网络安全研究人员警告称，Android 恶意软件的格局正在发生转变：过去主要被用于投递银行木马的 投放器（Dropper）应用，如今也开始用于分发更“轻量级”的恶意程序，如短信窃取器（SMS Stealer）和基础型间谍软件（Spyware）。

荷兰移动安全公司 ThreatFabric 在最新报告中指出，这些投放器活动主要通过伪装成 印度及其他亚洲地区的政府或银行应用传播。  这一趋势的背后，与 Google 在部分市场（新加坡、泰国、巴西、印度）推行的新安全措施 有关。Google 正在通过试点项目阻止用户侧载（sideload）那些请求敏感权限（如短信访问、辅助功能）的可疑应用，而这些权限往往是 Android 恶意软件滥用的核心。

ThreatFabric 表示：

• Google Play Protect 的防御能力（尤其是定向试点项目）正在愈发有效，能在恶意应用运行前拦截风险。

• 攻击者则试图“未雨绸缪”，通过把即使是最简单的恶意载荷也封装在投放器中，从而获得一个“保护外壳”，既能绕过当下的检测，也能在未来灵活替换和调整投递内容。

Google 的策略提高了门槛，但攻击者也在调整手法。如今的投放器会专门针对 Google 的试点项目进行设计，避免直接申请高风险权限，而是仅展示一个“无害的更新界面”，以便轻松绕过安全扫描。

但一旦用户点击“更新”按钮，投放器就会从外部服务器获取或解压真正的恶意载荷，随后再请求必要权限完成攻击。

ThreatFabric 指出：“尽管 Play Protect 在另一次扫描中可能会显示风险提示，但只要用户选择‘继续安装’，应用仍会被安装，恶意载荷仍会投递成功。这暴露了一个关键缺口：用户交互的选择，仍可能让投放器绕过 Google 的防护机制。”

一个典型的投放器工具是 RewardDropMiner。该工具曾经在传播间谍软件的同时，还暗藏一个可远程激活的 Monero 加密货币挖矿程序。不过，近期变种已去掉了挖矿功能。

通过 RewardDropMiner 投放的部分恶意应用（目标均为印度用户）包括：

• PM YOJANA 2025（包名：com.fluvdp.hrzmkgi）

• RTO Challan（包名：com.epr.fnroyex）

• SBI Online（包名：com.qmwownic.eqmff）

• Axis Card（包名：com.tolqppj.yqmrlytfzrxa）

其他能躲避 Play Protect 或试点项目检测的投放器还包括：SecuriDropper、Zombinder、BrokewellDropper、HiddenCatDropper、TiramisuDropper。

Google 在回应媒体时表示，目前尚未发现有利用这些手法的恶意应用通过 Play 商店传播，并强调 Play Protect 会自动扫描并拦截各类威胁。

Google 补充道：“对于这些恶意软件变种，Play Protect 已在本报告之前就具备防护能力。到目前为止，我们未在 Play 商店检测到包含这些恶意代码的应用。我们会持续增强防御，确保用户免受攻击者侵害。”

与此同时，Bitdefender 实验室也警告称，一个新的恶意广告（malvertising）活动正在 Facebook 平台上投放虚假广告，向用户兜售所谓的“TradingView 安卓高级版免费应用”。实际上，该应用会投递一个经过改进的 Brokewell 银行木马，能够监控、控制并窃取受害者设备中的敏感数据。

仅在2025年7月22日以来，就有不少于75条恶意广告在欧盟范围内投放，覆盖了数万用户。研究人员指出，这一 Android 攻击浪潮只是整个恶意广告行动的一部分。攻击者还利用 Facebook Ads 平台传播伪装成各种金融或加密货币应用的木马，专门针对 Windows 桌面用户 发动攻击。

Bitdefender 总结称：“这一行动显示了网络犯罪分子正在不断优化战术，以适应用户行为。通过假冒可信的交易工具，他们试图利用人们对加密应用和金融平台日益依赖的趋势来牟利。”

总结：Android 恶意软件的投递模式正在升级，从银行木马扩展到短信窃取器与间谍软件。虽然 Google 加强了防护，但投放器正成为攻击者的万能“载体”，其隐蔽性和灵活性令检测难度进一步上升。而与社交平台上的恶意广告相结合，移动端与桌面端用户都面临越来越复杂的威胁环境。