暗中滲透：Google Play 大規模廣告詐騙攻擊瞄準超過 6,000 萬 Android 用戶

一個嚴峻的啟示凸顯了即使最值得信賴的數位生態系統也存在脆弱性，一場大規模的廣告詐騙攻擊被發現，其目標是 Google Play Store的龐大用戶群。網路安全研究人員發現了一項協同行動，成功部署了 300 多個惡意應用程式，累計下載量超過 6000 萬次。這項大規模行動不僅產生了欺詐性廣告收入，還透過複雜的網路釣魚攻擊對用戶資料構成了重大威脅，標誌著嚴重的信任和安全漏洞。

欺騙的規模：數百個惡意應用程式突破了Google的防禦

攻擊的規模令人震驚，凸顯了應用程式商店供應商在維護安全環境方面面臨的持續挑戰。 Bitdefender 的分析發現，至少有 331 個不同的應用程式成功滲透到 Google Play Store。儘管Google此後採取行動刪除了大多數有害應用程式，但截至研究結束時，只有一小部分應用程式仍在線，其下載量之大凸顯了此次行動對全球 Android 用戶的廣泛影響。這一事件有力地提醒我們，即使是官方應用商店，儘管其安全協議很強大，但仍可能被堅定且足智多謀的網路犯罪分子利用。

長期威脅：惡意攻擊不斷演變的時間線

這次大規模行動的時間表揭示了一個持續且不斷演變的威脅。雖然大多數惡意應用程式在 2024 年第三季首次出現在 Google Play Store 中，但與此攻擊相關的新惡意軟體直到 2025 年 3 月第一周仍不斷出現。一些報導甚至表明，該攻擊的起源可以追溯到 2024 年 4 月左右，並在 2025 年初攻擊顯著增加。如此長時間的攻擊和不斷出現的新威脅強烈表明，這次行動背後有一個堅定且適應性強的對手或團體，他們不斷改進策略以逃避偵查並最大化其非法收益。更為複雜的是，調查顯示，參與這次攻擊攻擊的一些較舊的應用程式最初是無害的。這些惡意功能在初始版本中並不存在，而是在 2024 年第三季初左右透過更新引入的。這種被稱為「版本控制」的欺騙策略展示了對應用程式商店審查流程的深刻理解，其中第一次送件可能比後續更新受到更嚴格的審查，從而使攻擊者能夠將其惡意程式碼繞過初始防禦。

偽裝策略：隱藏圖示並繞過 Android 安全措施

這場大規模廣告詐欺攻擊的幕後策劃者採用了各種複雜的欺騙性技術，以最大限度地擴大其影響範圍並逃避用戶和 Google 安全系統的檢測。一種特別值得注意的方法是隱藏裝置啟動器中的應用程式圖示。研究人員指出，這種策略即使在較新的 Android 版本中也能發揮作用，因為此類行為通常會受到限制，這使得用戶更難識別和移除惡意應用程式，因為它們不會輕易出現在應用 App drawer 中。這種繞過作業系統級限制的能力顯示了利用或規避 Android 安全功能的技術專業水準。

侵入性廣告：脫離環境的廣告和未經授權的展示

此外，這些應用程式還能夠顯示脫離環境的廣告，通常以侵入性全螢幕中斷的形式，即使應用程式未處於主動使用狀態並在前台運行。這種攻擊性和破壞性行為繞過了標準的 Android 權限協議，表明利用漏洞或使用高級技術來獲取未經授權的顯示功能。

網路釣魚騙局：竊取認證和信用卡資訊

除了侵入性廣告外，相當一部分應用程式還試圖透過精心策劃的網路釣魚攻擊來竊取用戶線上服務認證甚至信用卡資訊。這通常是透過顯示虛假登錄頁面或欺騙性介面來實現的，目的為誘騙用戶輸入敏感數據，模仿 Facebook 和 YouTube 等合法平台。

後台攻擊：自動啟動和繞過 Android 13 限制

除了這些應用程式令人擔憂的性質之外，人們還發現它們能夠在沒有任何用戶互動的情況下啟動，而這種行為在技術上在較新的 Android 版本（如 Android 13）上是不可能發生的。這種自動啟動功能使惡意應用程式能夠在後台功能正常，在未經用戶明確知曉或同意的情況下持續顯示廣告並可能從事其他有害攻擊。

封裝工具(Packaging Tool)：網路犯罪分子的共享資源

調查表明，此次大規模攻擊可能是由一個高度組織嚴密的犯罪分子或多個網路犯罪分子使用相同的「封裝工具」實施的，據報道，該工具在地下網上市場上有售。這種工具的可用性可以解釋攻擊的規模和一致性。

冒充策略：模仿 Google 服務和 Android TV 啟動器

一些已識別的應用程式也使用了 Leanback Launcher（一種專為 Android TV 裝置設計的啟動器），甚至更改了其名稱和圖示以模仿 Google Voice 等合法的 Google 服務。這種模仿策略的目的為進一步欺騙使用者並可能逃避安全軟體或人工檢查的偵測。

