微軟揭開Android收費詐騙程式的面紗

微軟Microsoft 365 Defender研究團隊在本周發表了有關Android收費詐騙程式（Toll Fraud）的研究報告，指出它雖然是Google Play上市占率第二高的惡意程式，卻顯少有業者分享相關資訊，使得該團隊決定揭露收費詐騙程式的手法，以及如何辨識及預防。

Google在2017年至2019年間，總計自Google Play上移除了1,700款含有Joker惡意程式的Android程式，Joker即為收費詐騙的惡意程式家族，根據Google今年第一季的統計，在Google Play上出現的惡意程式中，最多的是占了47.3%的間諜程式，其次即是收費詐騙程式，占了34.8%。

收費詐騙的手法一般是鎖定特定的電信網路，將使用者導向一個訂閱網站，並按下訂閱，之後按月由使用者的電信帳單付款，這中間使用者幾乎都是毫無察覺的，一直到發現帳單上的異樣。

Microsoft 365 Defender團隊說明，駭客通常是利用無線應用通訊協定（Wireless Application Protocol，WAP）來展開收費詐騙，WAP是個付款機制，讓消費者可訂閱網站服務並透過電信帳單付款，詐騙手法始於必須讓使用者透過電信網路連至提供付費服務的網站，之後使用者還必須點擊訂閱按鍵，有時會收到必須回傳給電信業者的一次性密碼以確認訂閱，但有些電信營運商則不要求使用者回傳一次性密碼。

因此，駭客會想辦法關閉手機的Wi-Fi連線或等待使用者切換至行動網路，再偷偷地連至訂閱頁面，藉由程式自動點擊訂閱按鍵，攔截系統傳送的一次性密碼，再將密碼回傳給電信營運商，並取消訂閱的簡訊通知。這一連串的手法有些複雜，但並非無法辦到。

而為了進駐Google Play，駭客經常使用熱門類別且方便植入木馬的開源程式，例如桌布程式、通訊程式或編輯程式等，而且一開始上傳至Google Play上的版本是乾淨的，直到下載量達到一定的數目，之後便藉由更新機制動態地載入惡意程式碼，同時還會刻意區隔原本程式與惡意流量，以避免被偵測。

不管是哪一種熱門程式，只要被駭客用來進行收費詐騙的程式都有些共同特性，例如所要求的權限超出程式功能，包括要求可監控系統通知欄位的Notification Listener Service權限，或是要求寄送簡訊的權限等，此外，它們多半有一致的使用者介面、圖示或按鍵，擁有類似的封包名稱，採用可疑的開發者檔案（假的開發者名稱與電子郵件位址），以及收到許多使用者抱怨的評論。

微軟建議，要閃躲收費詐騙的首要之務就是避免自不可靠的來源安裝程式，在不理解程式為何需要的狀態下不要提供簡訊、存取系統通知欄位，或是存取無障礙服務的授權，下載之前最好先瀏覽程式的評論，安裝可偵測惡意程式的解決方案，且在裝置失去安全更新時考慮換一支手機。

雖然Google持續強化Android平臺的安全與隱私，但收費詐騙程式依然能夠辨識特定的行動網路，也能在使用者不知情的狀況透過行動網路傳送流量，還能請求使用者賦予讀取及關閉簡訊的權限，意謂著Google尚有可改善之處。