摘要:IAS 威胁实验室发现,自 2024 年初起,一系列恶意活动在 Google Play 平台悄然展开,该实验室将其命名为 “Vapor”。此次恶意行动涉及超过 300 个恶意 Android 应用程序,这些应用累计从 Google Play 下载量高达 600
导语:IAS 威胁实验室发现,自 2024 年初起,一系列恶意活动在 Google Play 平台悄然展开,该实验室将其命名为 “Vapor”。
IAS 威胁实验室发现,自 2024 年初起,一系列恶意活动在 Google Play 平台悄然展开,该实验室将其命名为 “Vapor”。此次恶意行动涉及超过 300 个恶意 Android 应用程序,这些应用累计从 Google Play 下载量高达 6000 万次。它们要么充当广告软件,要么试图窃取用户的凭证和信用卡信息。
IAS 发现,在 “Vapor” 活动中,有 180 个应用程序参与其中,这些应用每天能产生 2 亿个欺诈性广告竞标请求,以此实施大规模广告欺诈。而 Bitdefender 最新发布的报告显示,恶意应用程序的数量已增加到 331 个,且报告指出,巴西、美国、墨西哥、土耳其和韩国等地出现了大量感染情况。Bitdefender 发出警告:“这些应用程序不仅会展示不合理的广告,甚至还试图在网络钓鱼攻击中诱骗受害者泄露凭证和信用卡信息。”
尽管目前所有这些恶意应用程序均已从 Google Play 下架,但 “Vapor” 活动极有可能通过新应用程序再次卷土重来,毕竟威胁行为者此前已展现出绕过 Google 审核流程的能力。
Google Play 上的 Vapor 应用
“Vapor” 活动所涉及的应用程序多为具备特定功能的实用工具,例如健康和健身追踪、笔记工具和日记、电池优化器以及二维码扫描仪等。这些应用能够通过 Google 的安全审查,原因在于它们包含所宣传的功能,并且在提交时并不含有恶意组件。然而,恶意软件功能会在用户安装应用后,通过命令和控制(C2)服务器提供的更新进行下载。
Google Play 上的恶意应用程序 来源:IAS Threat Lab
Bitdefender 和 IAS 着重指出了一些具有代表性的案例,包括:
· AquaTracker —— 下载量达 100 万次;
· ClickSave Downloader —— 下载量达 100 万次;
· Scan Hawk —— 下载量达 100 万次;
· Water Time Tracker —— 下载量达 100 万次;
· Be More —— 下载量达 100 万次;
· BeatWatch —— 下载量 50 万次;
· TranslateScan —— 下载量 10 万次;
· Handset Locator —— 下载量 50,000 次。
这些应用由不同的开发者帐户上传至 Google Play,每个帐户仅向商店推送少量应用,目的是避免在应用被删除时遭受严重损失。同样,每个发布商还会使用不同的广告 SDK。大多数 “Vapor” 应用于 2024 年 10 月至 2025 年 1 月期间在 Google Play 发布,不过上传行为一直持续到 3 月。
Google Play 上的 Vapor 应用提交 Bitdefender
恶意功能
恶意的 “Vapor” 应用在安装后,会关闭 AndroidManifest.xml 文件中的启动器活动,使其在用户设备上不可见。在部分情况下,它们会在 “设置” 中更改自身名称,伪装成诸如 Google Voice 等合法应用。应用程序无需用户交互即可自动启动,并利用本机代码启用辅助隐藏组件,同时保持启动器处于禁用状态,以此隐藏应用图标。Bitdefender 评论称,这种手段绕过了 Android 13 + 系统的安全保护措施,该措施原本旨在防止应用程序在启动后动态禁用自身的启动器活动。
此外,该恶意软件还绕过了 Android 13 + 上的 “SYSTEM_ALERT_WINDOW” 权限限制,创建出一个充当全屏覆盖的辅助屏幕。广告便显示在这个覆盖所有其他应用程序的屏幕上,并且由于 “返回” 按钮被禁用,用户无法退出。该应用程序还会将自己从 “最近任务” 中删除,导致用户难以确定是哪个应用启动了这些广告。
Bitdefender 报告指出,部分应用程序的恶意行为不止于广告欺诈,它们还会显示 Facebook 和 YouTube 的虚假登录屏幕,以窃取用户凭证,或者以各种借口诱导用户输入信用卡信息。
针对此类情况,通常建议 Android 用户避免安装来自不知名发布商的不必要应用程序,仔细检查授予应用的权限,并将应用程序抽屉中的应用与 “设置”→“应用程序”→“查看所有应用程序” 中已安装的应用程序列表进行比对。
来源:Web3软件开发
