IAS 威胁实验室发现，自 2024 年初起，一系列恶意活动在 Google Play 平台悄然展开，该实验室将其命名为 “Vapor”。 此次恶意行动涉及超过 300 个恶意 Android 应用程序，这些应用累计从 Google Play 下载量高达 6000 万次。 它们要么充当广告软件，要么试图窃取用户的凭证和信用卡信息。

IAS 发现，在 “Vapor” 活动中，有 180 个应用程序参与其中，这些应用每天能产生 2 亿个欺诈性广告竞标请求，以此实施大规模广告欺诈。而 Bitdefender 最新发布的报告显示，恶意应用程序的数量已增加到 331 个，且报告指出，巴西、美国、墨西哥、土耳其和韩国等地出现了大量感染情况。Bitdefender 发出警告：“这些应用程序不仅会展示不合理的广告，甚至还试图在网络钓鱼攻击中诱骗受害者泄露凭证和信用卡信息。”

尽管目前所有这些恶意应用程序均已从 Google Play 下架，但 “Vapor” 活动极有可能通过新应用程序再次卷土重来，毕竟威胁行为者此前已展现出绕过 Google 审核流程的能力。

Google Play 上的 Vapor 应用

“Vapor” 活动所涉及的应用程序多为具备特定功能的实用工具，例如健康和健身追踪、笔记工具和日记、电池优化器以及二维码扫描仪等。这些应用能够通过 Google 的安全审查，原因在于它们包含所宣传的功能，并且在提交时并不含有恶意组件。然而，恶意软件功能会在用户安装应用后，通过命令和控制（C2）服务器提供的更新进行下载。

Google Play 上的恶意应用程序 来源： IAS Threat Lab

Bitdefender 和 IAS 着重指出了一些具有代表性的案例，包括：

· AquaTracker —— 下载量达 100 万次；

· ClickSave Downloader ——  下载量达 100 万次；

· Scan Hawk ——  下载量达 100 万次；

· Water Time Tracker ——  下载量达 100 万次；

· Be More ——  下载量达 100 万次；