Google Play 上托管的 300 个恶意Vapor应用下载量达 6000 万次

研究人员发现一个广泛的广告欺诈计划，该计划通过 Google Play 上架的数百个恶意 Android 应用程序传播，这些应用程序的总下载量已超过 6000 万次。

该活动被称为“Vapor”，最初由 IAS Threat Lab 标记，该实验室在 Google Play 上发现了 180 个恶意应用程序，旨在“部署无尽的、侵入性的全屏插页式视频广告”。

Vapor 软件伪装成实用程序、健康和健身以及生活方式类APP，悄无声息地渗透到受害者的设备中：这些应用程序在提交到 Google Play 时即可运行，随后会进行更新以产生广告收入。

IAS 在一份报告（https://go.integralads.com/rs/469-VBI-606/images/AMER_VAPOR_THREAT_REPORT_IAS.pdf）中解释道，这些更新完全删除了应用程序的功能，隐藏了应用程序的图标，还隐藏了所有可见的 UI 元素。

IAS 指出：“应用程序完全设置好后，它会立即尝试用全屏插页广告轰炸用户，有效地劫持设备屏幕。”

自 2024 年初以来，Google Play 中识别出的 180 多个应用 ID 的下载量已超过 5600 万次，并在当年第三季度以及 2024 年 11 月至 2025 年 1 月期间出现了显著的峰值。

据 Bitdefender 称，作为该计划的一部分，推送到 Google Play 的恶意应用程序数量几乎增加了一倍，达到 331 个，而它们的总下载量已超过 6000 万次。

除了显示欺诈性广告外，这些应用程序还从事其他恶意行为，例如试图通过网络钓鱼收集用户凭证和信用卡数据。

这些应用程序旨在绕过最新 Android 版本中的某些保护措施，执行受限操作，例如在启动器中隐藏其图标、在其他软件上显示不相关的广告，以及无需用户交互即可启动。

一些被分析的应用程序使用了专为 Android TV 设计的启动器，并且可以不受限制地禁用或启用其图标，而其他应用程序则可以从设置菜单中隐藏自己，以避免被删除。

Bitdefender 识别的大多数应用程序于 2024 年 8 月至 2025 年 1 月期间首次在 Google Play 上发布，而最新的应用程序于 2025 年 3 月初发布。

Bitdefender 表示：“需要明确的是，这是一场积极的攻击活动。Google Play Store 中发布的最新恶意软件于 2025 年 3 月第一周上线。当我们完成调查时，一周后，仍有 15 个应用程序可在 Google Play 上下载。 ”

该网络安全公司还注意到，这些应用程序可以在未启动的情况下在前台显示广告，还可以显示自定义消息，例如提示用户输入凭据，并且使用自定义的专用命令和控制 (C&C) 域。

IAS 和 Bitdefender 都向 Google 报告了有关 Vapor 行动的发现，Google 已将违规应用程序从 Google Play 中删除。

Google 发言人指出：“这些报告中识别的所有应用都已从 Google Play 中删除。Android 用户还会自动受到 Google Play Protect 的保护，该功能在安装有 Google Play 服务的 Android 设备上默认启用。”

技术报告：

https://go.integralads.com/rs/469-VBI-606/images/AMER_VAPOR_THREAT_REPORT_IAS.pdf

https://www.bitdefender.com/en-us/blog/labs/malicious-google-play-apps-bypassed-android-security

新闻链接：

https://www.securityweek.com/300-malicious-vapor-apps-hosted-on-google-play-had-60-million-downloads/

讲述普通人能听懂的安全故事