Google Play 上的恶意 Android Vapor 应用被安装 6000 万次

超过 300 款恶意 Android 应用从 Google Play 下载了 6000 万次，它们或作为广告软件，或试图窃取凭证和信用卡信息。

这一操作最初由 IAS 威胁实验室发现，该实验室将此恶意活动归类为 Vapor （Vapor），并称其自 2024 年初以来一直在进行。

IAS 识别出 180 款属于 Vapor 活动的应用，这些应用每天生成 2000 万次欺诈性的广告竞价请求，以进行大规模广告欺诈。

Bitdefender 最新发布的报告将恶意应用数量增加至 331 款，并报告在巴西、美国、墨西哥、土耳其和韩国等地出现了大量感染。

“这些应用会显示不合时宜的广告，甚至试图通过网络钓鱼攻击诱使受害者交出凭证和信用卡信息，”Bitdefender 警告称。

尽管所有这些应用都已被从 Google Play 下架，但 Vapor 通过新应用卷土重来的风险依然很大，因为威胁行为者已经展示了绕过 Google 审查流程的能力。

 Vapor 活动中使用到的应用是实用工具，提供诸如健康和健身追踪、笔记工具和日记、电池优化器以及二维码扫描仪等专门功能。

这些应用通过了 Google 的安全审查，因为它们包含了所宣传的功能，并且在提交时并未包含恶意组件。相反，恶意功能是通过从命令和控制（C2）服务器推送的更新在安装后下载的。

一些由 Bitdefender 和 IAS 突出显示的典型案例包括：

– AquaTracker – 100 万次下载

– ClickSave Downloader – 100 万次下载

– Scan Hawk – 100 万次下载

– Water Time Tracker – 100 万次下载

– Be More – 100 万次下载

– BeatWatch – 50 万次下载

– TranslateScan – 10 万次下载

– Handset Locator – 5 万次下载

这些应用是从多个开发者账户上传到 Google Play 的，每个账户只推送几款应用到商店，以免在被下架时冒高风险中断。出于类似原因，每个发布者使用不同的广告软件 SDK。

大多数 Vapor 应用是在 2024 年 10 月至 2025 年 1 月之间发布到 Google Play 上的，尽管上传一直持续到 3 月。

这些恶意的 Vapor 应用在安装后会关闭其在 AndroidManifest.xml 文件中的启动器活动，使它们不可见。在某些情况下，它们会将自己在设置中重命名为看似合法的应用（例如 Google Voice）。

这些应用无需用户交互即可启动，并使用本地代码启用一个隐藏的次要组件，同时保持启动器禁用以隐藏图标。

Bitdefender 指出，这种方法绕过了 Android 13+ 的安全保护，这些保护措施禁止应用在激活后动态禁用自身的启动器活动。

该恶意软件还绕过了 Android 13+ 的“SYSTEM_ALERT_WINDOW”权限限制，并创建了一个充当全屏覆盖的次要屏幕。

广告显示在这个屏幕上，该屏幕覆盖在所有其他应用之上，用户无法退出，因为“返回”按钮被禁用。

该应用还会从“最近任务”中移除自己，因此用户无法确定他们刚刚看到的广告是由哪个应用启动的。

Bitdefender 报告称，一些应用超越了广告欺诈的范畴，会显示 Facebook 和 YouTube 的假登录屏幕以窃取凭证，或以各种借口提示用户输入信用卡信息。

一般建议 Android 用户避免从不知名发布者处安装不必要的应用，仔细检查授予的权限，并将应用抽屉与设置中的应用列表进行比较，以查看所有已安装的应用。

所有 331 款恶意应用的完整列表可在此处查看。

如果您发现自己安装了这些应用中的任何一个，请立即卸载，并使用 Google Play Protect（或其他移动防病毒产品）运行完整的系统扫描。

BleepingComputer 已就 Vapor 活动联系 Google 以获取评论，但在发布时尚未收到声明。

---

消息来源：Bleeping Computer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；