Android 惡意軟體進行簡訊詐欺 遭到 Google 移除

有資安公司表示，Google 最近從旗下的官方 Android Market 移除了近兩打遭到惡意軟體感染的應用程式，這些軟體會欺騙用戶接受透過手機簡訊進行的欺詐性收費。今年以來 Google 已經從其下載散佈通路，移除了超過 100 個惡意 Android 應用程式。

位於舊金山的資安公司 Lookout Security 稱此現象為簡訊費用欺詐，看似知名程式的應用軟體誘騙使用者承擔來自簡訊的費用。Lookout 指出，該公司與其他廠商近期曾多次向 Google 通報惡意應用程式，總數為 22 個。Google 已經將這些軟體從該電子商店中移除。

該公司稱這些結合偽造應用程式的惡意軟體為 RuFraud。Symantec 表示這是一種針對 Android 設備的特洛伊木馬程式，會向收取高價費用的電話號碼發送簡訊，但其造成的風險極低並且易於移除。

北美用戶並不在這些惡意軟體的影響之列，Lookout 表示歐洲用戶過去數月以來，成了簡訊費用欺詐的攻擊對象。新一波類似的攻擊則於日前出現在 Android Market 上。Lookout 指出，和惡意軟體先前的活動相似，RuFraud 應用軟體會取用合法軟體的元素，但不會完全複製該軟體，而是將這些元素與惡意程式碼一起重新包裝。

Lookout 表示，最近的 RuFraud 活動是從星座運勢軟體開始的，接著移動到 Android 手機桌布，包含暮光之城系列電影的桌布，以及偽裝成暢銷遊戲如 "Angry Birds" 與 "Cut the Rope" 附件的下載程式，最後則是偽裝成遊戲軟體。

Lookout 較早發現的 9 個應用軟體，在 Google 移除前僅被極少數用戶下載。然而，欺詐者之後向 Android Market 發佈的 13 個下載程式，再次偽裝為知名遊戲的免費版本。Lookout 估計這些軟體被下載了 14000 次之多。

Lookout 與 Google 指出，這些詐欺性的應用軟體會在服務條款以及用戶授與的權限中，宣告可能收取簡訊費用。因此用戶不可能在未經核可此一權限，允許應用軟體發送收費簡訊前，就安裝該應用軟體。

Google 陷入將惡意軟體趕出 Android Market 的麻煩之中。今年 7 月，Lookout 發現有 4 個應用軟體被惡搞。「DroidDream Light」的變種感染，已是受 DroidDream 感染的應用軟體進到 Google 電子商店的第三個例子。前兩個例子分別發生在 3 月與 6 月初，一共讓 Google 從該商店移除了超過 80 個應用軟體。

安全專家不斷地批評 Google 未曾主動掃描被提交至 Android Market 的應用軟體。防毒廠商 Sophos 的首席病毒研究者 Vanja Svajcer 指出，針對 Android 開發者向 Android Market 發佈應用體的要求條件過於鬆散一事，他們已經提出過好幾次。只要這種情況不改善，Android Market 上的攻擊就會持續下去。

與 Google 不同，其他的應用軟體商店營運者會檢視提交的應用軟體，並針對可能的惡意軟體進行掃描。例如 Apple 相對封閉的 App Store 就因此避開了許多安全問題。Microsoft 也承諾，會檢視提交至該公司以個人電腦與平板為導向的 Windows Store 的應用軟體。然而，iPhone 也並非完全免於安全危害。一位資安研究者最近就成功讓一個惡意程式通過 Apple 的核可程序進到 App Store。

Lookout 會使用該公司的惡意軟體偵測技術，找出惡意的行動軟體。根據 Lookout 資深安全產品經理 Derek Halliday 表示，Lookout 可以在這些軟體發佈後不久，將其偵測出來。Lookout 首席工程師 Tim Wyatt 指出，Google 的回應速度很快，從告知到軟體下架通常只需幾分鐘。

被問到 Lookout 是否提供此一技術，以便掃描提交到 Android Market 的應用軟體時，Halliday 則拒絕評論。

相關網址

1. Google 下架 22 個惡意 Android 軟體
   https://www.computerworld.com/s/article/9222595/Google_pulls_22_more_malicious_Android_apps_from_Market?taxonomyId=77

2. Google 從 Android Market 移除 22 個軟體以防止詐欺收費
   https://arstechnica.com/business/news/2011/12/google-pulls-22-malicious-android-apps-to-prevent-fraudulent-charges.ars

3. Google 移除 22 個 Android 上的惡意軟體
   https://news.techeye.net/mobile/google-pulls-22-malicious-apps-from-android

4. Android Market 應用軟體因簡訊詐欺遭到移除
   https://www.pcworld.com/article/246048/android_market_apps_pulled_due_to_sms_fraud.html

