Google Play上的假美肌應用程式「Yellow Camera」,會攔截簡訊驗證碼,觸發 WAP 代扣繳費功能

越來多利用修圖或美肌應用程式被作為誘餌,誘使不知情的使用者下載欺詐性內容或惡意應用程式。一款名為「Yellow Camera」的應用程式,偽裝成照相及美肌或修圖應用程式,雖然它有提供宣稱的功能,但同時也會讀取簡訊驗證碼,接著啟用 WAP( Wireless Application Protocol )計費功能。趨勢科技也發現該應用程式的中文版本,雖然 Google已經從 Play商店移除了該應用程式,但仍發現詐騙分子將類似的應用程式上傳到 iOS App Store 。

趨勢科技行動安全防護能夠封鎖惡意應用程式 ,按這裡免費下載試用

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/10/fake-camera-app-wap-billing-5.png愈來愈多類似Yellow Camera惡意行為的應用程式偽裝成濾鏡或美肌應用程式,誘騙使用者訂閱WAP服務。

Google在今年初更新了Android應用程式的權限要求規定,特別是在存取簡訊和通話紀錄的限制上。Google還將非預設(或非提供重要核心功能)的應用程式加入此要求,讓它們可以提示並要求使用者提供權限來存取裝置資料。

此限制是為了防止山寨版或惡意應用程式利用這些功能來散播惡意軟體,竊取可識別個人身份的資訊或是進行詐騙。但正如去年的行動威脅環境所顯示,詐騙份子和網路犯罪份子一直努力地在想各種方法賺錢,無論是調整策略、尋找方法繞過限制或是跟最近我們所看到的案例一樣 – 使用老舊但仍然有效的技術。

* [* 延伸閱讀: ]

想要拍出好氣色,當心29款美肌相機應用程式會發送色情內容,還會偷個資盜用照片 **

每五分鐘跳出全螢幕廣告! 182個免費遊戲和相機應用程式夾帶廣告軟體,已被下載逾九百萬次

趨勢科技最近在 Google Play上看到一款名為「Yellow Camera」的應用程式(趨勢科技偵測為AndroidOS_SMSNotfy),它會偽裝成照相及美肌或修圖應用程式(這類伎倆越來越常見,我們在今年發現許多類似的應用程式,它們還會竊取資料或帶有惡意軟體或廣告軟體)。雖然它有提供宣稱的功能,但同時也會從系統通知讀取簡訊驗證碼,接著啟用WAP( Wireless Application Protocol )計費功能。

根據該應用程式下載的檔案名稱,它似乎主要針對東南亞國家(如泰國、馬來西亞)的使用者。但我們也看到該應用程式針對中文使用者,因此它如果轉移或擴展目標也並不奇怪了。雖然 Google已經從Play商店移除了該應用程式,但仍發現詐騙分子將類似的應用程式上傳到iOS App Store。

WAP計費服務被廣泛用於讓使用者從啟用WAP的網站購買內容。這類服務直接從使用者的電話帳單或信用卡收取購買費用而無需註冊服務、輸入帳密或使用信用卡或金融簽帳卡。不幸的是,詐騙分子也會利用此種便利性。根據該應用程式在Play商店的評論(圖1),有些使用者已經因為該應用程式而損失電信費用。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/10/fake-camera-app-wap-billing-1.png 圖1. 顯示該應用程式相關評論的截圖;一位使用者指出自己在安裝該應用程式後多付了電話費用 https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/10/fake-camera-app-wap-billing-2.jpg 圖2. 惡意應用程式的感染鏈

Yellow Camera 的感染鏈

底下是Yellow Camera感染鏈的詳細資訊,如圖2所示:

  • 從hxxp://new-bucket-3ee91e7f[-]yellowcamera[.]s3[-]ap[-]southeast[-]1[.]amazonaws[.]com下載包含WAP計費網址和JS程式的[MCC+MNC].log。MCC是SIM卡供應商的行動裝置國家代碼;MNC是行動裝置網路代碼。
  • WAP計費網站在背景執行;根據[MCC+MNC].log,存取/顯示的網站都是電信公司。
  • JS程式會自動點擊類型分配碼(TAC)請求,這是用來唯一標識無線裝置的代碼。

