恶意美颜相机 App，偷读简讯认证码让你赔大钱

Trend Micro 日前于官方资安部落格提到，他们发现伪装成美颜相机 App 的恶意程式，会透过滥用手机权限的方式，擅自操作手机帐单付费，并窃听传送到手机的简讯认证码，在使用者不知情的状态下完成付费设定，让使用者蒙受财务损失。

假 App 真窃资

Trend Micro 行动威胁反应团队（Mobile Threat Response Team）指出，2019 年初，Google 更新 Android App 的权限规则，限制 App 存取简讯与通话记录的权限，并加入必需跳出提示对话框与询问使用者是否授权 App 存取装置资讯的安全功能。

虽然种种防範手段可避免恶意程式散布，并阻止它们窃取个人资料，但根据 Trend Micro 对行动资安的趋势分析显示，数位犯罪者仍然会受到金钱利益的驱使，竭尽所能在日益绵密的防护网中寻找破口，以绕过各种防护措施，而最近研究团队则发现有种旧的攻击手法死灰复燃。

Trend Micro 研究团队在 Google Play 网路商店发现名为 Yellow Camera 的 App，行为与许多窃取讯息、暗藏广告软体等恶意程式类似，会在运作时于系统嵌入一个子程式（Routine），并从系统通知读取简讯验证码，然后启动 WAP 付费（Wireless Application Protocol Billing），窃取使用者的金钱。

WAP 付费能将使用者的消费合併至电信帐单或从预付点数抵扣，虽然省去注册或使用信用卡的麻烦，但也因较鬆散的安全防护措施，成为攻击者觊觎的目标。

▲ 有许多恶意程式暗藏在美颜相机 App 里。（Source：Trend Micro，下同）

▲ 有使用者反应安装 App 后，电信预付额度就异常扣款。

自动完成付费手续

当使用者安装含有这类恶意程式的 App 时，恶意程式会自动下载 JavaScript Payloads 自动化脚本，在背景开启 WAP 付费网页，接着便会自动点击索取类型分配码（Type Allocation Code，TAC）的按钮，并窃听透过简讯传送的认证码，在使用者没有查觉的情况下完成付费手续。

根据 App 下载的文件名称，似乎针对泰国、马来西亚等东南亚国家攻击，但同时也锁定中文使用者，因此也很可能将目标转移到其他有多数中文人口的国家。

虽然 Google 已在 Trend Micro 回报问题后，将类似 App 从 Google Play 下架，但苹果 App Store 还可以看到类似 App 的蹤影。

▲ 这类与 WAP 付费相关的恶意程式，大多透过 JavaScript Payloads 在背景自动完成付费设定与认证，以窃取使用者的钱财。

▲ 恶意程式会自动下载攻击使用的 JavaScript Payloads。

▲ 恶意程式透过窃听简讯通知的方式，窃取关键的认证码资料。

Trend Micro 也提供简单的防範方式，建议使用者安装任何 App 时，都需要仔细阅读 App 提出的权限需求，并辨识 App 是否提出不寻常的要求（如本例照相 App 为什么会需要读取手机简讯），如此一来便能过滤许多恶意程式。