331款恶意应用伪装上架，超6000万用户中招！钓鱼广告和全屏弹窗泛滥成灾

网络安全研究人员近日警告称，一场大规模的广告欺诈活动正在利用 Google Play 商店中发布的数百款恶意应用，向用户展示全屏广告并实施钓鱼攻击。

Bitdefender 在与 The Hacker News 分享的报告中提到：“这些应用展示了与上下文无关的广告，甚至试图通过钓鱼攻击诱骗受害者交出凭据和信用卡信息。”

此次活动的细节最早由 Integral Ad Science (IAS) 在本月初披露，其发现了超过 180 款专门设计用于展示无休止且侵入式全屏插播视频广告的应用。该广告欺诈计划被代号为“Vapor”。这些应用伪装成合法应用，累计下载量超过 5600 万次，每天生成超过 2 亿次广告竞价请求。

IAS 威胁实验室表示：“Vapor 操作的背后欺诈者创建了多个开发者账户，每个账户仅托管少量应用，以分散其操作并规避检测。这种分布式设置确保即使单个账户被下架，也不会对整个操作产生重大影响。”

通过模仿看似无害的实用工具、健身和生活方式类应用，该操作成功欺骗了不知情的用户安装这些应用。该活动仍在继续，最新一款带有恶意软件的应用程序于 2025 年 3 月的第一周被发布到 Google Play 商店。

另一个重要细节是，威胁行为者使用了一种称为“版本控制”的隐秘技术，即在 Play 商店中发布一款不包含任何恶意功能的正常应用，以通过 Google 的审查。随后通过应用更新引入恶意功能，替换合法功能，以通过视频广告最大化广告收入。

此外，这些广告会劫持设备的整个屏幕，并阻止受害者使用设备，使其几乎无法操作。据评估，该活动大约始于 2024 年 4 月，并在今年初开始扩张。仅在 10 月和 11 月，就有超过 140 款虚假应用被上传到 Play 商店。

罗马尼亚网络安全公司的最新调查显示，这场活动比此前认为的规模更大，涉及多达 331 款应用，累计下载量超过 6000 万次。除了隐藏应用图标外，部分应用还被发现通过展示虚假页面试图收集信用卡数据和在线服务的用户凭据。恶意软件还能够将设备信息外泄到攻击者控制的服务器。

用于规避检测的另一种技术是使用 Leanback Launcher（一种专为基于 Android 的电视设备设计的启动器），并更改其名称和图标以伪装成 Google Voice。Bitdefender 表示：“攻击者找到了一种从启动器中隐藏应用图标的方法，这种方法在较新的 Android 版本中是受限制的。即使从技术上讲这在 Android 13 中不应实现，这些应用仍可以在无需用户交互的情况下启动。”

据信，该活动是由一个或多个网络犯罪分子发起的，他们使用了一种在地下论坛上销售的打包工具。

该公司补充道：“被调查的应用绕过了 Android 的安全限制，即使不在前台运行也能启动活动，并在没有所需权限的情况下通过连续的全屏广告骚扰用户。同样的行为也被用于展示包含钓鱼攻击意图的 UI 元素。”

谷歌发言人向 The Hacker News 表示，所有违规应用均已从 Play 商店下架。该发言人补充道：“本报告中提及的所有应用均已从 Google Play 中移除。Android 用户还受到 Google Play Protect 的自动保护，该功能默认在安装了 Google Play 服务的 Android 设备上启用。”