摘要：Android.FakeInstaller 会向收费服务的电话号码发送消息，无需用户同意，便可将自身伪装成合法的安装程序。这一恶意软件有大量变体，通过数以百计的网站和假冒市场进行传播，且覆盖面逐日扩大。

第1页:迈克菲详解Android.FakeInstaller恶意伪装程序1 第2页:迈克菲详解Android.FakeInstaller恶意伪装程序2 第3页:迈克菲详解Android.FakeInstaller恶意伪装程序3 第4页:迈克菲详解Android.FakeInstaller恶意伪装程序4

　　
　　多态服务器
　　
　　与此同时，我们还发现了FakeInstaller的若干变体，它们的相同点都集中在有效载荷方面，主要区别在于代码实现。其中一些还带有额外有效荷载。一般情况下，每个系列都与一组服务器、域名和假冒应用程序市场相关联。
　　
　　而由于多数FakeInstallers是服务器端多态的，因此这种关系非常强大，这意味着服务器（根据其配置）可能会针对同一URL请求提供不同的APK文件。
　　
　　如果受害者要从假冒市场下载应用程序，服务器会将浏览器（browser）重定向到另一个处理该请求的服务器，并发送定制好的APK，该APK包含一个在生成的URL中关联的ID。APK文件与受害者的IP地址相关联。
　

　
　　例如：假冒的“OperaMini6.5”APK文件会从一个URL，而从两个IP地址(A和B)访问。因此，受害者被重定向到不同的URL并下载非常相似的APK文件，这些文件会在fileres/raw/config.txt中包含一些差别之处，它们与重定向的URL相关。
　　
　　下图显示了fileres/raw/config.txt内部的差别，它们存在于下载自IP地址A和B的.样本中。
　

　　因此，这一改动会导致数字签名（MANIFEST、MYKEY2.SF和MYKEY2.RSA）的变化。这一恶意软件的其他变体包含一个图片（或一个俄文笑话）以增加或改变APK文件的大小。