今天小编分享的互联网经验:Google Play 上的恶意 Android“Vapor”应用已安装 6000 万次,欢迎阅读。
IAS 威胁实验室发现,自 2024 年初起,一系列恶意活动在 Google Play 平台悄然展开,该实验室将其命名为 "Vapor"。此次恶意行动涉及超过 300 个恶意 Android 应用程式,这些应用累计从 Google Play 下载量高达 6000 万次。它们要么充当广告軟體,要么试图窃取用户的凭证和信用卡信息。
IAS 发现,在 "Vapor" 活动中,有 180 个应用程式参与其中,这些应用每天能产生 2 亿个欺诈性广告竞标请求,以此实施大规模广告欺诈。而 Bitdefender 最新发布的报告显示,恶意应用程式的数量已增加到 331 个,且报告指出,巴西、美国、墨西哥、土耳其和韩国等地出现了大量感染情况。Bitdefender 发出警告:" 这些应用程式不仅会展示不合理的广告,甚至还试图在网络钓鱼攻击中诱骗受害者泄露凭证和信用卡信息。"
尽管目前所有这些恶意应用程式均已从 Google Play 下架,但 "Vapor" 活动极有可能通过新应用程式再次卷土重来,毕竟威胁行为者此前已展现出绕过 Google 审核流程的能力。
Google Play 上的 Vapor 应用
"Vapor" 活动所涉及的应用程式多为具备特定功能的实用工具,例如健康和健身追踪、笔记工具和日记、电池优化器以及二维码掃描器等。这些应用能够通过 Google 的安全审查,原因在于它们包含所宣传的功能,并且在提交时并不含有恶意组件。然而,恶意軟體功能会在用户安装应用后,通过命令和控制(C2)伺服器提供的更新进行下载。
Google Play 上的恶意应用程式
来源:IAS Threat Lab
· Bitdefender 和 IAS 着重指出了一些具有代表性的案例,包括:
· AquaTracker —— 下载量达 100 万次;
· ClickSave Downloader —— 下载量达 100 万次;
· Scan Hawk —— 下载量达 100 万次;
· Water Time Tracker —— 下载量达 100 万次;
· Be More —— 下载量达 100 万次;
· BeatWatch —— 下载量 50 万次;
· TranslateScan —— 下载量 10 万次;
· Handset Locator —— 下载量 50,000 次。
这些应用由不同的开发者帐户上传至 Google Play,每个帐户仅向商店推送少量应用,目的是避免在应用被删除时遭受严重损失。同样,每个发布商还会使用不同的广告 SDK。大多数 "Vapor" 应用于 2024 年 10 月至 2025 年 1 月期间在 Google Play 发布,不过上传行为一直持续到 3 月。
Google Play 上的 Vapor 应用提交
Bitdefender
恶意功能
恶意的 "Vapor" 应用在安装后,会关闭 AndroidManifest.xml 檔案中的启动器活动,使其在用户设备上不可见。在部分情况下,它们会在 " 設定 " 中更改自身名称,伪装成诸如 Google Voice 等合法应用。应用程式无需用户互動即可自动启动,并利用本机代码启用辅助隐藏组件,同时保持启动器处于禁用状态,以此隐藏应用圖示。Bitdefender 评论称,这种手段绕过了 Android 13 + 系统的安全保护措施,该措施原本旨在防止应用程式在启动后动态禁用自身的启动器活动。
此外,该恶意軟體还绕过了 Android 13 + 上的 "SYSTEM_ALERT_WINDOW" 权限限制,创建出一个充当全屏覆盖的辅助螢幕。广告便显示在这个覆盖所有其他应用程式的螢幕上,并且由于 " 返回 " 按钮被禁用,用户无法退出。该应用程式还会将自己从 " 最近任务 " 中删除,导致用户难以确定是哪个应用启动了这些广告。
Bitdefender 报告指出,部分应用程式的恶意行为不止于广告欺诈,它们还会显示 Facebook 和 YouTube 的虚假登录螢幕,以窃取用户凭证,或者以各种借口诱导用户输入信用卡信息。
针对此类情况,通常建议 Android 用户避免安装来自不知名发布商的不必要应用程式,仔细检查授予应用的权限,并将应用程式抽屉中的应用与 " 設定 " → " 应用程式 " → " 查看所有应用程式 " 中已安装的应用程式列表进行比对。Google Play 上上传的所有 331 个恶意应用程式的完整列表可在此处查看。如果用户发现自己安装了任何此类应用程式,应立即将其删除,并使用 Google Play Protect(或其他移动 AV 产品)进行完整的系统扫描。
