今天小編分享的互聯網經驗:Google Play 上的惡意 Android“Vapor”應用已安裝 6000 萬次,歡迎閲讀。
IAS 威脅實驗室發現,自 2024 年初起,一系列惡意活動在 Google Play 平台悄然展開,該實驗室将其命名為 "Vapor"。此次惡意行動涉及超過 300 個惡意 Android 應用程式,這些應用累計從 Google Play 下載量高達 6000 萬次。它們要麼充當廣告軟體,要麼試圖竊取用户的憑證和信用卡信息。
IAS 發現,在 "Vapor" 活動中,有 180 個應用程式參與其中,這些應用每天能產生 2 億個欺詐性廣告競标請求,以此實施大規模廣告欺詐。而 Bitdefender 最新發布的報告顯示,惡意應用程式的數量已增加到 331 個,且報告指出,巴西、美國、墨西哥、土耳其和韓國等地出現了大量感染情況。Bitdefender 發出警告:" 這些應用程式不僅會展示不合理的廣告,甚至還試圖在網絡釣魚攻擊中誘騙受害者泄露憑證和信用卡信息。"
盡管目前所有這些惡意應用程式均已從 Google Play 下架,但 "Vapor" 活動極有可能通過新應用程式再次卷土重來,畢竟威脅行為者此前已展現出繞過 Google 審核流程的能力。
Google Play 上的 Vapor 應用
"Vapor" 活動所涉及的應用程式多為具備特定功能的實用工具,例如健康和健身追蹤、筆記工具和日記、電池優化器以及二維碼掃描器等。這些應用能夠通過 Google 的安全審查,原因在于它們包含所宣傳的功能,并且在提交時并不含有惡意組件。然而,惡意軟體功能會在用户安裝應用後,通過命令和控制(C2)伺服器提供的更新進行下載。
Google Play 上的惡意應用程式
來源:IAS Threat Lab
· Bitdefender 和 IAS 着重指出了一些具有代表性的案例,包括:
· AquaTracker —— 下載量達 100 萬次;
· ClickSave Downloader —— 下載量達 100 萬次;
· Scan Hawk —— 下載量達 100 萬次;
· Water Time Tracker —— 下載量達 100 萬次;
· Be More —— 下載量達 100 萬次;
· BeatWatch —— 下載量 50 萬次;
· TranslateScan —— 下載量 10 萬次;
· Handset Locator —— 下載量 50,000 次。
這些應用由不同的開發者帳户上傳至 Google Play,每個帳户僅向商店推送少量應用,目的是避免在應用被删除時遭受嚴重損失。同樣,每個發布商還會使用不同的廣告 SDK。大多數 "Vapor" 應用于 2024 年 10 月至 2025 年 1 月期間在 Google Play 發布,不過上傳行為一直持續到 3 月。
Google Play 上的 Vapor 應用提交
Bitdefender
惡意功能
惡意的 "Vapor" 應用在安裝後,會關閉 AndroidManifest.xml 檔案中的啓動器活動,使其在用户設備上不可見。在部分情況下,它們會在 " 設定 " 中更改自身名稱,偽裝成諸如 Google Voice 等合法應用。應用程式無需用户互動即可自動啓動,并利用本機代碼啓用輔助隐藏組件,同時保持啓動器處于禁用狀态,以此隐藏應用圖示。Bitdefender 評論稱,這種手段繞過了 Android 13 + 系統的安全保護措施,該措施原本旨在防止應用程式在啓動後動态禁用自身的啓動器活動。
此外,該惡意軟體還繞過了 Android 13 + 上的 "SYSTEM_ALERT_WINDOW" 權限限制,創建出一個充當全屏覆蓋的輔助螢幕。廣告便顯示在這個覆蓋所有其他應用程式的螢幕上,并且由于 " 返回 " 按鈕被禁用,用户無法退出。該應用程式還會将自己從 " 最近任務 " 中删除,導致用户難以确定是哪個應用啓動了這些廣告。
Bitdefender 報告指出,部分應用程式的惡意行為不止于廣告欺詐,它們還會顯示 Facebook 和 YouTube 的虛假登錄螢幕,以竊取用户憑證,或者以各種借口誘導用户輸入信用卡信息。
針對此類情況,通常建議 Android 用户避免安裝來自不知名發布商的不必要應用程式,仔細檢查授予應用的權限,并将應用程式抽屜中的應用與 " 設定 " → " 應用程式 " → " 查看所有應用程式 " 中已安裝的應用程式列表進行比對。Google Play 上上傳的所有 331 個惡意應用程式的完整列表可在此處查看。如果用户發現自己安裝了任何此類應用程式,應立即将其删除,并使用 Google Play Protect(或其他移動 AV 產品)進行完整的系統掃描。
