IAS 威脅實驗室發現,自 2024 年初起,一系列惡意活動在 Google Play 平台悄然展開,該實驗室将其命名爲 "Vapor"。此次惡意行動涉及超過 300 個惡意 Android 應用程序,這些應用累計從 Google Play 下載量高達 6000 萬次。它們要麽充當廣告軟件,要麽試圖竊取用戶的憑證和信用卡信息。
IAS 發現,在 "Vapor" 活動中,有 180 個應用程序參與其中,這些應用每天能産生 2 億個欺詐性廣告競标請求,以此實施大規模廣告欺詐。而 Bitdefender 最新發布的報告顯示,惡意應用程序的數量已增加到 331 個,且報告指出,巴西、美國、墨西哥、土耳其和韓國等地出現了大量感染情況。Bitdefender 發出警告:" 這些應用程序不僅會展示不合理的廣告,甚至還試圖在網絡釣魚攻擊中誘騙受害者洩露憑證和信用卡信息。"
盡管目前所有這些惡意應用程序均已從 Google Play 下架,但 "Vapor" 活動極有可能通過新應用程序再次卷土重來,畢竟威脅行爲者此前已展現出繞過 Google 審核流程的能力。
Google Play 上的 Vapor 應用
"Vapor" 活動所涉及的應用程序多爲具備特定功能的實用工具,例如健康和健身追蹤、筆記工具和日記、電池優化器以及二維碼掃描儀等。這些應用能夠通過 Google 的安全審查,原因在于它們包含所宣傳的功能,并且在提交時并不含有惡意組件。然而,惡意軟件功能會在用戶安裝應用後,通過命令和控制(C2)服務器提供的更新進行下載。
Google Play 上的惡意應用程序
來源:IAS Threat Lab
· Bitdefender 和 IAS 着重指出了一些具有代表性的案例,包括:
· AquaTracker —— 下載量達 100 萬次;
· ClickSave Downloader —— 下載量達 100 萬次;
· Scan Hawk —— 下載量達 100 萬次;
· Water Time Tracker —— 下載量達 100 萬次;
· Be More —— 下載量達 100 萬次;
· BeatWatch —— 下載量 50 萬次;
· TranslateScan —— 下載量 10 萬次;
· Handset Locator —— 下載量 50,000 次。
這些應用由不同的開發者帳戶上傳至 Google Play,每個帳戶僅向商店推送少量應用,目的是避免在應用被删除時遭受嚴重損失。同樣,每個發布商還會使用不同的廣告 SDK。大多數 "Vapor" 應用于 2024 年 10 月至 2025 年 1 月期間在 Google Play 發布,不過上傳行爲一直持續到 3 月。
Google Play 上的 Vapor 應用提交
Bitdefender
惡意功能
惡意的 "Vapor" 應用在安裝後,會關閉 AndroidManifest.xml 文件中的啓動器活動,使其在用戶設備上不可見。在部分情況下,它們會在 " 設置 " 中更改自身名稱,僞裝成諸如 Google Voice 等合法應用。應用程序無需用戶交互即可自動啓動,并利用本機代碼啓用輔助隐藏組件,同時保持啓動器處于禁用狀态,以此隐藏應用圖标。Bitdefender 評論稱,這種手段繞過了 Android 13 + 系統的安全保護措施,該措施原本旨在防止應用程序在啓動後動态禁用自身的啓動器活動。
此外,該惡意軟件還繞過了 Android 13 + 上的 "SYSTEM_ALERT_WINDOW" 權限限制,創建出一個充當全屏覆蓋的輔助屏幕。廣告便顯示在這個覆蓋所有其他應用程序的屏幕上,并且由于 " 返回 " 按鈕被禁用,用戶無法退出。該應用程序還會将自己從 " 最近任務 " 中删除,導緻用戶難以确定是哪個應用啓動了這些廣告。
Bitdefender 報告指出,部分應用程序的惡意行爲不止于廣告欺詐,它們還會顯示 Facebook 和 YouTube 的虛假登錄屏幕,以竊取用戶憑證,或者以各種借口誘導用戶輸入信用卡信息。
針對此類情況,通常建議 Android 用戶避免安裝來自不知名發布商的不必要應用程序,仔細檢查授予應用的權限,并将應用程序抽屜中的應用與 " 設置 " → " 應用程序 " → " 查看所有應用程序 " 中已安裝的應用程序列表進行比對。Google Play 上上傳的所有 331 個惡意應用程序的完整列表可在此處查看。如果用戶發現自己安裝了任何此類應用程序,應立即将其删除,并使用 Google Play Protect(或其他移動 AV 産品)進行完整的系統掃描。
