近期，网络犯罪分子针对安卓用户发起了一场精心策划的钓鱼攻击——他们将恶意应用伪装成ChatGPT与Meta广告工具的测试版邀请，利用谷歌官方服务渠道降低用户警惕，最终窃取Facebook账号凭证，实现账号完全接管。

这一攻击手段精准利用了大众对知名AI品牌的信任，将恶意软件直接植入用户移动设备，是此前针对iOS用户钓鱼行动的延续，现已扩展至安卓平台，形成跨平台攻击态势。

攻击全流程：从“官方邀请”到账号沦陷

攻击始于一封看似常规的测试邀请邮件，发件人是谷歌Firebase App Distribution的官方地址`firebase-noreply@google.com`——这是开发者常用的预发布应用分发渠道，因此多数用户不会对邮件来源产生怀疑。

邮件以“ChatGPT安卓版早期测试”“Meta广告工具Beta版招募”为诱饵，引导用户点击下载恶意APK文件（需绕过谷歌Play Store官方渠道安装）。一旦用户完成安装，恶意应用会弹出高度仿真的Facebook登录界面，诱导输入手机号、邮箱与密码，最终将凭证发送给攻击者，实现账号接管，进而操控Facebook商业及广告账户，发起未授权广告投放或窃取更多数据。

技术迷惑点：Firebase沦为恶意分发跳板

本次攻击最具迷惑性的部分，是黑客将谷歌Firebase App Distribution改造为恶意软件分发通道。该服务本是开发者向测试用户推送预版本的正规工具，用户长期形成的“官方渠道可信”认知，被攻击者完美利用：

- 邮件来自谷歌官方域名，绕过邮箱 spam 过滤；

- 下载链接依托谷歌分发基础设施，消除用户对“非官方链接”的警惕；

- 恶意应用直接绕过Play Store审核，恶意行为无法被谷歌安全机制拦截。

LevelBlue旗下SpiderLabs分析师指出，此次安卓攻击是此前iOS钓鱼行动的延续——此前攻击者曾伪装成ChatGPT与Google Gemini，通过App Store向苹果设备推送假应用。如今攻击覆盖双平台，意图扩大全球移动端攻击范围。

威胁预警与防护建议

研究人员已识别出本次攻击关联的恶意应用包名：`com.OpenAIGPTAds`、`com.opengpt.ads`、`com.meta.adsmanager`，这些名称刻意模仿AI广告工具，极具迷惑性。同时，支撑攻击的恶意域名也已曝光，包括`thcsmyxa-nd.com`、`moitasec.com`等，安全团队与个人用户需立即在网络层面封禁这些域名。

针对安卓用户的防护建议：

1. 警惕主动发送的应用测试邀请，即便邮件来自谷歌官方地址，也优先通过谷歌Play Store下载应用；

2. 拒绝安装来源不明的APK文件，不向非官方应用输入Facebook等社交平台账号凭证；

3. 为重要账号启用两步验证，降低凭证泄露后的账号接管风险。

针对企业与安全团队的建议：

1. 立即封禁上述恶意域名，监控网络流量中对这些域名的访问请求；

2. 开展员工安全培训，重点科普“利用官方服务分发恶意软件”的新型钓鱼手段，提升识别能力。

资讯来源：LevelBlue SpiderLabs 2026年3月安全报告

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！