這幾天收到了兩封簡訊,一封簡訊來自 0989098362 這個門號,一封簡訊來自 0911513901 這個門號。內容大同小異,都寫到:「7-11 送你 800 電子禮券,使用期限七日,不可找零不可兌現金。禮券下載地址:https://www.vedfolnir.com(註:為安全理由,已將原網址替換成本站)」的獲獎資訊。
實際開啟簡訊內附的網址後,發現到這又是一種利用人性貪婪,偽裝成統一超商 7-Eleven 的獲獎資訊,實際上卻是會破壞手機的木馬程式。
這兩封簡訊不同的地方除了簡訊來源的電話號碼相異外,連下載地址也使用了不同的資源。
下圖一的縮網址是 Dropbox.com 公司的縮址服務平台,圖二網址是 Box.com 網域,看似不同的兩個連結,實際上無論你用了哪種雲端儲存空間,被下載的目標檔案幾乎完全相同,都潛藏著一種被稱為「Smforw.av」的手機專用特洛伊木馬病毒程式。
在解析過這支特洛伊木馬病毒程式,甚至能發現一組大陸電話:「+8618227665590」,用途不明,經查詢後是中國移動(China Mobile)提供給四川成都地區使用的電話號碼,相信跟惡意程式的程式設計師有地緣關係。
剛剛提到圖一與圖二的簡訊中,是用國內的電話號碼進行傳送,前組號碼雖然在網路查詢不到相關資訊,不過後組電話在 Google 引擎上倒是有不少討論,該電話甚至是金門群島上,金城鎮鎮長過去使用的電話號碼(未回撥,不清楚目前使用者是誰)。
依此猜測,要嘛就是詐騙集團透過國外伺服器虛構了一組假的電話號碼[2],不然就是這兩組電話的手機已經被植入木馬。
請參見上圖三所示,雖然這次的木馬程式跟先前我在《科技詐騙:閒聊1+1>2的智慧型手機與網路詐騙手法》乙文中所指出詐騙集團所用的木馬程式有著類似的陷阱,不過兩組程式在特性上似乎有些不同。
過去主要是透過機器人濫發網路詐騙訊息,並透過位在俄羅斯的伺服器(或中繼站)不斷擷取隱私資料,但這次更像是透過感染的手機作為平台再發送詐騙簡訊,目的則暫時未明。但不論是哪一種,都不會討人喜歡就是了。
上圖四是小紅傘(Avira.com)防毒軟體在我解開上面提到的 Android 手機 Apk 檔案後,自動偵測到的潛藏病毒。
不過 Windows 8 內建的防毒軟體「Windows Defender」對此特洛伊木馬病毒程式沒有偵測反應,只能猜測是因為不會影響電腦的正常運作,所以被視為無害(誤)。
雖然這幾次的詐騙手法看似限制頗多,無傷大雅,稍微有機警之心就不會被利用。但是這些人千百年來都奉行一條鐵律,就算騙一百個人都失敗,只要一個成功就算賺到,而我想,這種人應該還不少。
發佈留言