惡意美顏相機App,偷讀簡訊認證碼讓你賠大錢
Trend Micro日前於官方資安部落格提到,他們發現了偽裝為美顏相機App的惡意程式,會透過濫用手機權限的方式,擅自進行手機帳單付費的操作,並竊聽傳送到手機的簡訊認證碼,在使用者不知情的狀態下完成付費設定,讓使用者因此蒙受財務損失。
假App真竊資
Trend Micro的行動威脅反應團隊(Mobile Threat Response Team)指出,在2019年初,Google更新了Android App的權限規則,限制了App存取簡訊與通話記錄的權限,並加入必需跳出提示對話框與詢問使用者是否授權App存取裝置中資訊的安全功能。
雖然種種防範手段可以避免惡意程式散佈,並阻止它們竊取個人資料,但根據Trend Micro對行動資安的趨勢分析顯示,數位犯罪者仍然會受到金錢利益的驅使,竭盡所能在日益綿密的防護網中尋找破口,以繞過各種防護措施,而最近研究團隊則發現有種舊的攻擊手法死灰復燃。
Trend Micro的研究團隊在Google Play網路商店發現名為Yellow Camera的App,它的行為與許多竊取訊息、暗藏廣告軟體等惡意程式類似,會在運作的過程中在系統嵌入1個子程式(Routine),並從系統通知中讀取簡訊驗證碼,然後啟動WAP付費(Wireless Application Protocol Billing),進而竊取使用者的金錢。
WAP付費能將使用者的消費合併至電信帳單或從預付點數抵扣,雖然省去了註冊或使用信用卡的麻煩,但也因為較鬆散的安全防護措施,而成為攻擊者覬覦的目標。
▲ 有許多惡意程式暗藏在美顏相機App之中。(圖片來源:Trend Micro,下同)
▲ 有使用者反應當他安裝App之後,電信預付額度就被異常扣款。
自動完成付費手續
當使用者安裝了含有這類惡意程式的App時,惡意程式會自動下載JavaScript Payloads自動化腳本,在背景開啟WAP付費網頁,接著便會自動點擊索取類型分配碼(Type Allocation Code,TAC)的按鈕,並竊聽透過簡訊傳送的認證碼,在使用者沒有查覺的情況下完成付費手續。
根據App下載的文件名稱,它似乎針對泰國、馬來西亞等東南亞國家進行攻擊,但同時也鎖定中文使用者,因此也很可能將目標轉移到其他具有多數中文人口的國家。
雖然Google已在Trend Micro回報問題後,將類似App從Google Play網路商店下架,但在Apple App Store網路商店還是可以看到類似App的蹤影。
▲ 這類與WAP付費相關的惡意程式,大多透過JavaScript Payloads在背景自動完成付費設定與認證,以竊取使用者的錢財。
▲ 惡意程式會自動下載進行攻擊所用的JavaScript Payloads。
▲ 惡意程式透過竊聽簡訊通知的方式,竊取關鍵的認證碼資料。
Trend Micro也提供了簡單的防範方式,建議使用者在安裝任何App的時候,都需要仔細閱讀App所提出的權限需求,並從中辨識App是否提出了不尋常的需求(比方本例中,照相App為什麼會需要讀取手機簡訊),如此一來便能過濾掉許多惡意程式。