Android 平台中一款可快速输入可爱表情符号的应用程序,被发现会发出不明购买请求,程式会在背景自动为用户订阅昂贵的收费服务,更会在背景不断点击广告。成功被保安公司拦截的交易金额折合达到 1.4 亿港元。
资讯安全公司 Upstream 表示,此键盘程式名为“ai.type”,由以色列一间软件开发公司 ai.type LTD 制作,在 Google Play 可免费下载,功能是输入表情符号,合计累积下载次数超过 4,000 万次。该公司表示有 13 个国家的 11 万部装置中招,并发出了超过 1,400 万次授权要求,全部都是订阅付费服务,成功拦截交易的金额达到折合 1.4 亿港元。整个过程皆在背景进行,由于 App 取得了 SMS 短讯的读取授权,因此能够在背后收到 SMS 验证码并进行验证。
▲ 受害者的 SMS 讯息截图,由于程式取得讯息读取权限,因此能成功进行验证。
Upstream 亦发现这个 App 会在背景不断读取广告,并点击该广告,从而赚取金钱。
ai.type 程式本身已在 7 月从 Google Play 下架,但仍在很多软件市场上提供,所以用户要特别注意。
- Sketchy Android keyboard app with 40M downloads makes money off unauthorized purchases
(本文由 Unwire HK 授权转载;首图来源:pixabay)
