Android 平台中一款可快速輸入可愛表情符號的應用程式,被發現會發出不明購買請求,程式會在背景自動為用戶訂閱昂貴的收費服務,更會在背景不斷點擊廣告。成功被保安公司攔截的交易金額折合達到 1.4 億港元。
資訊安全公司 Upstream 表示,此鍵盤程式名為「ai.type」,由以色列一間軟體開發公司 ai.type LTD 製作,在 Google Play 可免費下載,功能是輸入表情符號,合計累積下載次數超過 4,000 萬次。該公司表示有 13 個國家的 11 萬部裝置中招,並發出了超過 1,400 萬次授權要求,全部都是訂閱付費服務,成功攔截交易的金額達到折合 1.4 億港元。整個過程皆在背景進行,由於 App 取得了 SMS 短訊的讀取授權,因此能夠在背後收到 SMS 驗證碼並進行驗證。
▲ 受害者的 SMS 訊息截圖,由於程式取得訊息讀取權限,因此能成功進行驗證。
Upstream 亦發現這個 App 會在背景不斷讀取廣告,並點擊該廣告,從而賺取金錢。
ai.type 程式本身已在 7 月從 Google Play 下架,但仍在很多軟體市場上提供,所以用戶要特別注意。