据 HUMAN 最新报告披露,一场代号为“IconAds”的大规模移动广告欺诈行动已被成功阻断,涉及 352 款 Android 应用。这些应用可在用户不知情的情况下加载屏幕广告,并通过隐藏桌面图标等方式躲避卸载。目前,这些恶意应用已被 Google 从 Play 商店下架。
据 HUMAN 旗下 Satori 威胁情报与研究团队表示,IconAds 一度每天发起 12 亿次广告竞价请求,主要流量来源包括巴西、墨西哥和美国。
IconAds 属于广为人知的 HiddenAds 和 Vapor 系威胁的变种,自 2019 年起多次绕过 Google Play 检测。
此类恶意 App 常见特征包括:通过代码混淆隐藏设备信息、使用特定命名规则的 C2 域名、通过 activity-alias 技术绕过主屏图标机制,使得 App 启动后图标和名称即被隐藏,进而防止用户轻松卸载。
部分变种还伪装成 Google Play 或其他 Google 应用图标,点击后跳转至正版应用界面,掩盖后台加载广告的恶意行为。
研究团队指出,IconAds 的变体还加入了 Play 商店来源检查机制,以及更复杂的代码混淆,以对抗动态分析和检测。“这些恶意 App 通常‘上架即下架’,生命周期极短,但威胁持续演进。”
与此同时,IAS Threat Lab 揭露了另一个被称为“Kaleidoscope”的高级广告欺诈行动。攻击者通过“双胞胎”手法进行伪装——在 Google Play 发布看似合法的“诱饵应用”,并同步通过第三方市场传播几乎相同但嵌入恶意代码的“邪恶双胞胎”。
Kaleidoscope 是早期 Konfety 行动的升级版本,原使用 CaramelAds SDK 广告框架。新版本已移除相关标识,并将广告功能注入伪装为 Leisure、Raccoon、Adsclub 等 SDK 名称中。
该行动通过虚假 App ID 投放插屏广告及视频广告,干扰用户体验并诱骗广告平台支付无效流量费。受影响区域集中在拉丁美洲、土耳其、埃及和印度,这些地区第三方应用商店使用率较高。
IAS 指出,一家葡萄牙公司 Saturn Dynamic 与该行动的广告变现环节有关,其声称提供展示广告和视频的变现服务。
从广告欺诈蔓延至金融盗刷:NFC恶意工具爆发
不止于广告欺诈,多个基于 Android 平台的恶意家族(如 NGate 和 SuperCard X)正在利用近场通信(NFC)技术实施远程金融诈骗。攻击者通过中继技术,将受害者银行卡的 NFC 信号转发到自己控制的设备上,进而远程从 ATM 取现。
NGate 甚至衍生出新的攻击方式“Ghost Tap”,攻击者可将窃取的卡片数据注册至 Google Pay 或 Apple Pay 钱包,再通过 NFC 终端伪造合法支付行为,实现快速“套现”。
ESET 表示:“Ghost Tap 利用被控制设备与支付终端间的合法交互,绕过传统检测机制,实施欺诈交易。”
Qwizzserial短信木马:乌兹别克斯坦十万设备受害
几乎同时,Group-IB 揭露了一款新型 Android 短信木马 Qwizzserial,已感染乌兹别克斯坦约 10 万台设备,造成至少 6.2 万美元损失(2025年3月至6月期间)。
该木马伪装成银行 App 或政府服务程序,通过 Telegram 虚假频道传播,诱导用户安装。安装后诱导用户输入两个手机号和银行卡信息,并尝试绕过系统优化设置以实现常驻后台运行。
Qwizzserial 会通过正则表达式识别包含余额信息或金额超过 500,000 乌兹别克斯坦苏姆(约 39 美元)的短信,并将其打包上传至远程服务器或 Telegram Bot。
Telegram 在攻击链中扮演核心角色——不仅用于传播,还用于管理和变现。
其他活跃的安卓恶意活动
除上述外,近期印度用户也遭遇了“婚礼邀请函木马”,攻击者通过 WhatsApp 和 Telegram 传播伪装 APK 文件,植入 SpyMax(SpyNote) 或其他远控工具。
Kaspersky 还追踪到一款名为 SparkKitty 的新木马,可同时感染 Android 和 iOS 平台。其分发渠道包括仿冒 App 下载页面和伪造的 TikTok 克隆。iOS 版本通过开发者配置文件绕过 Apple 审核流程,在受害者设备上安装后,利用 OCR(光学字符识别)功能提取截图中包含助记词等敏感内容。
Kaspersky 判断,SparkKitty 是 SparkCat 的继任者,主要目标是窃取加密钱包密钥截图,活跃地区集中在东南亚和中国。
发表评论
您还未登录,请先登录。
登录