谷歌下架 224 款恶意 Android 应用，以应对大规模广告欺诈活动

据美国网络安全技术公司 Human 旗下 Satori Threat Intelligence 网络安全研究分析团队最新报告显示，一个名为“SlopAds”的大规模广告欺诈活动已被曝光。

研究人员表示，与此次攻击活动相关的超过 224 款恶意应用在被检测并移除之前，已在 Google Play 上下载超过 3800 万次。这些应用不仅通过混淆和文本注入技术隐藏了其复杂的欺诈行为，还绕过了谷歌的许多安全机制和其他防御工具。

SlopAds并非局部现象，而是全球性的，受影响的用户遍布228个国家。该欺诈系统平均每天产生23亿个广告竞价请求，给在线广告市场造成了巨大损失。广告展示量最大的国家是美国（30%），其次是印度（10%）和巴西（7%）。

研究人员表示，这些恶意应用程序是批量生产的，质量低劣，类似于“AI slop”（AI 生成的垃圾内容），该术语也指在该活动背后的网络犯罪集团的控制服务器上发现的与 AI 相关的应用程序和服务的商店。

只需点击一下，即可从合法变为有毒

SlopAds 活动的发起者巧妙地设计了一种机制，使得该应用一旦进入用户设备，就会从“合法”应用瞬间转变为作弊工具。为了规避 Google Play 的审核流程和 Android 的保护机制，他们使用了一系列技术手段，将恶意行为隐藏到最后一刻。

当用户从 Play Store 安装该应用时，软件最初会像普通应用一样运行，没有任何异常迹象。但如果用户通过攻击者分发的广告链接访问该应用，安装程序在通过一系列检查后就会触发恶意脚本。

该应用程序将检测它是通过 Play Store 还是其他来源安装的，如果满足“条件”，它将下载一个加密的配置文件，其中包含欺诈模块的路径、提款服务器以及攻击者提供的一段 JavaScript 代码。

接下来，该应用程序会下载四个看似无害的PNG图像文件，但实际上它们是一种数据注入形式。这些PNG图像实际上包含APK文件的代码或加密部分。

在目标设备上，图像被解码并重新组装，形成实际的恶意软件模块。激活后，该模块使用隐藏的 WebView 收集设备信息，模拟真实用户访问，并导航到攻击者控制的域网络。

这些域名冒充游戏和新闻网站，不断显示隐藏的 WebView，这种行为每天会产生数十亿次虚假展示和点击，将虚假流量转化为骗子的真实收入。

复杂的隐藏技术和上下文触发使得 SlopAds 难以被发现，并且对数字广告生态系统非常危险。

如何保护自己免受广告欺诈应用的侵害

虽然 Human 的 Satori 威胁情报团队尚未发布参与 SlopAds 活动的 224 个应用程序的详细列表，但好消息是它们均已从 Google Play 中移除。

用户也不必过于担心自己检查，因为谷歌已经更新了 Android 内置的安全层 Play Protect，如果检测到手机或平板电脑上的有害应用程序，就会自动扫描、发出警告并要求删除。

然而，这并不意味着你可以放松警惕。恶意广告软件不仅会窃取数据或造成展示欺诈，还会造成难以预料的后果。

想象一下，你的手机整天默默地下载一系列随机网站，导致移动数据流量消耗、电池耗尽、设备发热，并缩短组件寿命。很多情况下，用户仅仅因为错误地安装了这些看似无害的应用程序，就被迫提前更换设备。

虽然 SlopAds 不像其他专门窃取信息或控制设备的恶意软件那样危险，但它仍然表明，下载外部或来源不明的应用程序的用户面临的风险比仅使用 Google Play 商店中的官方应用程序要高得多。

为了增强安全防护，您可以考虑在安装 Play Protect 的同时，安装一款信誉良好的 Android 杀毒软件。如果您希望获得更全面的保护，抵御黑客、诈骗者甚至身份窃贼等威胁，数字身份保护服务也值得考虑。

鉴于广告欺诈能为网络犯罪分子带来巨额利润，SlopAds 肯定不会是最后一个此类骗局。安全专家认为，犯罪分子可能很快就会卷土重来，发起类似且更复杂的攻击活动。

这只是强化了一个熟悉但永不过时的提醒：下载时要小心，因为一次错误的点击可能会付出高昂的代价。/。