5. Google 從 Android Market 移除 22 個惡意軟體
   https://www.h-online.com/open/news/item/Google-removes-22-malicious-apps-from-the-Android-Market-1394330.html

6. Google 從Android Market 移除 22 個簡訊詐欺應用軟體
   https://www.techweekeurope.co.uk/news/google-removes-22-sms-fraud-apps-from-android-market-49534

您也許有興趣閱讀以下文章:

• Android 開源韌體 Cyanogen 專案成立新創公司！ - 2013-10-09
• 繼雷根糖後下一道上桌的是 Android 奇巧巧克力 - 2013-09-09
• iOS 與 Android 的開放源碼 JavaFX 即將到來 - 2013-03-11
• 令人震驚：Android SDK 二進位檔案仍是私有軟體 - 2013-01-14
• Linux 基金會提供 Android 開發課程 - 2013-01-14
• Google 建置 Android 平台上的專用軟體市集 Channel - 2012-12-25
• 5 套敢於與 Android 競爭的行動 Linux 作業系統 - 2012-12-11
• 舊版 Android 系統上有控制碼認證不全的漏洞 - 2012-10-04
• NexPhone - 結合桌上、平板與筆記型電腦的 Ubuntu for Android 手機 - 2012-09-20
• OIN 將專利保護傘擴展至 Android 核心元件！ - 2012-09-03
• Android 4.1 發佈不到一個月，截至 7 月底使用比例已達 0.8 % - 2012-08-13
• Android 版 LibreOffice 已有雛形 - 2012-07-09
• Android 版 Firefox 14 正式推出 - 2012-07-06
• ownCloud 提供 Android 版手機程式 - 2012-05-14
• Google 將推出平價 Android 平板電腦 - 2012-04-19
• FSFE 提倡「Free Your Android !」活動 - 2012-03-12
• Android 版 Ubuntu 消息發布！ - 2012-03-05
• Wikipedia 推出官方版 Android 應用程式 - 2012-02-03
• Linux 桌面佔有率上升 Android 與 Linux 傳出合併猜測 - 2012-01-30
• 開源創新：從軟體專利與 Android 平台談起 - 自由軟體授權應用與商業建議二十講系列之五會後報導 - 2012-01-16
• 開源創新：從軟體專利與 Android 平台談起 (Open Source Innovation, Patents and the Android Platform in Perspective) - 2011-11-01
• Microsoft 將從 Android 廠商賺得近 5 億美元授權金 - 2011-10-17
• Google 再次購買 IBM 專利 Android 夥伴增添保障 - 2011-10-03
• 百度宣佈推出 Android 分支行動作業系統 - 2011-09-18
• Microsoft 與緯創簽署專利協議 範圍涵蓋 Android 與 Chrome - 2011-07-13
• Asus 釋出 Android 3.0 Honeycomb 部份原始碼 - 2011-04-11
• Nokia 透露 Qt 未來計畫 開發者釋出 Android 版 Qt 實作 - 2011-02-24
• Android 平板電腦多數未遵守 GPL - 2011-01-13
• 宣稱 Android 使用 Java Card 技術 Gemalto 控告 Google 與 3 大手機製造商 - 2010-11-02
• 防止小筆電採用 Android 微軟將向 Acer、Asustek 收取權利金 - 2010-10-26
• Acer 發表 Windows 7 和 Android 雙重開機小筆電 - 2010-10-11
• 某些 Android 應用軟體可能濫用使用者私人資訊 - 2010-10-04
• Adobe AIR 今年底將於 Android 平台推出 - 2010-08-25
• Asus 平板裝置 Eee Pad 將採用 Android 而非 Windows - 2010-08-18
• Android 侵害 Java 專利？ Oracle 控告 Google - 2010-08-16
• Android 程式開發不求人 Google 將推視覺化開發工具 - 2010-07-19
• 4/30 開放平台行動裝置應用大賽系列活動 -- Android 開發者研討會 - 2010-04-26
• Google 員工收到 Android 實驗手機 - 2009-12-15
• Android 並非完全開放源碼 客製化 ROM 惹爭議 - 2009-10-06
• Linux netbook 大熱門 Moblin 2.0、Android 產品蓄勢待發 - 2009-06-04
• iPhone & Android 自由軟體應用程式開發技術座談會 - 2009-02-25
• Android 手機 T-Mobile G1 開賣數天首見安全漏洞 - 2008-11-04
• Google Android 行動平台將採開放源碼授權 - 2008-06-05
• LiMo 基金會發表首批手機裝置 與 Android 競爭開放源碼手機平台寶座 - 2008-02-21
• A La Mobile 展示 Google Android 軟體堆疊 - 2008-01-17
• Funambol 為 Android 平台開發開放源碼行動傳訊系統 Sun 憂心 Android 平台將出現 - 2007-11-22