MagicAd廣告木馬藏身小米、三星官方商店App

Android.MagicAd.1是Doctor Web此次分析的MagicAd廣告木馬變種，現身於2025年，可在使用者不知情的情況下持續投放廣告。該木馬會先檢查執行環境是否存在虛擬機器或資安研究人員常用的分析環境，確認安全後便隱藏自身圖示，建立背景常駐服務與排程任務，確保即使使用者關閉應用程式，木馬仍可持續運作。

Android近年已限制背景App自行啟動或覆蓋其它程式畫面，但Android.MagicAd.1會改用系統程式作為跳板。它會依裝置品牌利用小米、Vivo與Amazon設備上的預載程式喚醒自身，若這些手法無法使用，還會改以系統媒體播放器觸發廣告顯示，因此即使未取得覆蓋視窗權限，也能在背景強制投放廣告。

Doctor Web說明，Android.MagicAd.1主要透過小米GetApps散布，也曾出現在三星Galaxy Store中。駭客通常將木馬偽裝成遊戲或工具程式上架，並在數周內主動下架，再以新的應用程式取代，猜測此一短期上架策略可能是為了降低遭安全產品或商店審核機制發現的機率。

目前那些確認含有Android.MagicAd.1的應用程式皆已從商店移除，相關開發者也未再上架新的感染版本。不過，商店下架並不會清除已安裝在使用者裝置上的木馬，這些程式仍可持續在背景執行惡意活動。

Doctor Web則透過GitHub公布相關入侵指標（IoC），列出已知樣本的SHA-1、套件名稱與App名稱，供使用者與資安人員比對。受影響App涵蓋遊戲、清理工具、PDF閱讀器、天氣、桌布與健康監測程式等類型；若使用者曾安裝相關App，應盡快移除並掃描裝置。