今年9月中旬猎豹移动公司首次发现了GhostPush（Shedun）；随后FireEye发现了Kemoge（ShiftyBug），而现在Lookout发现的则是第三个恶意程序变种，他们将其命名为Shuanet。该家族恶意广告程序的复杂程度超乎我们想象，最为糟糕的是该恶意广告程序并非使用Android系统的漏洞，而是使用Android自身辅助服务的合法功能。

根据Lookout在日前公布的报告中显示Shuanet的工作方式和此前两款恶意程序非常相似，首先攻击者从Google Play商城上下载多款热门的应用程序，重新编译增加Shuanet恶意程序，随后将其上传到其他Android应用商城，而且显然不会被任何安全扫描技术发现。Lookout团队表示目前已经有超过2万款Android应用感染，目前受影响国家主要有美国、德国、伊朗、俄罗斯、印度、牙买加、苏丹、巴西、墨西哥和印度尼西亚。

用户下载安装这些看似正规的应用程序之后，该内部嵌入代码就会通过Android Accessibility服务来欺诈用户获取应用的控制权限，随后该应用就会弹出安装高危具备入侵性质的恶意广告程序的广告框，哪怕用户明确禁止广告来安装任何东西，依然会被感染。

Lookout在博文中写道：“Shedun并未执行Android系统的漏洞，而是充分了服务中的合法功能。在获取权限来使用accessibility服务之后，Shedun能够读取屏幕上显示的文字，如果应用推荐在屏幕上显示之后能够滚动权限列表然后在没有人机交互的情况下点击安装按钮。”

Shedun是为数不多较难从Android系统中卸载掉的恶意软件，因为它是直接将自己植入到设备中并嵌入系统分区里边，这样即便用户对设备进行了恢复原厂设置它仍旧能够存在。