網(wǎng)絡(luò)安全研究人員近期發(fā)出警告，稱發(fā)現(xiàn)了一場大規(guī)模的廣告欺詐活動，該活動利用Google Play商店中發(fā)布的數(shù)百款惡意應(yīng)用程序，展示全屏廣告并實(shí)施釣魚攻擊。

Bitdefender在與媒體分享的報告中指出：“這些應(yīng)用程序在無關(guān)的上下文中展示廣告，甚至試圖誘騙受害者在釣魚攻擊中交出憑證和信用卡信息?！?/p>

活動詳情與初步披露

本月初，Integral Ad Science（IAS）首次披露了這一活動的細(xì)節(jié)，記錄了超過180款專門設(shè)計用于展示無限侵?jǐn)_性全屏插播視頻廣告的應(yīng)用程序。該廣告欺詐計劃代號為“Vapor”。

這些應(yīng)用程序已經(jīng)被Google下架，它們偽裝成合法應(yīng)用，合計下載量超過5600萬次，每天產(chǎn)生超過2億次競價請求。

IAS威脅實(shí)驗室表示：“Vapor背后的欺詐者創(chuàng)建了多個開發(fā)者賬戶，每個賬戶僅托管少數(shù)應(yīng)用程序，以分散其操作并逃避檢測。這種分布式設(shè)置確保任何單個賬戶的下架都不會對整個運(yùn)營產(chǎn)生重大影響?！?/p>

通過偽裝成看似無害的實(shí)用工具、健身和生活方式類應(yīng)用，該活動已成功誘騙不知情的用戶安裝這些應(yīng)用。

惡意技術(shù)與進(jìn)一步分析

研究人員還發(fā)現(xiàn)，威脅行為者采用了一種名為“版本控制”的巧妙技術(shù)，即在Play商店中發(fā)布一個功能正常的應(yīng)用程序，不帶任何惡意功能，以便通過Google的審查流程。隨后通過應(yīng)用程序更新移除這些功能，展示侵?jǐn)_性廣告。

此外，這些廣告會劫持設(shè)備的整個屏幕，阻止受害者使用設(shè)備，使其幾乎無法操作。據(jù)評估，該活動始于2024年4月左右，并在今年初開始擴(kuò)大規(guī)模。僅在10月和11月，就有超過140款虛假應(yīng)用程序上傳至Play商店。

羅馬尼亞網(wǎng)絡(luò)安全公司的最新調(diào)查顯示，該活動的規(guī)模比之前認(rèn)為的更大，涉及多達(dá)331款應(yīng)用程序，總下載量超過6000萬次。

隱藏圖標(biāo)與數(shù)據(jù)收集

除了在啟動器中隱藏應(yīng)用程序圖標(biāo)外，一些已識別的應(yīng)用程序還被觀察到試圖收集信用卡數(shù)據(jù)以及在線服務(wù)的用戶憑證。惡意軟件還能夠?qū)⒃O(shè)備信息外泄到攻擊者控制的服務(wù)器。

另一種用于逃避檢測的技術(shù)是使用Leanback Launcher，這是一種專門為基于Android的電視設(shè)備設(shè)計的啟動器，并將其名稱和圖標(biāo)更改為模仿Google Voice。

Bitdefender表示：“攻擊者找到了一種在啟動器中隱藏應(yīng)用程序圖標(biāo)的方法，這在較新的Android版本中是受限制的。這些應(yīng)用程序可以在沒有用戶交互的情況下啟動，盡管這在Android 13中技術(shù)上不應(yīng)可能。”

幕后黑手與攻擊手法

據(jù)信，該活動是由單一威脅行為者或幾名利用相同打包工具的網(wǎng)絡(luò)犯罪分子所為，該工具在地下論壇上公開出售。

該公司補(bǔ)充道：“被調(diào)查的應(yīng)用程序繞過了Android的安全限制，即使它們未在前臺運(yùn)行，也能啟動活動，并且在沒有所需權(quán)限的情況下，向用戶持續(xù)發(fā)送全屏廣告。同樣的行為也被用于展示帶有釣魚嘗試的UI元素。”