恶意美颜相机App,偷读短信认证码让你赔大钱

Trend Micro日前于官方安全博客提到,他们发现了伪装为美颜相机App的恶意程序,会通过滥用手机权限的方式,擅自进行手机帐单付费的操作,并窃听发送到手机的短信认证码,在用户不知情的状态下完成付费设置,让用户因此蒙受财务损失。

Trend Micro的行动威胁反应团队(Mobile Threat Response Team)指出,在2019年初,Google更新了Android App的权限规则,限制了App访问短信与联系历史的权限,并加入必需跳出提示对话框与询问用户是否授权App访问设备中信息的安全功能。

虽然种种防范手段可以避免恶意程序传播,并阻止它们窃取个人数据,但根据Trend Micro对行动安全的趋势分析显示,数字犯罪者仍然会受到金钱利益的驱使,竭尽所能在日益绵密的防护网中寻找破口,以绕过各种防护措施,而最近研究团队则发现有种旧的攻击手法死灰复燃。

Trend Micro的研究团队在Google Play网络商店发现名为Yellow Camera的App,它的行为与许多窃取消息、暗藏广告软件等恶意程序类似,会在运行的过程中在系统嵌入1个子程序(Routine),并从系统通知中读取短信验证码,然后启动WAP付费(Wireless Application Protocol Billing),进而窃取用户的金钱。

WAP付费能将用户的消费整合至电信帐单或从预付点数抵扣,虽然省去了注册或使用信用卡的麻烦,但也因为较松散的安全防护措施,而成为攻击者觊觎的目标。

当用户安装了含有这类恶意程序的App时,恶意程序会自动下载JavaScript Payloads自动化脚本,在背景打开WAP付费网页,接着便会自动点击获取类型分配码(Type Allocation Code,TAC)的按钮,并窃听通过短信发送的认证码,在用户没有发现的情况下完成付费手续。

根据App下载的文件名称,它似乎针对泰国、马来西亚等东南亚国家进行攻击,但同时也锁定中文用户,因此也很可能将目标转移到其他具有多数中文人口的国家。

虽然Google已在Trend Micro回应问题后,将类似App从Google Play网络商店下架,但在Apple App Store网络商店还是可以看到类似App的踪影。

Trend Micro也提供了简单的防范方式,建议用户在安装任何App的时候,都需要仔细阅读App所提出的权限需求,并从中识别App是否提出了不寻常的需求(比方本例中,照相App为什么会需要读取手机短信),如此一来便能过滤掉许多恶意程序。