IAS 威胁实验室发现,自 2024 年初起,一系列恶意活动在 Google Play 平台悄然展开,该实验室将其命名为 “Vapor”。此次恶意行动涉及超过 300 个恶意 Android 应用程序,这些应用累计从 Google Play 下载量高达 6000 万次。它们要么充当广告软件,要么试图窃取用户的凭证和信用卡信息。
IAS 发现,在 “Vapor” 活动中,有 180 个应用程序参与其中,这些应用每天能产生 2 亿个欺诈性广告竞标请求,以此实施大规模广告欺诈。而 Bitdefender 最新发布的报告显示,恶意应用程序的数量已增加到 331 个,且报告指出,巴西、美国、墨西哥、土耳其和韩国等地出现了大量感染情况。Bitdefender 发出警告:“这些应用程序不仅会展示不合理的广告,甚至还试图在网络钓鱼攻击中诱骗受害者泄露凭证和信用卡信息。”
尽管目前所有这些恶意应用程序均已从 Google Play 下架,但 “Vapor” 活动极有可能通过新应用程序再次卷土重来,毕竟威胁行为者此前已展现出绕过 Google 审核流程的能力。
“Vapor” 活动所涉及的应用程序多为具备特定功能的实用工具,例如健康和健身追踪、笔记工具和日记、电池优化器以及二维码扫描仪等。这些应用能够通过 Google 的安全审查,原因在于它们包含所宣传的功能,并且在提交时并不含有恶意组件。然而,恶意软件功能会在用户安装应用后,通过命令和控制(C2)服务器提供的更新进行下载。
Google Play 上的恶意应用程序 来源:IAS Threat Lab
Bitdefender 和 IAS 着重指出了一些具有代表性的案例,包括:
· AquaTracker —— 下载量达 100 万次;
· ClickSave Downloader —— 下载量达 100 万次;
· Scan Hawk —— 下载量达 100 万次;
· Water Time Tracker —— 下载量达 100 万次;
· Be More —— 下载量达 100 万次;
· BeatWatch —— 下载量 50 万次;
· TranslateScan —— 下载量 10 万次;
· Handset Locator —— 下载量 50,000 次。
这些应用由不同的开发者帐户上传至 Google Play,每个帐户仅向商店推送少量应用,目的是避免在应用被删除时遭受严重损失。同样,每个发布商还会使用不同的广告 SDK。大多数 “Vapor” 应用于 2024 年 10 月至 2025 年 1 月期间在 Google Play 发布,不过上传行为一直持续到 3 月。
Google Play 上的 Vapor 应用提交 Bitdefender
恶意的 “Vapor” 应用在安装后,会关闭 AndroidManifest.xml 文件中的启动器活动,使其在用户设备上不可见。在部分情况下,它们会在 “设置” 中更改自身名称,伪装成诸如 Google Voice 等合法应用。应用程序无需用户交互即可自动启动,并利用本机代码启用辅助隐藏组件,同时保持启动器处于禁用状态,以此隐藏应用图标。Bitdefender 评论称,这种手段绕过了 Android 13 + 系统的安全保护措施,该措施原本旨在防止应用程序在启动后动态禁用自身的启动器活动。
此外,该恶意软件还绕过了 Android 13 + 上的 “SYSTEM_ALERT_WINDOW” 权限限制,创建出一个充当全屏覆盖的辅助屏幕。广告便显示在这个覆盖所有其他应用程序的屏幕上,并且由于 “返回” 按钮被禁用,用户无法退出。该应用程序还会将自己从 “最近任务” 中删除,导致用户难以确定是哪个应用启动了这些广告。
Bitdefender 报告指出,部分应用程序的恶意行为不止于广告欺诈,它们还会显示 Facebook 和 YouTube 的虚假登录屏幕,以窃取用户凭证,或者以各种借口诱导用户输入信用卡信息。
针对此类情况,通常建议 Android 用户避免安装来自不知名发布商的不必要应用程序,仔细检查授予应用的权限,并将应用程序抽屉中的应用与 “设置”→“应用程序”→“查看所有应用程序” 中已安装的应用程序列表进行比对。
参考及来源 :https://www.bleepingcomputer.com/news/security/malicious-android-vapor-apps-on-google-play-installed-60-million-times/
热门跟贴