去年10月,安全厂商Zimperium的zLabs研究团队曾披露付费诈骗移动App,名为GriftHorse,当时全球约有1千万支手机,因下载安装该软件而受害。到了今年1月底,他们发现另一起同样以骗取金钱为目标的付费诈骗行动,命名为Dark Herring,其受害规模更上一层楼,因为全球有多达1.05亿支设备安装、使用该程序。
Dark Herring其实是一群恶意诈骗App的总称。和多数恶意程序不同,这群App提供有用的功能,以便吸引手机及平板用户长期安装使用。安装App一段期间之后,若用户希望升级使用高端的尊享服务时,对方会开始经由电信商直接结算(Direct Carrier Billing,DCB)方式,向用户收取平均每月15美元服务费用,但实际上,用户并无法得到服务,而形成订阅服务诈骗。
Dark Herring最初是通过短信传播,引导用户连向Google Play Store及第三方App市场下载。在Google Play Store上,目前此类恶意App有470个,其中以娱乐(38.9%)类占最大宗,工具、照片及赛车、生产力程序次之,估计比例在7.0%到8.3%之间。最早上传日期可追溯到2020年3月,直到去年11月。
事实上,根据Zimperium zLabs团队的发现,这样的威胁也是他们见过活动期间最长的短信诈骗。而从已下载App的下载总量来看,他们估计有70国1.05亿用户受害,涵盖中东国家、印度、北欧三国、埃及等。
更令人担忧的是,研究人员还发现这批App出现与C&C连接的活动,显示攻击者已发展出基础架构,而能以不重复的识别码来控制多个应用程序传入的通信,以及逐一进行回应。
在接获通报后,Google及部分网页主机经过验证后,已经将这些App下架,然而,这些App仍然留在第三方线上市场,可能经由侧载(sideloading)而触及用户终端。研究人员表示,这样的安全威胁,也突显侧载风险及设备端安全软件的重要性。