研究人员发现了几种新的安卓广告软件，它们非常难卸载，而且存在将手机root的风险。此外，它们还会伪装成不同的应用，如推特、Facebook、甚至Okta(某种双因子认证服务)等等。

研究人员们已经发现了超过2万个木马化的应用样本，它们分别被三类广告应用Shedun、Shuanet、ShiftyBug所感染。黑客会将Google play的官方应用里的代码或者其他特性进行重打包，然后将这种木马化的应用发布到第三方市场。从用户的角度来看，修改后的程序看似一个合法的应用，而的确在许多情况下，它们会提供相同的功能和用户体验。但是在系统后台，它们会试图发起攻击，获取当前安卓系统的root访问权限。在那三类应用中研究人员发现的某些exp，可以让木马化的应用获得系统权限，而这个级别权限通常只会保留给系统级进程。

研究人员在周三发布的一篇博文中写道：“对普通人来说，感染上Shedun、Shuanet、ShiftyBug这三类恶意应用，意味着需要换新手机了。因为这些广告软件会将设备root，并把自己提升为系统级别应用，它们很难被清除，普通用户只能被迫更换新设备。”

研究人员称这类应用多为广告应用，但鉴于它们获取了系统权限，是有能力威胁和破坏安卓安全机制的。安卓沙箱本来是不允许任何应用访问其他应用的密码和数据的。但是一旦他们如果获取了系统权限，就可以无视沙箱拦截。因此，它们可以越权读取，或者修改其他正常应用的数据和资源。

研究人员表示：“首先，我们想知道为什么有人会想到感染双因子认证应用来打广告，而忽视了窃取用户凭证的机会。然而，观察分发指令和控制服务器我们会发现，它们会重新打包如Google Play等一线应用市场里面的热门应用。奇怪的是，杀软并没有对它们进行查杀，这表明黑客创建这些软件时，是做了非常多的工作的。”

那些被重打包的应用会被上传到第三方网站，研究人员发现它们大多数分布在美国、德国、伊朗、俄罗斯、印度、牙买加、苏丹、巴西、墨西哥和印度尼西亚。这份报告主要强调的是第三方市场具有风险，现在并未发现有木马化的应用进入Google Play。

在许多情况下，应用会结合多种root的exp，为特定类型的手机进行量身定做感染方案。比如ShiftyBug，就至少利用了八种root的exp：如Memexploit、 Framaroot、ExynosAbuse等等。其中许多root的exp都是公开的，用户自己就会用来合法root自己的设备。

研究人员表示，现在还不清楚那感染2万多应用的三类广告软件系列，彼此之间到底有什么关系。但是可以肯定的是，它们肯定有过互相参照，因为其中至少有71%-82%代码是重复的。