替用戶訂閱付費服務的木馬程式

訂閱服務的木馬程式存在已有一段時間,令Android用戶的銀紙不翼需飛,以下例子是Kaspersky的專家在去年進行觀察的四款木馬程式,他們分別是Jocker、MobOk、Vesub和GriftHorse,看看他們如何運作。

短訊中的付費訂閱和確定碼

Jocker家族的木馬程式通常透過Google Play散播,網絡犯罪份子透過修改正當有用的應用程式,加入惡意編碼然後使用不同名字上載到官方平台,他們可以是發送短訊的應用程式、觀察血壓、或掃瞄文件等等,Google Play方面持續嘗試找出這些應用程式,但新的上載比移除速度更快。

在正常情況下要訂閱服務,牛戶需要到內容供應者的網站,點擊或選擇訂閱按鍵,為了應付自動訂閱的情況,服務供應商會透過短訊發送登記碼,以確定用戶的訂閱意願,但Jocker惡意程式則能繞過這種保護方式。當被感染的應用程式進入裝置,很多情況都會要求用戶存取短訊訊息,下一步就是木馬程式在隱形視窗打開訂閱網頁,模擬點選訂閱按鍵,從短訊中盜取確定碼,然後偷偷進行訂閱。

如果掩飾的應用程式本身不需存取短訊(例如文件掃瞄應用程式),木馬程式便會要求存取通知,這讓它同樣能盜取確定碼,但這次是從接收訊息的通知中盜取。

木馬程式如何繞過CAPTCHA

MobOk家族的木馬程式則比較複雜,他們不但從短訊或通知中盜取確定碼,更能繞過另一種防止自動訂閱的防護CAPTCHA這個關卡,為達到目的,木馬程式會把圖片傳送到特別服務的網站,提供專門辨認CAPTCHA的服務。

在其他方面它運作和Jocker家族相似,某時候MobOk會透過Triada木馬程式散播,最常見是部份智能電話型號預載的應用程式、非官方Whatsapp修改APKPure非官方應用程式商店,有時候在Google Play上也能找到被MobOk感染的應用程式。

非官方資源的訂閱木馬程式

Vesub家族惡意程也是透過可疑的來源來散播掩飾的應用程式,他們通常都是被官方平台禁止,例如偽裝成下載YouTube內容或串流服務Tubemate或Vidmate的應用程式,又或者是非官方的Android版《GTA 5》,此外他們也偽裝成受歡迎、昂貴應用程式的免費版,例如《Minecraft》。

Vesub與MobOk和Jocker的不同之處,在於被前者感染的應用程式通常對用戶都沒有用處,在安裝之後立即進行訂閱不必要的服務,並且隱藏有關視窗,只在表面顯示應用程式讀取中的視窗,只有少部份情況被感染的應用程式是有用的。

透過電話號碼登入

GriftHorse.ae木馬程式和其他木馬程式相比顯得比較平庸,在第一次執行時,會要求用戶輸入他們的電話號碼,看起來像用作登入,但是當用戶輸入和按登入鍵後訂閱便會立即開始,費用會記在受害者的流動帳號之上。這惡意程式通常偽裝成復原已刪除檔案、修改相片或影片、來電時閃燈、導航、文件掃瞄、翻譯等應用程式,事實上受感染的應用程式並不會提供任何有用的功能。

自動付款訂閱

名字相當相似的GriftHorse.l使用不同的策略,他們使用定期付款的訂閱方式,正常情況下這需要用戶直接同意才能發生,但受害者可能沒意識到他們正在登記自動付款,而第二種技巧是第一次付款的金額極小,之後的費用才「可觀」。

Kaspersky的專家曾經試檢查偽裝成培訓課程的假網站,其背後的機制基本上同,只是在應用程式上實行。木馬程式主要在Google Play上散播,而付用會直接從銀行卡上記帳,如果想存取某些內容,便需要提供付費的資料。

避免成為騙局的受害者

要取消不想要的付費訂閱通常都很困難,所有「預防勝於治療」,我們有以下的建議:

  • 不要從非官方渠道安裝應用程式
  • 官方渠道也並非100%安全,所以在下載前先查看其他用戶的評語。
  • 查看應用程式上架日期,由於平台持續移除危險的假應用程式,所以騙徒經常上載新版本惡意應用程式。
  • 給應用程式最少的權限,在給予權限查看短訊或通知前,先辨別是否真的有需要。
  • 安裝可靠的流動防毒軟件,為裝置提供保護。

資料來源:Kaspersky Blog