為了持續性,惡意應用程式使用startForeground API將服務置於前景狀態,此時系統會認為它是使用者正在使用的東西,因此即使裝置記憶體不足也不會被終止。

我們還發現其他應用程式會偽裝成濾鏡或美肌應用程式(圖5),同樣會欺詐性地讓裝置訂閱WAP服務。雖然它們的確有共用相似的程式碼,但我們無法完全肯定這些應用程式來自同一操作者或是來自Yellow Camera應用程式的幕後團隊。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/10/fake-camera-app-wap-billing-3.png 圖3. 程式碼片段顯示應用程式下載的檔案

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/10/fake-camera-app-wap-billing-4.png 圖4. 要求TAC並確認訂閱的WAP計費網站截圖

最佳實作和趨勢科技解決方案

詐騙分子的技術可能沒有什麼不同,WAP計費詐騙和欺詐性的加值服務訂閱也並非新鮮事。但這可以看作是想要因應設計來減輕威脅或阻止濫用裝置功能(特別是通知功能)的安全功能。比如之前的詐騙會靠簡訊來取得驗證碼,並且經常會要求裝置在Wi-Fi和數據網路間切換。考慮到它對安裝應用程式的使用者所造成的影響,惡意應用程式顯示出自己如何濫用裝置功能來盜取使用者的金錢。

還要注意的是,詐騙份子和網路犯罪分子是如何地調整其社交工程(social engineering )策略(或說是如何駕馭社交網路趨勢),因為我們已經看到越來多利用修圖或美肌應用程式作為誘餌來誘使不知情的使用者下載欺詐性內容或惡意應用程式。

對一般使用者來說,應該在安裝應用程式前先閱讀其評論,因為這有助於識別欺詐性或有可疑行為的應用程式。使用者還應該要採用保護行動裝置安全最佳實作,特別是針對社交工程威脅的部分。

使用者還可以利用能夠封鎖隱蔽廣告軟體的安全解決方案,像 趨勢科技行動安全防護能夠封鎖惡意應用程式。一般使用者還可以利用多層次安全防護功能來保護裝置所有者的資料和隱私,並且保護它們不受勒索病毒、欺詐性網站和身份竊盜等威脅侵害。

對於企業,趨勢科技的行動安全防護企業版提供了裝置、法規遵循和應用程式管理,資料保護和設定配置,同時能夠保護裝置抵禦漏洞攻擊,防止未經授權的存取以及偵測並封鎖惡意軟體和詐騙網站。趨勢科技的行動應用程式信譽評比服務(MARS)使用業界領先的沙箱和機器學習(Machine learning,ML)技術來涵蓋Android和iOS威脅。能夠保護使用者解決惡意軟體、零時差攻擊和已知漏洞攻擊、隱私外洩及應用程式漏洞等問題。 

入侵指標(IoC)可從此附錄取得。

MITRE ATT &CK 技術手法

攻擊戰略 *| *技術手法 *| *ID *| *介紹 **
---|---|---|---
初始進入 | 通過授權的應用程式商店派送惡意應用程式 | T1475 | 用於將惡意軟體上傳到Google Play商店
持續性 | 裝置啟動時應用程式會自動啟動 | T1402 | 用於接收BOOT_COMPLETED廣播
影響 | 加值服務簡訊收費詐騙 | T1448 | 用於透過內嵌JS程式碼自動填充WAP計費網頁內容
資料滲出 | 備用網路媒體 | T1438 | 用於連接手機網路而非Wi-Fi
命令和控制 | 標準應用層協定 | T1437 | 用於跟遠端C &C伺服器通訊

@原文出處:Fake Photo Beautification Apps on Google Play can Read SMS Verification Code to Trigger Wireless Application Protocol (WAP)/Carrier Billing 作者:Song Wang(行為威脅回應團隊