北京
IAS 威脅實驗室發(fā)現(xiàn),自 2024 年初起,一系列惡意活動在 Google Play 平臺悄然展開,該實驗室將其命名為 “Vapor”。此次惡意行動涉及超過 300 個惡意 Android 應用程序,這些應用累計從 Google Play 下載量高達 6000 萬次。它們要么充當廣告軟件,要么試圖竊取用戶的憑證和信用卡信息。
IAS 發(fā)現(xiàn),在 “Vapor” 活動中,有 180 個應用程序參與其中,這些應用每天能產(chǎn)生 2 億個欺詐性廣告競標請求,以此實施大規(guī)模廣告欺詐。而 Bitdefender 最新發(fā)布的報告顯示,惡意應用程序的數(shù)量已增加到 331 個,且報告指出,巴西、美國、墨西哥、土耳其和韓國等地出現(xiàn)了大量感染情況。Bitdefender 發(fā)出警告:“這些應用程序不僅會展示不合理的廣告,甚至還試圖在網(wǎng)絡釣魚攻擊中誘騙受害者泄露憑證和信用卡信息。”
盡管目前所有這些惡意應用程序均已從 Google Play 下架,但 “Vapor” 活動極有可能通過新應用程序再次卷土重來,畢竟威脅行為者此前已展現(xiàn)出繞過 Google 審核流程的能力。
Google Play 上的 Vapor 應用
“Vapor” 活動所涉及的應用程序多為具備特定功能的實用工具,例如健康和健身追蹤、筆記工具和日記、電池優(yōu)化器以及二維碼掃描儀等。這些應用能夠通過 Google 的安全審查,原因在于它們包含所宣傳的功能,并且在提交時并不含有惡意組件。然而,惡意軟件功能會在用戶安裝應用后,通過命令和控制(C2)服務器提供的更新進行下載。
Google Play 上的惡意應用程序 來源:IAS Threat Lab
Bitdefender 和 IAS 著重指出了一些具有代表性的案例,包括:
· AquaTracker —— 下載量達 100 萬次;
· ClickSave Downloader —— 下載量達 100 萬次;
· Scan Hawk —— 下載量達 100 萬次;
· Water Time Tracker —— 下載量達 100 萬次;
· Be More —— 下載量達 100 萬次;
· BeatWatch —— 下載量 50 萬次;
· TranslateScan —— 下載量 10 萬次;
· Handset Locator —— 下載量 50,000 次。
這些應用由不同的開發(fā)者帳戶上傳至 Google Play,每個帳戶僅向商店推送少量應用,目的是避免在應用被刪除時遭受嚴重損失。同樣,每個發(fā)布商還會使用不同的廣告 SDK。大多數(shù) “Vapor” 應用于 2024 年 10 月至 2025 年 1 月期間在 Google Play 發(fā)布,不過上傳行為一直持續(xù)到 3 月。
Google Play 上的 Vapor 應用提交 Bitdefender
惡意功能
惡意的 “Vapor” 應用在安裝后,會關閉 AndroidManifest.xml 文件中的啟動器活動,使其在用戶設備上不可見。在部分情況下,它們會在 “設置” 中更改自身名稱,偽裝成諸如 Google Voice 等合法應用。應用程序無需用戶交互即可自動啟動,并利用本機代碼啟用輔助隱藏組件,同時保持啟動器處于禁用狀態(tài),以此隱藏應用圖標。Bitdefender 評論稱,這種手段繞過了 Android 13 + 系統(tǒng)的安全保護措施,該措施原本旨在防止應用程序在啟動后動態(tài)禁用自身的啟動器活動。
此外,該惡意軟件還繞過了 Android 13 + 上的 “SYSTEM_ALERT_WINDOW” 權限限制,創(chuàng)建出一個充當全屏覆蓋的輔助屏幕。廣告便顯示在這個覆蓋所有其他應用程序的屏幕上,并且由于 “返回” 按鈕被禁用,用戶無法退出。該應用程序還會將自己從 “最近任務” 中刪除,導致用戶難以確定是哪個應用啟動了這些廣告。
Bitdefender 報告指出,部分應用程序的惡意行為不止于廣告欺詐,它們還會顯示 Facebook 和 YouTube 的虛假登錄屏幕,以竊取用戶憑證,或者以各種借口誘導用戶輸入信用卡信息。
針對此類情況,通常建議 Android 用戶避免安裝來自不知名發(fā)布商的不必要應用程序,仔細檢查授予應用的權限,并將應用程序抽屜中的應用與 “設置”→“應用程序”→“查看所有應用程序” 中已安裝的應用程序列表進行比對。
參考及來源 :https://www.bleepingcomputer.com/news/security/malicious-android-vapor-apps-on-google-play-installed-60-million-times/
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
