一般来说，为了降低恶意软件对用户的威胁，谷歌商店会对上架的APP进行安全扫描，但是近期发现攻击者利用一种新的入侵技术可以把恶意应用隐藏在图片里，从而躲过防病毒程序的检测和谷歌商店的恶意软件扫描器。

据悉，安全研究人员Ange Albertini用自己的名字来命名这种技术，称之为“Ange加密”。该加密技术利用某些文件格式的特点，控制使用AES算法的文件加密输入输出操作，在把恶意数据插入文件的同时保持原文件的有效性。

Ange加密基于Python脚本执行，用户可以选择一个输入文件和一个输出文件，然后做一些必要的设置，当输入文件使用指定密钥进行AES加密时，就可以产生用户想要的输出文件。

这种技术思路可以进一步应用到安卓应用程序包中。Apvrille和同事开发了一个概念验证式的APK（安卓程序的安装包），可以显示一张星球大战天行者的照片，该照片为PNG格式。然而，这个APK还可以用特定密钥给图片加密，最终生成第二个隐藏的APK文件。这个APK文件可以是又一张照片，当然也可以是盗取短信、照片、联系人或其他数据的恶意程序。

为了实现攻击，需要在原始程序的末端附加一些数据。但APK格式的文件有一个名为EOCD（中央目录终止）的标志符，以防止在文件的末端添加数据。但研究人员发现，如果在添加数据的后面再加一个EOCD，安卓系统就会接受该文件的有效性。

该攻击方法在安卓4.4.2版本中有效，并且由于安卓生态系统的碎片化，这个漏洞很可能会活跃一到两年的时间，导致恶意软件的制作者有充足时间来利用它。

因此，爱加密小编提醒广大安卓软件开发者及时对自家APP进行漏洞扫描（safe.ijiami.cn），避免给恶意软件留下可乘之机而造成不必要的损失。