國家互聯網應急中心2日公告顯示，安卓操作系統存在一個可繞過簽名驗證的高危漏洞。利用該漏洞，黑客可在不破壞正常APP程序和簽名證書的情況下，向正版應用中植入惡意程序。

國家互聯網應急中心監測發現，利用該漏洞，正版APP被植入扣費木馬Skullkey，導致惡意程序可以輕松繞過終端防護軟件，執行惡意行為，造成用戶隱私信息泄露、惡意扣費等。

國家互聯網應急中心在捕獲Skullkey扣費木馬后，對該木馬進行了全面分析，并依據通信行業標準判定該手機木馬屬于“惡意扣費”類惡意程序。即在用戶不知情的情況下，通過后臺發送扣費短信。此外，該木馬還可以在后臺讀取手機中的通訊錄信息，同時具備向聯系人發送廣告或欺詐短信的權限。

國家互聯網應急中心監測發現第三方應用市場“安豐市場”中存在6644個被植入Skullkey扣費木馬的惡意APP，并第一時間通知該應用商店下架所有6644個惡意APP，徹底刪除相應的APP下載鏈接。同時，國家互聯網應急中心將6644個惡意APP信息和相應URL下載鏈接通過中國反網絡病毒聯盟向全社會進行黑名單發布。