该论文是首次针对Android恶意软件生态系统中隐蔽通信信道（Covert Channels, CC）使用情况的纵向研究。研究背景是：代理、VPN和Tor等工具虽然帮助隐私社区和受限地区用户对抗审查，但同样可能被恶意软件和僵尸网络滥用，以隐藏与外部命令与控制服务器的通信。尽管基于恶意软件的攻击日益增多，此前尚无纵向研究分析恶意应用如何利用CC规避检测。为填补这一空白，作者开发了一个多阶段分析管道，结合静态和动态分析，检查系统和网络层面的特征。该管道应用于一个包含350万个Android恶意软件样本的语料库，时间跨度从2009年至2025年7月。精心设计的静态验证规则发现了28.8万使用CC的APK，涉及511个恶意软件家族，CC使用率从2012年的0.30%指数增长至2025年的50%。在动态分析中，识别出19,308个唯一的IP地址，分布在85个国家，其中59个IP地址（17个国家）被明确验证存在CC。此外，进行了跨越16年的纵向数据集研究，发现CC使用方式不断演变：例如，一些恶意软件采用多种CC；另一些则定期在不同CC之间切换（一个家族在2019年至2025年间切换CC达40次）。研究揭示了CC在Android恶意软件中的广泛和增长趋势，为检测和防御提供了重要依据。

该论文对2026年1月至5月间在VirusTotal（VT）上观察到的约152万个恶意域名进行了纵向研究。研究选取了至少被5个独立VT扫描引擎检测到、且首次出现在研究窗口内的域名。数据集被分为被攻陷域名和攻击者创建域名，后者约占89.3%。结合WHOIS注册记录、被动DNS（PDNS）数据与VT数据集，研究者从八个维度刻画了攻击者行为：时间分布、被攻陷与攻击者创建分类、首次检测时的域名年龄、注册商和顶级域名（TLD）偏好、DNS查询量（作为损害代理）、托管基础设施集中度（IP和ASN级别）、批量注册模式以及品牌仿冒。关键发现包括：大多数攻击者创建的域名寿命短，在创建后数周内被使用；少数注册商和TLD承载了大部分滥用；Cloudflare基础设施被广泛用于域名前端；涉及单个注册商一天内注册数千个域名的批量注册事件普遍存在；多个全球品牌（尤其是WhatsApp和Google）被大量仿冒。研究者将标注后的数据集公开在GitHub上以供进一步研究。