小心鱼目混珠的假 Pokémon Go 相关 App,练功不成受骗下载无用广告程

2020-07-04  阅读 998 次

小心鱼目混珠的假 Pokémon Go 相关 App,练功不成受骗下载无用广告程

不怀好意的人会趁每一股热潮想办法骗人,挑选利用台湾在疯 Pokémon Go 时下手也就不令人意外。Android Play 商店出现山寨版 Pokémon Go,引诱下载者下载无作用的 App 引狼入室,造成使用者手机的资安问题,不可不慎。

资安厂商趋势科技在 Google Play 商店上观察有恶意之徒鱼目混珠,出现用 Pokémon Go 的教学 App,宣称可协助玩家轻鬆赚取 Pokécoin 游戏币。这个冒牌应用程式在安装并启动之后,会要求使用者输入以下讯息:

    《Pokémon Go》使用者名称、装置类型、所在的地理区域等资讯。点选「Connect」(连线) 按钮,使用者将看到另一个视窗,让使用者选择一些游戏功能,如想要的 Pokécoin 游戏币及 Pokéball 神奇宝贝球数量。启用 AES-256 加密。指定代理伺服器 (Proxy Server) 以绕过 App 区域限制。接着,应用程式会要求使用者完成认证来确认自己是人而非电脑程式,才能将《Pokémon Go》游戏虚宝带入使用者帐号内。

但事实上,最后一步是为了将使用者导向另一个网站,并要求使用者再下载另一个 App(如下图所示)。

  1. 小心鱼目混珠的假 Pokémon Go 相关 App,练功不成受骗下载无用广告程
骗取帐户认证的画面,以及导引到下载广告 App。

趋势科技研究团队进一步针对 7 月 8 日至 7 月 24 日这段期间在 Google Play 上 149 个《Pokémon Go》相关的 App,可归纳为下列几类:

小心鱼目混珠的假 Pokémon Go 相关 App,练功不成受骗下载无用广告程

趋势科技团队针对《Pokémon Go》相关相关应用程式分析当果,最多的种类为教学类,其次是假造 GPS 位置。

这些 App 目前已累积超过 390 万次下载,但根据进一步分析显示,其中有高达 87% 是广告程式,这些冒牌的 App 通常不具备任何功能,只不过是利用《Pokémon Go》为诱饵,好让使用者下载它们,然后再推销其他应用程式。Google Play 已经在 7 月 21 日下架了 57 个这类应用程式,而趋势科技也将研究结果通报给 Google。

小心鱼目混珠的假 Pokémon Go 相关 App,练功不成受骗下载无用广告程

以 Pokémon Go 为名,但根据趋势科技研究分析,这些应用程式有高达 87% 为广告程式。

趋势科技资深技术顾问简胜财建议,除了随时保持作业系统更新之外,当使用者在安装不明开发人员或非官方商店提供的 App 时,应该格外小心。同时,还要小心那些不太可能的好康和游戏虚宝 (例如随意指定游戏币数量),此外,查看使用者的评论,也有助于分辨诈骗和正常应用程式,例如要小心一面倒的好评。

最近,一定有不少人想要跟上这波风潮,或是重温多年前玩还是看 Pokémon 动画的回忆,纷纷找攻略或是密技。凡是有要求使用者交出帐号、密码,或是要认证才能进行下一步的手机 App,都得小心。要想办法克制自己心中的好奇心,好好想想这些 App 要求的权限合不合理,才能好好保护自己。

相关连结

上一篇:
下一篇: