微軟Microsoft 365 Defender研究團隊在本周發表了有關Android收費詐騙程式(Toll Fraud)的研究報告,指出它雖然是Google Play上市占率第二高的惡意程式,卻顯少有業者分享相關資訊,使得該團隊決定揭露收費詐騙程式的手法,以及如何辨識及預防。

Google在2017年至2019年間,總計自Google Play上移除了1,700款含有Joker惡意程式的Android程式,Joker即為收費詐騙的惡意程式家族,根據Google今年第一季的統計,在Google Play上出現的惡意程式中,最多的是占了47.3%的間諜程式,其次即是收費詐騙程式,占了34.8%。

收費詐騙的手法一般是鎖定特定的電信網路,將使用者導向一個訂閱網站,並按下訂閱,之後按月由使用者的電信帳單付款,這中間使用者幾乎都是毫無察覺的,一直到發現帳單上的異樣。

Microsoft 365 Defender團隊說明,駭客通常是利用無線應用通訊協定(Wireless Application Protocol,WAP)來展開收費詐騙,WAP是個付款機制,讓消費者可訂閱網站服務並透過電信帳單付款,詐騙手法始於必須讓使用者透過電信網路連至提供付費服務的網站,之後使用者還必須點擊訂閱按鍵,有時會收到必須回傳給電信業者的一次性密碼以確認訂閱,但有些電信營運商則不要求使用者回傳一次性密碼。

因此,駭客會想辦法關閉手機的Wi-Fi連線或等待使用者切換至行動網路,再偷偷地連至訂閱頁面,藉由程式自動點擊訂閱按鍵,攔截系統傳送的一次性密碼,再將密碼回傳給電信營運商,並取消訂閱的簡訊通知。這一連串的手法有些複雜,但並非無法辦到。

而為了進駐Google Play,駭客經常使用熱門類別且方便植入木馬的開源程式,例如桌布程式、通訊程式或編輯程式等,而且一開始上傳至Google Play上的版本是乾淨的,直到下載量達到一定的數目,之後便藉由更新機制動態地載入惡意程式碼,同時還會刻意區隔原本程式與惡意流量,以避免被偵測。

不管是哪一種熱門程式,只要被駭客用來進行收費詐騙的程式都有些共同特性,例如所要求的權限超出程式功能,包括要求可監控系統通知欄位的Notification Listener Service權限,或是要求寄送簡訊的權限等,此外,它們多半有一致的使用者介面、圖示或按鍵,擁有類似的封包名稱,採用可疑的開發者檔案(假的開發者名稱與電子郵件位址),以及收到許多使用者抱怨的評論。

微軟建議,要閃躲收費詐騙的首要之務就是避免自不可靠的來源安裝程式,在不理解程式為何需要的狀態下不要提供簡訊、存取系統通知欄位,或是存取無障礙服務的授權,下載之前最好先瀏覽程式的評論,安裝可偵測惡意程式的解決方案,且在裝置失去安全更新時考慮換一支手機。

雖然Google持續強化Android平臺的安全與隱私,但收費詐騙程式依然能夠辨識特定的行動網路,也能在使用者不知情的狀況透過行動網路傳送流量,還能請求使用者賦予讀取及關閉簡訊的權限,意謂著Google尚有可改善之處。

熱門新聞

Advertisement