文章总结： 近期出现针对安卓用户的钓鱼攻击，攻击者利用谷歌Firebase服务分发伪装成ChatGPT或Meta工具的恶意应用。通过官方邮件诱导用户安装APK，窃取Facebook凭证实现账号接管。研究披露了恶意包名与域名，建议用户警惕非官方应用，企业应封禁恶意域名并加强安全培训。 综合评分： 84 文章分类： 移动安全,社会工程学,威胁情报,漏洞预警

伪装成 ChatGPT 测试邀请！安卓用户遭遇账号接管攻击

看雪学苑 看雪学苑

看雪学苑

2026年3月24日 17:59 上海

近期，网络犯罪分子针对安卓用户发起了一场精心策划的钓鱼攻击——他们将恶意应用伪装成ChatGPT与Meta广告工具的测试版邀请，利用谷歌官方服务渠道降低用户警惕，最终窃取Facebook账号凭证，实现账号完全接管。

这一攻击手段精准利用了大众对知名AI品牌的信任，将恶意软件直接植入用户移动设备，是此前针对iOS用户钓鱼行动的延续，现已扩展至安卓平台，形成跨平台攻击态势。

攻击全流程：从“官方邀请”到账号沦陷

攻击始于一封看似常规的测试邀请邮件，发件人是谷歌Firebase App Distribution的官方地址[email protected]——这是开发者常用的预发布应用分发渠道，因此多数用户不会对邮件来源产生怀疑。

邮件以“ChatGPT安卓版早期测试”“Meta广告工具Beta版招募”为诱饵，引导用户点击下载恶意APK文件（需绕过谷歌Play Store官方渠道安装）。一旦用户完成安装，恶意应用会弹出高度仿真的Facebook登录界面，诱导输入手机号、邮箱与密码，最终将凭证发送给攻击者，实现账号接管，进而操控Facebook商业及广告账户，发起未授权广告投放或窃取更多数据。

技术迷惑点：Firebase沦为恶意分发跳板

本次攻击最具迷惑性的部分，是黑客将谷歌Firebase App Distribution改造为恶意软件分发通道。该服务本是开发者向测试用户推送预版本的正规工具，用户长期形成的“官方渠道可信”认知，被攻击者完美利用：

• 邮件来自谷歌官方域名，绕过邮箱 spam 过滤；

• 下载链接依托谷歌分发基础设施，消除用户对“非官方链接”的警惕；

• 恶意应用直接绕过Play Store审核，恶意行为无法被谷歌安全机制拦截。

LevelBlue旗下SpiderLabs分析师指出，此次安卓攻击是此前iOS钓鱼行动的延续——此前攻击者曾伪装成ChatGPT与Google Gemini，通过App Store向苹果设备推送假应用。如今攻击覆盖双平台，意图扩大全球移动端攻击范围。

威胁预警与防护建议

研究人员已识别出本次攻击关联的恶意应用包名：com.OpenAIGPTAds、com.opengpt.ads、com.meta.adsmanager，这些名称刻意模仿AI广告工具，极具迷惑性。同时，支撑攻击的恶意域名也已曝光，包括thcsmyxa-nd.com、moitasec.com等，安全团队与个人用户需立即在网络层面封禁这些域名。

针对安卓用户的防护建议：

1. 警惕主动发送的应用测试邀请，即便邮件来自谷歌官方地址，也优先通过谷歌Play Store下载应用；

2. 拒绝安装来源不明的APK文件，不向非官方应用输入Facebook等社交平台账号凭证；

3. 为重要账号启用两步验证，降低凭证泄露后的账号接管风险。

针对企业与安全团队的建议：

1. 立即封禁上述恶意域名，监控网络流量中对这些域名的访问请求；

2. 开展员工安全培训，重点科普“利用官方服务分发恶意软件”的新型钓鱼手段，提升识别能力。

资讯来源：LevelBlue SpiderLabs 2026年3月安全报告

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《伪装成 ChatGPT 测试邀请！安卓用户遭遇账号接管攻击》