出处：freebuf公众号

最近，一种新的活动跟踪应用程序在 Android 的官方应用程序商店 Google Play 上取得了巨大收获，其下载量已经超过2000万次。

这些应用程序将自己包装为健康、计步器和养成良好习惯的应用程序，承诺为用户在日常生活中保持活跃、达到距离目标等提供随机奖励。

不过，根据 Dr.Web 杀毒软件的一份报告，奖励可能无法兑现，或者在强迫用户观看大量广告后只能部分兑现。

Dr. Web 报告中列出的三个值得注意的例子是：

• Lucky Step – Walking Tracker– 1000 万次下载

• WalkingJoy——500万次下载

• 幸运习惯：健康追踪器——500万次下载

Dr. Web 表示，这三个应用程序都与同一个远程服务器地址通信，表明是一个共同的操作员/开发人员。在撰写本文时，这三款产品均在 Google Play 上可用。

这家防病毒公司表示，在用户积累大量奖励之前，这些应用程序不允许提款。而且，他们要求用户观看十几个广告视频后才能解锁“收入”。

即使在观看了一轮广告后，这些应用程序仍会推送更多广告，理由是为了加快提现过程。

除了这些标志外，Dr. Web 还报告说，早期版本的“Lucky Step – Walking Tracker”提供了将应用内奖励转换为礼品卡的选项，用户可以使用礼品卡在在线商店购买商品。

然而，在最新版本的应用程序中，此功能已从选项中删除，因此不清楚奖励可以转换成什么。

Google Play 上的一些用户留下评论称“Lucky Step - Waling Tracker”充当广告软件，在屏幕解锁时加载全屏广告，甚至覆盖活动窗口。

另一个在 Google Play 上仍然可用的类似的应用程序是“Wonder Time”，这是一款奖励应用程序，已积累了 500,000 次下载。

该应用程序承诺为完成各种任务（如安装其他应用程序和游戏）奖励真钱。

然而，与开发者设定的最低收入提款门槛相比，用户每次操作获得的代币微不足道。

在同一份报告中，Web 博士警告说，在 Google Play 上发现了伪装成投资应用程序和游戏的网络钓鱼应用程序，下载量超过 450,000 次。

这些应用程序在启动时连接到远程服务器，并接收一个配置来指导它们做什么。通常，这些网络钓鱼页面涉及要求用户输入敏感详细信息。

Dr.Web 观察到的恶意游戏应用如下：

• Golden Hunt– 100,000 次下载

• Reflector– 100,000 次下载

• 七金狼二十一点– 100,000 次下载（仍在 Google Play 上）

• 无限得分– 50,000 次下载

• 重大决策——50,000 次下载

• 宝石海– 10,000 次下载

• Lux Fruits Game– 10,000 次下载

• 幸运四叶草– 10,000 次下载

• King Blitz– 5,000 次下载

• 幸运锤– 1,000 次下载

如果您的 Android 设备上安装了上述任何网络钓鱼应用程序，您应该立即卸载它们，然后运行杀毒扫描以找到并删除残留物。

参考来源： 

https://www.bleepingcomputer.com/news/security/shady-reward-apps-on-google-play-amass-20-million-downloads/