Trend Micro 日前于官方资安部落格提到,他们发现伪装成美颜相机 App 的恶意程式,会透过滥用手机权限的方式,擅自操作手机账单付费,并窃听传送到手机的简讯认证码,在使用者不知情的状态下完成付费设定,让使用者蒙受财务损失。
假 App 真窃资
Trend Micro 行动威胁反应团队(Mobile Threat Response Team)指出,2019 年初,Google 更新 Android App 的权限规则,限制 App 存取简讯与通话记录的权限,并加入必需跳出提示对话框与询问使用者是否授权 App 存取装置资讯的安全功能。
虽然种种防范手段可避免恶意程式散布,并阻止它们窃取个人资料,但根据 Trend Micro 对行动资安的趋势分析显示,数位犯罪者仍然会受到金钱利益的驱使,竭尽所能在日益绵密的防护网中寻找破口,以绕过各种防护措施,而最近研究团队则发现有种旧的攻击手法死灰复燃。
Trend Micro 研究团队在 Google Play 网络商店发现名为 Yellow Camera 的 App,行为与许多窃取讯息、暗藏广告软件等恶意程式类似,会在运作时于系统嵌入一个子程式(Routine),并从系统通知读取简讯验证码,然后启动 WAP 付费(Wireless Application Protocol Billing),窃取使用者的金钱。
WAP 付费能将使用者的消费合并至电信账单或从预付点数抵扣,虽然省去注册或使用信用卡的麻烦,但也因较松散的安全防护措施,成为攻击者觊觎的目标。
自动完成付费手续
当使用者安装含有这类恶意程式的 App 时,恶意程式会自动下载 JavaScript Payloads 自动化脚本,在背景开启 WAP 付费网页,接着便会自动点击索取类型分配码(Type Allocation Code,TAC)的按钮,并窃听透过简讯传送的认证码,在使用者没有查觉的情况下完成付费手续。
根据 App 下载的文件名称,似乎针对泰国、马来西亚等东南亚国家攻击,但同时也锁定中文使用者,因此也很可能将目标转移到其他有多数中文人口的国家。
虽然 Google 已在 Trend Micro 回报问题后,将类似 App 从 Google Play 下架,但苹果 App Store 还可以看到类似 App 的踪影。
Trend Micro 也提供简单的防范方式,建议使用者安装任何 App 时,都需要仔细阅读 App 提出的权限需求,并辨识 App 是否提出不寻常的要求(如本例照相 App 为什么会需要读取手机简讯),如此一来便能过滤许多恶意程式。
(本文由 T客邦 授权转载;首图来源:shutterstock)
