自2024年初以来,超过300款恶意Android应用在Google Play上被下载了6000万次,进行大规模广告欺诈。
GitHub Action 中广泛使用的 tj-actions/changed-files 被攻破,导致使用 CI/CD 工作流的仓库机密信息面临泄露风险,涉及 23000 多个仓库。
超过 300 款恶意 Android 应用从 Google Play 下载了 6000 万次,它们或作为广告软件,或试图窃取凭证和信用卡信息。这一操作最初由 IAS 威胁实验室发现,该实验室将此恶意活动归类为 Vapor,并称其自 2024 年初以来一直在进行。IAS 识别出 180 款属于 Vapor 活动的应用,这些应用每天生成 2000 万次欺诈性的广告竞价请求,以进行大规模广告欺诈。
Bitdefender 最新发布的报告将恶意应用数量增加至 331 款,并报告在巴西、美国、墨西哥、土耳其和韩国等地出现了大量感染。“这些应用会显示不合时宜的广告,甚至试图通过网络钓鱼攻击诱使受害者交出凭证和信用卡信息。
”Bitdefender 警告称。尽管所有这些应用都已被从 Google Play 下架,但 Vapor 通过新应用卷土重来的风险依然很大,因为威胁行为者已经展示了绕过 Google 审查流程的能力。
Vapor 活动中使用到的应用是实用工具,提供诸如健康和健身追踪、笔记工具和日记、电池优化器以及二维码扫描仪等专门功能。这些应用通过了 Google 的安全审查,因为它们包含了所宣传的功能,并且在提交时并未包含恶意组件。
相反恶意功能是通过从命令和控制(C2)服务器推送的更新在安装后下载的。一些由 Bitdefender 和 IAS 突出显示的典型案例包括:- AquaTracker – 100 万次下载- ClickSave Downloader – 100 万次下载- Scan Hawk – 100 万次下载- Water Time Tracker – 100 万次下载- Be More – 100 万次下载- BeatWatch – 50 万次下载- TranslateScan – 10 万次下载- Handset Locator – 5 万次下载这些应用是从多个开发者账户上传到 Google Play 的,每个账户只推送几款应用到商店,以免在被下架时冒高风险中断。
**出于类似原因,每个发布者使用不同的广告软件 SDK。**大多数 Vapor 应用是在 2024 年 10 月至 2025 年 1 月之间发布到 Google Play 上的,尽管上传一直持续到 3 月。这些恶意的 Vapor 应用在安装后会关闭其在 AndroidManifest.xml 文件中的启动器活动,使它们不可见。在某些情况下,它们会将自己在设置中重命名为看似合法的应用(例如 Google Voice)。
这些应用无需用户交互即可启动,并使用本地代码启用一个隐藏的次要组件,同时保持启动器禁用以隐藏图标Bitdefender 指出,这种方法绕过了 Android 13+ 的安全保护,这些保护措施禁止应用在激活后动态禁用自身的启动器活动。该恶意软件还绕过了 Android 13+ 的“SYSTEM_ALERT_WINDOW”权限限制,并创建了一个充当全屏覆盖的次要屏幕。
广告显示在这个屏幕上,该屏幕覆盖在所有其他应用之上,用户无法退出,因为“返回”按钮被禁用。该应用还会从“最近任务”中移除自己,因此用户无法确定他们刚刚看到的广告是由哪个应用启动的。Bitdefender 报告称,一些应用超越了广告欺诈的范畴,会显示 Facebook 和 YouTube 的假登录屏幕以窃取凭证,或以各种借口提示用户输入信用卡信息。
一般建议 Android 用户避免从不知名发布者处安装不必要的应用,仔细检查授予的权限,并将应用抽屉与设置中的应用列表进行比较,以查看所有已安装的应用。如果您发现自己安装了这些应用中的任何一个,请立即卸载,并使用 Google Play Protect(或其他移动防病毒产品)运行完整的系统扫描。
PS:现在知道为什么你们的钱包莫名其妙被清空了吧