資安研究團隊 Zimperium 近期揭露了一種新型態的惡意軟體詐騙行動,駭客利用近 250 款偽裝成知名遊戲與社群平台的 Android 應用程式來進行電信帳單盜刷,這些惡意軟體巧妙地將自己包裝成 TikTok、Minecraft、Instagram Threads 甚至是 Facebook Messenger 等熱門應用程式,誘使不知情的用戶下載安裝;一旦應用程式成功潛入手機,便會在背景悄悄啟動自動訂閱引擎,將用戶註冊為高額付費服務的會員,導致受害者的電信帳單在不知不覺中暴增。
鎖定特定國家與電信商的精準攻擊,台灣不在名單中
這場惡意軟體活動並非無差別攻擊,而是具有高度針對性的精準犯罪;根據資安專家的追蹤,駭客主要將目標鎖定在馬來西亞、羅馬尼亞、泰國與克羅埃西亞的行動裝置用戶,其中超過一半的受害者集中在馬來西亞,至於台灣則不在名單中。
惡意軟體會讀取受害者的 SIM 卡資訊,確認其所屬的電信網路是否為名單上的特定十家業者,例如 DiGi、Maxis、Celcom、Vodafone 或 Orange 等,如果用戶並非使用這些特定的電信服務,應用程式便會顯示正常的網頁以避開偵測,確保只有符合條件的手機才會啟動盜刷機制;該攻擊活動最早於 2025 年 3 月被發現,並在同年 9 月達到高峰,直至 2026 年 1 月仍有部分在持續運作。
三大變種病毒的精密犯罪手法
為了成功榨取金錢並躲避查緝,駭客在這次行動中部署了三種不同變體的惡意軟體。
最複雜的第一種變體會利用社交工程手法,欺騙用戶以為正在進行遊戲帳號認證,隨後濫用 Google 的簡訊攔截應用程式介面來竊取一次性密碼,並透過 JavaScript 語法在隱藏網頁中完成電信帳單的付費訂閱;第二種變體則主要肆虐於泰國,透過多階段系統在背景偷偷載入隱藏的網頁視圖,並運用先進的 Cookie 竊取技術,與電信業者的計費系統維持授權連線;第三種變體更是結合了前述的簡訊詐欺能力,並整合了 Telegram 通訊軟體,讓駭客能夠即時收到成功感染的通知,藉此精準追蹤犯罪成效並優化攻擊流程。
官方防護機制的漏洞與隱憂
雖然 Google 官方強調這 250 多款惡意應用程式並未上架於官方的 Play 商店,且 Android 內建的 Play Protect 機制能自動保護用戶免受已知惡意軟體的威脅,但這起事件確實凸顯了應用程式安全框架在面對廣泛市場時的嚴重挑戰,畢竟駭客所利用的技術,如簡訊攔截與 Cookie 管理工具,皆是平台上廣泛使用且具備官方文件的合法功能,但現有的安全管控卻未能跟上這些功能被惡意濫用的風險;隨著使用者從第三方下載軟體的頻率增加,科技公司與一般用戶都必須重新審視並大幅強化對於行動裝置應用程式的資安防護意識。
