研究人员发现了Android上又一个严重的安全漏洞：将Android恶意代码隐藏在图片中（Hide Android Applications in Images）。

　　在该漏洞向外界公开之前，Google已经发布了补丁。不过，仍然有大量Android手机用户没有选择升级。　　

　　恶意程序研究人员Axelle Apvrille和逆向工程师Ange Albertin开发了一种定制的工具AngeCryption（Python脚本）加密恶意程序的APK文件（Android application package），使恶意的APK看起来像一个有效的PNG图像文件（其它图像格式也可以），他们之后又创建了另一个APK文件，能解密和安装加密的图像文件。

AngeCrypt使恶意软件包看起来像一个正常的图片

　　恶意程序因为加了密，所以杀毒和安全工具无法检测出。在测试中，他们的合法墙纸应用在试图安装恶意应用时会弹出权限请求。

研究人员声称可以通过使用DexClassLoader防止权限请求窗口出现。 

这种隐藏代码到图片的原理在文章《一种在图片里隐藏你的程序代码的技术》有介绍。

相关资料：https://www.blackhat.com/docs/eu-14/materials/eu-14-Apvrille-Hide-Android-Applications-In-Images.pdf

Android漏洞——将Android恶意应用隐藏在图片中