不怀好意的人会趁每一股热潮想办法骗人,挑选利用台湾在疯 Pokémon Go 时下手也就不令人意外。Android Play 商店出现山寨版 Pokémon Go,引诱下载者下载无作用的 App 引狼入室,造成使用者手机的资安问题,不可不慎。
资安厂商趋势科技在 Google Play 商店上观察有恶意之徒鱼目混珠,出现用 Pokémon Go 的教学 App,宣称可协助玩家轻松赚取 Pokécoin 游戏币。这个冒牌应用程序在安装并启动之后,会要求使用者输入以下讯息:
- 《Pokémon Go》使用者名称、装置类型、所在的地理区域等资讯。
- 点选“Connect”(连线) 按钮,使用者将看到另一个视窗,让使用者选择一些游戏功能,如想要的 Pokécoin 游戏币及 Pokéball 神奇宝贝球数量。
- 启用 AES-256 加密。
- 指定代理服务器 (Proxy Server) 以绕过 App 区域限制。
- 接着,应用程序会要求使用者完成认证来确认自己是人而非计算机程序,才能将《Pokémon Go》游戏虚宝带入使用者账号内。
但事实上,最后一步是为了将使用者导向另一个网站,并要求使用者再下载另一个 App(如下图所示)。
▲ 骗取账户认证的画面,以及导引到下载广告 App。
趋势科技研究团队进一步针对 7 月 8 日至 7 月 24 日这段期间在 Google Play 上 149 个《Pokémon Go》相关的 App,可归纳为下列几类:
- 指南、过关步骤、教学
- 假的 GPS 位置 / 地点 (游戏用)
- 社群网络相关 (给玩家彼此交换心得的平台)
- 其他,如:桌布 App 和下载工具
▲ 趋势科技团队针对《Pokémon Go》相关相关应用程序分析当果,最多的种类为教学类,其次是假造 GPS 位置。
这些 App 目前已累积超过 390 万次下载,但根据进一步分析显示,其中有高达 87% 是广告程式,这些冒牌的 App 通常不具备任何功能,只不过是利用《Pokémon Go》为诱饵,好让使用者下载它们,然后再推销其他应用程序。Google Play 已经在 7 月 21 日下架了 57 个这类应用程序,而趋势科技也将研究结果通报给 Google。
▲ 以 Pokémon Go 为名,但根据趋势科技研究分析,这些应用程序有高达 87% 为广告程式。
趋势科技资深技术顾问简胜财建议,除了随时保持操作系统更新之外,当使用者在安装不明开发人员或非官方商店提供的 App 时,应该格外小心。同时,还要小心那些不太可能的好康和游戏虚宝 (例如随意指定游戏币数量),此外,查看使用者的评论,也有助于分辨诈骗和正常应用程序,例如要小心一面倒的好评。
最近,一定有不少人想要跟上这波风潮,或是重温多年前玩还是看 Pokémon 动画的回忆,纷纷找攻略或是密技。凡是有要求使用者交出账号、密码,或是要认证才能进行下一步的手机 App,都得小心。要想办法克制自己心中的好奇心,好好想想这些 App 要求的权限合不合理,才能好好保护自己。
相关连结
- 抓宝可梦竟有假 GPS 定位?! 山寨《Pokémon Go》假应用程序,广告程式充斥
