最近，Check Point的研究人员在Google Play商店上发现了一种新的恶意代码，它隐藏在至少60款游戏应用中。值得注意的是，其中几款应用旨在供儿童使用。根据Google Play商店的数据，这些应用目前已经被下载了300万至700万次。

研究人员将恶意代码称为“AdultSwine”，它可能发起三种恶意活动：

• 显示来自网络的广告，而这些广告往往是“非法的”和色情的;

• 试图诱导受害者安装虚假的“安全应用”;

• 诱使受害者注册到付费服务。

除了这三个主要的恶意活动之外，AdultSwine还可以利用其基础架构将目标扩大到其他领域，如窃取凭证。

一旦恶意应用在设备上安装，恶意代码首先会联系命令和控制(C&C)服务器，以报告安装成功。然后，发送有关受感染设备的数据，并接收配置指令，从而确定其后续操作。

这些配置会指示恶意应用是否隐藏其图标(以阻止删除)，显示哪个广告、哪些应用以及哪些条款。另外，C&C服务器还能够禁止在某些特定应用上显示广告，例如浏览器和社交应用，以避免被怀疑。

恶意代码会在接下来验证有关设备状态的某些条件，并检查屏幕上当前正在运行的应用。一旦满足了所有的条件，它便会开始在应用的上下文之外显示非法广告。

研究人员指出，如果将恶意代码嵌入到浏览器应用中，广告将显示在浏览器内，否则将显示在指定的Web视图内。

广告有两个主要来源：一是，广告提供商；二是，恶意代码自己的广告库，这其中便包含了色情广告。

以下是一个在儿童使用游戏应用时弹出色情广告的实例，包括受害者家长的评论：

恶意应用追求的另一个活动是通过“恐吓”的形式，以诱导受害者安装不必要，甚至有害的“安全应用”。

恶意应用首先会显示声称受害者设备感染了病毒的广告。如果受害者点击了广告中的“立即移除病毒(Remove Virus Now)”按钮，将被重定向到Google Play商店中的一个应用程序。

无论是广告链接，还是这个用程，看上去都十分可疑。我们可以很容易地预见这种策略，但是对于专注玩游戏的儿童来说，他们似乎很容易成为这样的恶意应用的猎物。

恶意应用使用的另一种技术是向高级服务注册，并通过欺诈性的高级服务向受害者帐户收取费用。与上面提到的“恐吓”战术类似，恶意应用最初会显示一个弹出广告，试图说服受害者点击。

广告宣称只需要受害者回答四个简短的问题，就有机会赢得iPhone。如果受害者选择回答，恶意代码则会通知受害者“已获奖”，并要求受害者输入电话号码以获取奖品。一旦受害者选择输入并提交，恶意代码就会使用这个号码注册到高级服务。

以下是完整的恶意应用列表，如有下载，请尽快卸载：