谷歌下架了224款恶意安卓应用，这些应用与大规模广告欺诈活动有关

根据美国网络安全技术公司 Human 旗下 Satori 威胁情报网络安全研究和分析团队的一份新报告，一项名为“SlopAds”的大规模广告欺诈活动已被曝光。

研究人员表示，与此次攻击活动相关的224款恶意应用在被检测和移除前，在Google Play上的下载量超过3800万次。这些应用不仅通过混淆和文本注入技术隐藏了其复杂的欺诈手段，还绕过了谷歌的多项安全机制和其他防御工具。

SlopAds并非局部现象，而是全球性的，影响了228个国家的用户。该欺诈系统平均每天产生23亿次广告竞价请求，给在线广告市场造成了巨大损失。广告曝光量最大的国家是美国（30%），其次是印度（10%）和巴西（7%）。

研究人员表示，这些恶意应用程序是批量生产的，质量很低，类似于“人工智能垃圾”（AI 生成的垃圾内容），该术语也指在发起此次攻击的网络犯罪集团的控制服务器上发现的与人工智能相关的应用程序和服务。

一键切换合法与有毒状态

SlopAds 活动的策划者巧妙地设计了一种机制，使得这款应用一旦安装到用户设备上，就能立即从“合法”应用转变为作弊工具。为了绕过 Google Play 的审核流程和 Android 的保护机制，他们运用了一系列技术手段，将恶意行为隐藏到最后一刻。

当用户从应用商店安装该应用时，软件最初运行正常，没有任何异常迹象。但如果用户通过攻击者散布的广告链接访问该应用，安装程序在通过一系列检查后会触发恶意脚本。

该应用程序会检测它是通过 Play 商店还是其他来源安装的，如果满足“条件”，它会下载一个加密的配置文件，其中包含欺诈模块的路径、提现服务器以及攻击者提供的一段 JavaScript 代码。

接下来，该应用会下载四个看似无害的PNG图像文件，这实际上是一种数据注入。这些PNG图像实际上包含代码或APK文件的加密部分。

在目标设备上，图像被解码并重新组装，形成实际的恶意软件模块。激活后，该模块会利用隐藏的 WebView 收集设备信息，模拟真实用户访问，并导航至攻击者控制的域网络。

这些域名冒充游戏和新闻网站，不断显示隐藏的 WebView，这种行为每天产生数十亿次的虚假展示和点击，将虚假流量转化为骗子的真实收入。

复杂的伪装技术和上下文触发机制使得 SlopAds 难以检测，并对数字广告生态系统构成严重威胁。

如何保护自己免受广告欺诈应用程序的侵害

虽然 Human 的 Satori 威胁情报团队尚未公布 SlopAds 活动中涉及的 224 个应用程序的详细列表，但好消息是，所有这些应用程序都已从 Google Play 中移除。

用户也不必过于担心自行检查，因为谷歌已经更新了安卓系统内置的安全层 Play Protect，它可以在检测到手机或平板电脑上的有害应用程序时自动扫描、发出警告并请求删除。

然而，这并不意味着你可以放松警惕。恶意广告软件不仅会窃取数据或造成展示欺诈，还会造成难以预料的后果。

想象一下，你的手机整天默默地下载各种随机网站，导致流量消耗、电池电量快速耗尽、手机发热，甚至缩短组件寿命。很多情况下，用户仅仅因为误装了这些看似无害的应用程序，就不得不提前更换手机。

虽然 SlopAds 不像其他专门窃取信息或控制设备的恶意软件那样危险，但它仍然表明，下载外部或未知来源应用程序的用户面临的风险要比只使用 Google Play 商店中的官方应用程序高得多。

为了增强安全性，您可以考虑在安装 Play Protect 的同时，也安装一款信誉良好的安卓杀毒软件。如果您需要更全面的保护，抵御黑客、诈骗犯甚至身份窃贼等威胁，数字身份保护服务也值得考虑。

鉴于广告欺诈能为网络犯罪分子带来巨额利润，SlopAds 绝非此类案件的终结。安全专家认为，作案者可能很快就会卷土重来，发起类似但更加复杂的攻击。

这再次提醒我们，下载东西要小心，因为一次错误的点击可能会付出惨痛的代价。