APK是一種被谷歌Android平台廣泛採用的應用程序安裝包，在無法通過官方應用商店獲得較舊或已停更的Android App時，谷歌移動操作系統也允許通過未知的第三方來源來獲取APK安裝包。然而近日，卡巴斯基實驗室的安全研究人員警告稱，他們已在APKPure提供的App中發現了隱藏的惡意廣告軟件，並於週四向谷歌發去了通知。

安全研究人員在APKPure 的3.17.18 版本中發現了惡意代碼，可知其具有下載其它惡意軟件的能力，使得受害者的設備面臨進一步的風險。

比如在用戶不知情的情況下，竊取被感染設備中的數據。然後將廣告推送到設備的鎖屏界面，並在後台執行騙取廣告軟件運營商的動作，以牟取不法利益。

卡巴斯基實驗室指出，考慮到這款第三方應用商店App的用戶基數，本次惡意廣告事件的影響力還是相當值得警惕的。

至於背後的原因，猜測可能是開發者從未經驗證的來源下載了SDK 開發工具包，結果導致其在3.17.18 版本的APKPure App 中引入了惡意代碼。

目前該平台已在官網撤下了3.17.18 版本的安裝包，並提供了並不包含惡意廣告代碼的3.17.19 新版本。

不過長期以來，安全專家們都一直警告不要在官方應用商店之外獲取未知來源的Android App 安裝包。

畢竟就算是會對入駐軟件開展例行掃描檢測的谷歌官方Play 應用商店，也曾多次經歷過惡意軟件的漏網事件。