小心魚目混珠的假 Pokémon Go 相關 App,練功不成受騙下載無用廣告程式

作者 | 發布日期 2016 年 08 月 08 日 17:05 | 分類 資訊安全 , 電子娛樂 follow us in feedly

不懷好意的人會趁每一股熱潮想辦法騙人,挑選利用台灣在瘋 Pokémon Go 時下手也就不令人意外。Android Play 商店出現山寨版 Pokémon Go,引誘下載者下載無作用的 App 引狼入室,造成使用者手機的資安問題,不可不慎。




資安廠商趨勢科技在 Google Play 商店上觀察有惡意之徒魚目混珠,出現用 Pokémon Go 的教學 App,宣稱可協助玩家輕鬆賺取 Pokécoin 遊戲幣。這個冒牌應用程式在安裝並啟動之後,會要求使用者輸入以下訊息:

  1. 《Pokémon Go》使用者名稱、裝置類型、所在的地理區域等資訊。
  2. 點選「Connect」(連線) 按鈕,使用者將看到另一個視窗,讓使用者選擇一些遊戲功能,如想要的 Pokécoin 遊戲幣及 Pokéball 神奇寶貝球數量。
  3. 啟用 AES-256 加密。
  4. 指定代理伺服器 (Proxy Server) 以繞過 App 區域限制。
  5. 接著,應用程式會要求使用者完成認證來確認自己是人而非電腦程式,才能將《Pokémon Go》遊戲虛寶帶入使用者帳號內。

但事實上,最後一步是為了將使用者導向另一個網站,並要求使用者再下載另一個 App(如下圖所示)。

  1. Pokemon-go-Trendmicro1

▲ 騙取帳戶認證的畫面,以及導引到下載廣告 App。

趨勢科技研究團隊進一步針對 7 月 8 日至 7 月 24 日這段期間在 Google Play 上 149 個《Pokémon Go》相關的 App,可歸納為下列幾類:

  • 指南、過關步驟、教學
  • 假的 GPS 位置 / 地點 (遊戲用)
  • 社群網路相關 (給玩家彼此交換心得的平台)
  • 其他,如:桌布 App 和下載工具
Pokemon-go-Trendmicro2

▲ 趨勢科技團隊針對《Pokémon Go》相關相關應用程式分析當果,最多的種類為教學類,其次是假造 GPS 位置。

這些 App 目前已累積超過 390 萬次下載,但根據進一步分析顯示,其中有高達 87% 是廣告程式,這些冒牌的 App 通常不具備任何功能,只不過是利用《Pokémon Go》為誘餌,好讓使用者下載它們,然後再推銷其他應用程式。Google Play 已經在 7 月 21 日下架了 57 個這類應用程式,而趨勢科技也將研究結果通報給 Google。

Pokemon-go-Trendmicro3

▲ 以 Pokémon Go 為名,但根據趨勢科技研究分析,這些應用程式有高達 87% 為廣告程式。

趨勢科技資深技術顧問簡勝財建議,除了隨時保持作業系統更新之外,當使用者在安裝不明開發人員或非官方商店提供的 App 時,應該格外小心。同時,還要小心那些不太可能的好康和遊戲虛寶 (例如隨意指定遊戲幣數量),此外,查看使用者的評論,也有助於分辨詐騙和正常應用程式,例如要小心一面倒的好評。

最近,一定有不少人想要跟上這波風潮,或是重溫多年前玩還是看 Pokémon 動畫的回憶,紛紛找攻略或是密技。凡是有要求使用者交出帳號、密碼,或是要認證才能進行下一步的手機 App,都得小心。要想辦法克制自己心中的好奇心,好好想想這些 App 要求的權限合不合理,才能好好保護自己。

發表迴響