常见安卓恶意代码的传播方式：

1、木马链接短信息。

这种最常见，一般会伪装相册、视频、请帖、学校成绩单、交警违章信息等。可能通过伪基站、短信平台、170|171等虚拟号码发送，有的是已中马的联系人手机被木马控制后的自动转发。

2、欺诈网站“赠送”。

欺诈网站一般伪装银行、移动等官方网站，诱导填入身份证、银行卡、手机号等个人信息，有的还会诱导受害人点击木马链接。

3、诈骗电话配合。

先电话伪装成银行等机构，以更新客户端等理由诱骗受害人下载木马进行安装。

不管哪种方式传播，都需要用户先下载并安装到自己手机上才能作恶。目前比较常见的安卓恶意代码是短信拦截马，一般都具有回传邮箱、回传信息IP（域名）、远控手机号等信息，可以据此进行溯源。对安卓木马静态分析的前提是获取到恶意apk文件。

最近看到很多反诈骗宣传的提醒，说一旦中了木马该怎么做，一般都会推荐进行刷机，与干警交流也发现，很多报案的受害人，都选择刷机处理，刷机后恢复apk文件的可能性比较小，加之钓鱼链接失效，一旦发生经济损失无法进行溯源。

我自己推荐的做法是：

• 取出手机卡

• 关闭网络

• 尽量通知通讯录中的好友警惕防范

• 提取恶意apk成功后再进行刷机

• 发现有经济损失立即报警

一般的获取方法如下图所示：从受害人提供的链接下载apk往往要求很高的时效性。

现在我们重点说下把已安装的恶意代码提取为apk的方法。

方法一：adb命令提取

可以参考这篇：ADB命令使用基础及删除屏幕锁实验

将USB线连接手机，并开启USB调试。

1、adb devices 查询关联模拟器\设备

找到设备Y9K0215418001362是我的手机

2、启动adb shell命令

3、pm list packages命令列出所有安装包

可以从中发现所有的安装包，当然这样看起来比较头疼，有的木马还会伪装系统安装包。

4、查询package的安装位置

pm path +包名找到安装位置

5、将apk文件复制出来

别忘记先输入exit命令退出adb shell状态，然后使用adb pull命令从刚才我们找到的安装位置提取出apk文件。

执行完毕以后，我会在C:\Users\ASUS目录下找到a.apk文件。你也试试吧！

方法二:外部工具提取

使用adb命令提取apk毕竟繁琐，可以使用一些外部工具来提取。我的手机是华为,用华为手机助手非常方便。

选择已安装应用选项，可以列出手机中所有已安装的应用。

选择想导出的应用，点击右下导出即可。

另外其他的手机助手类工具如360手机助手等完全也可以做到。

那么再跟大家探讨下：

一旦发现手机中马，我推荐的做法是：

• 取出手机卡

• 关闭网络

• 尽量通知通讯录中的好友警惕防范

• 提取恶意apk成功后再进行刷机

• 发现有经济损失立即报警