逃避偵測：技術策略與混淆

研究人員還發現了這些惡意應用程式為逃避受感染設備的檢測而採用的技術策略，包括內容供應商濫用，即應用程式聲明一個聯絡人內容供應商，安裝後系統會自動查詢該供應商，從而無需用戶互動即可執行。另一種策略涉及透過 DisplayManager.createVirtualDisplay 等方法和其他 API 呼叫啟動攻擊，允許應用程式無需使用者許可即可啟動攻擊。為了保持持久性，這些應用程式依賴服務和虛擬接收器，確保它們即使在阻止某些後台攻擊的新 Android 版本上也能功能正常。此外，伺服器端響應被故意混淆以阻礙分析。

偽裝成實用程式：看似合法但實際惡意的應用程式

這項攻擊所涉及的應用程式類型經過精心選擇，以使其看起來像是合法且有用的工具，從而增加用戶下載它們的可能性。其中包括看似無害的實用程序，例如二維碼掃描器、費用追蹤應用程式、健康相關應用程式和壁紙應用程式。它們也偽裝成健身和生活方式應用程式。選擇這些流行且普遍受信任的類別表明攻擊者了解用戶行為，並試圖融入 Google Play Store 上大量合法應用程式中。透過將惡意軟體偽裝在這些常見的應用程式類型中，犯罪者的目的是降低用戶的懷疑並增加成功安裝的機會。

對使用者的影響：中斷、資料竊取和信任受損

這次廣告詐騙攻擊對毫無戒心的用戶的影響是多方面的，遠遠超出了單純的煩惱。持續不斷的侵入性全螢幕廣告嚴重擾亂了受影響設備的正常使用，在某些情況下導致它們幾乎完全無法運作。這種咄咄逼人的廣告不僅令用戶感到沮喪，還會消耗大量數據和電池壽命。更嚴重的是，透過網路釣魚竊取個人資訊的企圖會帶來身分盜竊和財務損失的重大風險。使用者如果在不知情的情況下將自己的認證或信用卡資訊輸入這些虛假介面，可能會面臨嚴重的後果。此外，這些惡意應用程式的侵入性和後台攻擊可能會導致裝置效能明顯下降，使手機和平板電腦運作緩慢、反應遲鈍。除了這些直接影響之外，官方應用程式商店中普遍存在的廣告詐騙和惡意軟體事件也削弱了用戶對該平台和更廣泛的數位廣告生態系統的信任。當用戶遇到行為欺騙或試圖竊取其資訊的應用程式時，他們對其他應用程式和線上服務的安全性和可靠性的信心就會降低，從而導致用戶群更加謹慎，參與度也可能降低。

Google的回應：刪除惡意應用程式和持續的挑戰

據報道，為了應對這一大規模攻擊的發現，Google 已採取行動，從 Play Store 中刪除已識別的惡意應用程式。雖然這是減輕直接威脅的關鍵一步，但受影響用戶的數量之多以及攻擊者方法的複雜程度引發了人們對預防措施有效性的擔憂。 Google 的政策嚴格禁止廣告詐欺和傳播惡意軟體。該公司先前已概述了打擊此類行為所採取的措施，包括刪除違規應用程式、禁止相關開發者帳戶、破壞詐欺者使用的基礎設施以及與更廣泛的安全社區共享資訊。然而，類似這樣的複雜攻擊不斷出現，顯示Google在維護安全的應用程式商店環境方面面臨持續的挑戰。事實上，攻擊者不斷調整他們的技術，例如使用「版本控制」、圖示隱藏和模仿，凸顯了Google的偵測和預防策略需要不斷創新和改進。Google表示，他們嚴肅對待保護用戶的責任，並採取行動，刪除涉案應用程式並禁止其進入其廣告網路。他們也致力於破壞底層殭屍網路基礎設施。

結論

總而言之，最近在 Google Play Store 發現了一個複雜的廣告詐騙攻擊，影響了超過 6,000 萬用戶，這凸顯了行動生態系統中網路威脅的持續性和不斷發展性。此次行動部署了超過 300 個惡意應用程式，凸顯了應用程式商店提供者在維護安全方面面臨的挑戰，因為攻擊者採用了「版本控制」、圖標隱藏和網路釣魚等技術來繞過防禦。這次攻擊攻擊的規模、持續時間以及使用現成的「封裝工具」表明這是一種有組織、適應性強的威脅。呼籲用戶在下載應用程式時保持警惕，同時應用程式商店提供者必須不斷加強安全措施，以應對不斷演變的威脅，特別是詐騙廣告和資料竊取的雙重威脅。這事件清楚地提醒我們，網路安全是一場持續的戰鬥，需要所有利害關係人不斷適應和合作，以保護數位環境。

參考資料