新闻链接：http://www.2cto.com/News/201510/447353.html
新闻时间：2015-10-24
新闻正文：

近日，Palo Alto Networks发现：中国淘米客SDK已经开始捕捉手机接收到的所有信息的副本，并将其发送到淘米客的控制服务器中。自2015年8月1日以来，Palo Alto Networks公司的WildFire已经成功捕捉了包含此类信息的18000多个安卓应用。这些应用没有承载在Google Play Store中，而是通过中国第三方分配机制分布式存在。

背景

WildFire捕捉到很多移动恶意软件的样本，该移动恶意软件能够拦截并上传SMS信息。其中大部分的移动恶意软件都是恶意软件制造者创建的，并与第三方托管服务提供商建立指挥与控制服务器，频繁地更新它们的位置以避免被侦测到。

在这些恶意软件中，我们发现有很多是由“移动货币化”公司推送的应用，这些应用本身价值不大，但是收取用户的费用却很高。这些应用通常是通过欺骗用户点击弹出式页面而安装上的，之后却发现他们的电话账单已被扣费。防病毒程序通常会识别这些应用并归之为恶意软件，但是我们这篇报告所讨论的该恶意软件与以往有些不同，检测难度更大。

淘米客是一家中国公司，目标是成为中国最大的移动广告解决方案平台。该公司致力于提供SDK和服务，以帮助开发商制作高报酬率的内容丰富的广告。淘米客之前并没有涉及恶意软件活动，但是最近他们的软件添加了SMS盗窃功能后，恶意软件活动也开始出现。或许淘米客库中的应用是合法的，并具有重要的功能，但是当他们的开发商选择使用该库时，危险便与影随行了。

结论

即使是最流行的第三方货币化平台，也未必是值得信赖的。当开发商把开发库纳入到他们的应用时，他们需要仔细测试并监测任何异常活动。识别运行不良并滥用用户信息的货币化和广告平台是我们这个行业必须要做的事情，以此保障所有移动设备和用户的安全。

[课程]Android-CTF解题方法汇总！