研究人员概述了两个独立的恶意广告系列，这两个系列总共感染了200多个安卓应用程序，超过了2.5亿的下载里程碑。

这两个分别专注于广告软件和数据捕获的广告系列，只针对安卓用户，通过欺骗开发者使用恶意软件开发工具包(SDK)来感染大量应用。

根据Check Point Research的数据，这两个比较突出的广告名为“SimBad”，已经感染了206个下载的应用程序，总共下载了1.5亿次，因为它们主要影响的是模拟游戏。

恶意软件本身存在于广告相关的“RXDroider”SDK中，由“addroider.com”提供，被大量开发者采用。

一旦用户下载并安装了受感染的应用程序，SimBad就会向设备注册，并允许自动操作。安装后，恶意软件随后与命令和控制服务器连接以接收订单。这些可能包括用给定的网址打开浏览器，并从启动器中删除应用程序图标。

该应用程序的三管齐下的功能包括显示广告、打开钓鱼页面和将用户暴露给其他应用程序。攻击者还可以从指定的服务器安装远程应用程序，从而可以自行决定进一步感染用户的恶意软件。

研究人员表示，“它有能力在范围之外显示广告，让用户接触其他应用程序，并在浏览器中打开网站”。“SimBad”现在被用作广告软件，但它已经拥有了进化的基础设施，并成为了更大的威胁。"

在昨天的第二份报告中，检查点研究也概述了“绵羊行动”。这涉及到一群安卓应用未经用户同意，大规模收集用户手机的联系方式。

这种恶意软件也被加载到为数据分析而构建的软件开发工具包中，到目前为止，已经在多达12个不同的安卓应用程序中出现过。这些已累计下载超过1.11亿次。

SWAnlaytics SDK已经集成到十几款在中国第三方应用商店(如华为应用商店、Xioami应用商店、腾讯MyApp)发布的看似无害的安卓应用中。

研究人员于2018年9月首次遇到感染样本，并追踪了一条数据捕获路径，这条路径通向汪顺科技拥有的服务器。根据Check Point Research的说法，一旦安装了恶意应用程序，整个联系人列表就会上传到公司的服务器上。

他们还在腾讯MyApp Store中指出，12款被感染的应用中有8款累计下载量达到1.11亿次。

“理论上，”研究人员推测，“汪顺科技可能收集了中国三分之一人口的姓名和联系电话，如果不是更多的话。”

他们补充说，汪顺没有关于数据使用的明确声明，也没有监管，这些数据很容易在地下市场交易，并以各种方式被滥用。这些可能从流氓营销到滥用朋友推荐程序。

研究人员表示：“与财务数据和政府发放的身份证件相比，个人联系信息通常被视为不太敏感的数据。

“根据公众的意见，使用这些数据需要额外的努力，而潜在的利润与黑客的努力并不一致。因此，不太可能成为目标。

“然而，随着地下市场日益专业化，以及可以从这些个人联系数据中获利的新“商业模式”，这种情况正在发生变化。”