網絡安全研究人員近期發出警告，稱發現了一場大規模的廣告欺詐活動，該活動利用Google Play商店中發布的數百款惡意應用程序，展示全屏廣告并實施釣魚攻擊。

Bitdefender在與媒體分享的報告中指出：“這些應用程序在無關的上下文中展示廣告，甚至試圖誘騙受害者在釣魚攻擊中交出憑證和信用卡信息。”

活動詳情與初步披露

本月初，Integral Ad Science（IAS）首次披露了這一活動的細節，記錄了超過180款專門設計用于展示無限侵擾性全屏插播視頻廣告的應用程序。該廣告欺詐計劃代號為“Vapor”。

這些應用程序已經被Google下架，它們偽裝成合法應用，合計下載量超過5600萬次，每天產生超過2億次競價請求。

IAS威脅實驗室表示：“Vapor背后的欺詐者創建了多個開發者賬戶，每個賬戶僅托管少數應用程序，以分散其操作并逃避檢測。這種分布式設置確保任何單個賬戶的下架都不會對整個運營產生重大影響。”

通過偽裝成看似無害的實用工具、健身和生活方式類應用，該活動已成功誘騙不知情的用戶安裝這些應用。

惡意技術與進一步分析

研究人員還發現，威脅行為者采用了一種名為“版本控制”的巧妙技術，即在Play商店中發布一個功能正常的應用程序，不帶任何惡意功能，以便通過Google的審查流程。隨后通過應用程序更新移除這些功能，展示侵擾性廣告。

此外，這些廣告會劫持設備的整個屏幕，阻止受害者使用設備，使其幾乎無法操作。據評估，該活動始于2024年4月左右，并在今年初開始擴大規模。僅在10月和11月，就有超過140款虛假應用程序上傳至Play商店。

羅馬尼亞網絡安全公司的最新調查顯示，該活動的規模比之前認為的更大，涉及多達331款應用程序，總下載量超過6000萬次。

隱藏圖標與數據收集

除了在啟動器中隱藏應用程序圖標外，一些已識別的應用程序還被觀察到試圖收集信用卡數據以及在線服務的用戶憑證。惡意軟件還能夠將設備信息外泄到攻擊者控制的服務器。

另一種用于逃避檢測的技術是使用Leanback Launcher，這是一種專門為基于Android的電視設備設計的啟動器，并將其名稱和圖標更改為模仿Google Voice。

Bitdefender表示：“攻擊者找到了一種在啟動器中隱藏應用程序圖標的方法，這在較新的Android版本中是受限制的。這些應用程序可以在沒有用戶交互的情況下啟動，盡管這在Android 13中技術上不應可能。”

幕后黑手與攻擊手法

據信，該活動是由單一威脅行為者或幾名利用相同打包工具的網絡犯罪分子所為，該工具在地下論壇上公開出售。

該公司補充道：“被調查的應用程序繞過了Android的安全限制，即使它們未在前臺運行，也能啟動活動，并且在沒有所需權限的情況下，向用戶持續發送全屏廣告。同樣的行為也被用于展示帶有釣魚嘗試的UI元素。”