商店和腾讯MyApp)发布的看似无害的安卓应用中。

研究人员于2018年9月首次遇到感染样本，并追踪到一条通往王顺科技拥有的服务器的数据捕获路径。根据Check Point Research的说法，一旦安装了恶意应用程序，整个联系人列表就会上传到公司的服务器上。

他们还在腾讯的MyApp Store中指出，12款被感染的应用中有8款累计下载量达到1.11亿次。

“理论上，”研究人员推测，“王顺科技可能收集了三分之一人口的姓名和联系电话，如果不是更多的话。”

他们补充说，王顺对数据的使用没有明确的声明或规定，这些数据很容易在地下市场交易，并以各种方式被滥用。这些可能从流氓营销到滥用朋友推荐程序。

研究人员表示：“与财务数据和政府发布的文件相比，个人联系信息通常被视为不太敏感的数据。

“根据舆论，使用这些数据需要额外的努力，潜在的利润与黑客的努力并不一致。因此，不太可能成为目标。

“然而，随着地下市场日益专业化，以及可以从这些个人联系数据中获益的新“商业模式”，这种情况正在发生变化。”