趋势科技指出，网络犯罪分子正在将合法的HTML5应用程序重新打包至安卓恶意软件以及潜在可能不需要的应用程序(PUA)中。万维网在10月份敲定了第五版超文本标记语言(HTML)规范。HTML5正被越来越多的应用程序开发人员使用，与此同时网络犯罪分子也在将HTML5应用至恶意活动中。

HTML5能够使开发人员构建可应用在任何平台上的Web app。这对于开发人员及用户来说是利好消息，因为他们不必再担心只可在某些移动平台上使用应用程序了。然而，如果开发人员没有投入更多的精力来保护自己的代码，那么网络犯罪分子会很轻易地复制并将它们的代码重新打包。

与去年相比，今年安卓上新的HTML5打包应用程序数目增长了200%。然而，PUA及恶意软件的数目也在增多，且大概有一半的安卓威胁伪装成了游戏。

趋势科技指出，网络犯罪分子可通过两种方式将HTML5 app打包至安卓恶意软件。攻击者可启动本地webview加载有链接或远程的HTML代码，以获取一个安卓app并添加恶意代码。另外一种方式涉及到中间件，也就是位于应用程序及操作系统之间、经常被用来开发跨平台程序的应用及操作系统。犯罪分子可用诸如Apache Cordova的开发工具将HTML5 app重新打包并在其中注入JavaScript代码。

趋势科技指出，未来可能会出现可同时攻击不同移动平台(如iOS、安卓、Windows Phone)的一种恶意软件。为阻止此类事情的发生，开发人员需要在代码混淆或其他代码技巧方面投入更多的精力以保证app的安全性。家庭用户也需要留意新app的安装，也就是只从官方app商店中下载app。

(责任编辑：冬天的宇)