Google Play Store 中的恶意欺骗应用程序

关键要点

• 超过250个欺骗应用程序在Google Play商店中被用于掩盖恶意活动。
• 这些应用程序与恶意版本共享相同的应用ID和基础设施，属于Konfety广告欺诈活动的一部分。
• 该活动利用了俄罗斯广告网络CaramelAds的软件开发工具包（SDK）。
• 使用恶意链接传播欺骗应用程序，作为控制和命令通信的首个阶段。
• 恶意程序通过广告SDK进行附加软件的加载，并促使受害者安装搜索工具栏以追踪活动。

根据的报道，超过250个欺骗型应用程序在GooglePlay商店内被威胁行为者利用，以掩盖其“邪恶双胞胎”版本的恶意活动，这些恶意应用与合法应用共享相同的应用ID和基础设施，属于广泛的Konfety广告欺诈活动。这一活动还涉及滥用俄罗斯广告网络CaramelAds的软件开发工具包。

根据HUMAN的Satori威胁情报小组的报告，恶意链接（malvertising）用于传播这些欺骗应用程序，这些链接与合法软件和APK修改版有关。欺骗应用程序作为初始阶段下载程序，建立控制与指挥的通信，并在执行另一个DEX有效负载之前隐藏应用图标，后者则展示全屏视频广告。此外，此类有效负载还利用CaramelAdsSDK，以便支持额外的广告SDK的加载，并鼓励受害者在主屏幕上安装搜索工具栏小部件，从而追踪搜索活动。

“威胁行为者明白在应用商店中托管恶意应用程序并不是一个稳定的技术，他们正在寻找创意和聪明的方法来规避检测，进行可持续的长期欺诈。设置中介SDK公司并传播SDK，以滥用高质量发布商的行为是一种日益增长的技术，”研究人员表示。

恶意活动的复杂性和藏匿手段在不断升级，威胁行为者正变得越来越精明，要求研究人员和应用商店运营商必须加倍努力以确保用户的安全。