谷歌删除 224 款涉及 SlopAds 欺诈计划的 Android 应用

安全专家最近揭露了一个名为“SlopAds”的重大广告欺诈计划，促使谷歌从其 Play 商店下架了 224 款与该非法活动相关的应用。这些应用的下载量总计约 3800 万次，产生了数十亿次欺诈性广告请求，可能使无数用户面临风险。如果您怀疑自己可能下载了其中一款恶意应用，本指南将详细介绍您可以立即采取的措施来保护您的设备。

了解 SlopAds 广告欺诈计划

HUMAN 的 Satori 威胁情报与研究团队发现了这一影响广泛的广告欺诈活动，影响了全球用户。迄今为止，已有 224 款应用被识别并移除，主要涉及实用应用程序、AI 工具和某些游戏应用程序。这些应用程序每天总计产生超过 23 亿次广告竞价请求。

但是，如此大规模的广告欺诈行为是如何在 Google Play 商店中未被发现的呢？以下章节概述了犯罪者为绕过审查并有效投放广告而采用的复杂方法。

这些应用可能看似运行正常，但它们会验证用户是直接从 Play 商店下载应用，还是通过广告访问。这种策略有助于规避通常由 Google 员工或直接下载应用的独立安全审查人员执行的例行安全检查。
如果某个应用检测到自己是通过某个推广活动安装的，它就会连接到命令与控制 (C2) 服务器，下载看似无害的图像，其中包含隐藏的有效载荷。这种伎俩有效地绕过了 Google Play 商店和设备安全协议实施的大多数安全检查。
这些图像中嵌入的原始payload被解密并重建为恶意模块，报告中将其称为FatModule。该模块会收集设备和浏览器信息，同时创建隐形的WebView，在用户不知情的情况下生成广告。此外，它还会执行自动化脚本，以预定的时间间隔模拟广告点击。

这一精心设计的计划使得 SlopAds 每天能够产生数十亿次欺诈性广告展示，但至今仍未被发现。

识别设备上的潜在感染

虽然广告本身可能被隐藏，但有几个迹象表明您的设备可能已被入侵。以下是验证潜在 SlopAds 感染的有效方法：

查阅官方已移除应用列表： HUMAN 发布了Google 已识别并移除的应用列表。虽然此列表可能无法涵盖所有恶意应用，但它仍然是检查设备的重要资源。
电池耗电加剧：电池续航时间突然下降通常是隐藏活动的信号。前往“设置” → “电池”，查看哪些应用导致电池过度消耗。未在前台运行却消耗电池电量的应用可能正在投放广告。

设备异常行为：即使广告以隐蔽方式运行，它们也可能触发您手机上的意外操作，例如未经请求提示下载未知应用，或未经您同意打开随机网页。这些异常可能表明存在 SlopAds 威胁。

删除恶意应用程序的步骤

如果您发现感染迹象，请执行以下步骤以帮助清除设备中的有害应用程序：

运行 Google Play Protect 扫描： Google 致力于清除这些恶意应用程序，同时改进了 Play Protect 识别并通知用户潜在威胁的功能。要启动扫描，请访问 Google Play 商店，点击您的个人资料，选择Play Protect，然后点击“扫描”。此过程会自动检测并删除所有有害应用程序。

撤销敏感权限：恶意应用经常利用敏感权限来保持控制，这可能会阻碍卸载或允许危险操作。请前往“设置” → “隐私保护” → “特殊权限”，撤销您不信任的任何应用权限。此外，请不要忘记检查“辅助功能” → “已安装的应用”，以确保不受信任的应用无法访问辅助功能服务。

重置您的广告 ID：与随机广告互动可能会对您的广告 ID 产生负面影响，导致您收到不相关且可能具有冒犯性的广告。要重置您的广告 ID，请前往“设置”中的“Google →广告”，然后点击“重置广告 ID”。

预防未来感染的防御措施

报告显示，SlopAds 攻击活动尚未完全根除；许多与此次攻击相关的活跃域名仍然存在。为了将来保护您的设备，请考虑以下预防措施：

查看应用评分和评论：用户经常会因为有害行为而卸载应用时留下反馈。请务必过滤评论，尤其是负面评论。如果您发现大量关于广告活动增加或其他恶意行为的警告，建议您避免使用这些应用。
仔细检查请求的权限：将应用请求的权限与其预期功能进行比较。例如，一个基本的计算器应用为什么需要麦克风访问权限？如果权限看起来过多或不相关，最好避开该应用。
监控流量使用情况：由于广告投放应用会消耗大量网络资源，因此定期检查流量使用情况有助于发现任何过度流量使用情况。您可以在“设置” → “连接和共享”（或“连接”）→ “流量使用情况”中执行此操作。