[討論] 小心假冒7-11 中獎禮券1000元的詐騙簡訊 – 看板 CVS – 批踢踢實業坊

各位版友好, 因我們在做手機防駭APP的研究,今天接獲用戶回報,有新型假冒7-11名義發送的詐騙簡訊正在流竄。內容如下:「恭喜你獲得7-11禮券1000元請下載領獎單據https:// db.tt/xxxxx領收.可直接加值於7-11發行之icash卡」

來源: [討論] 小心假冒7-11 中獎禮券1000元的詐騙簡訊 – 看板 CVS – 批踢踢實業坊

作者stockapp (平安就是福)
看板CVS
標題[討論] 小心假冒7-11 中獎禮券1000元的詐騙簡訊
時間Tue May 13 16:56:50 2014

各位版友好, 因我們在做手機防駭APP的研究,今天接獲用戶回報,有新型假冒7-11名義
發送的詐騙簡訊正在流竄。內容如下:
「恭喜你獲得7-11禮券1000元請下載領獎單據https:// db.tt/xxxxx領收.
可直接加值於7-11發行之icash卡」

經過實際測試,這個點連結後會連到Dropbox網站,如果下載,這惡意APK具有
讀取使用者簡訊、以及代使用者發送簡訊的權限,開啟後會從手機桌面消失。
讓人不易找到。

提醒大家,近期很多假冒各種企業名義的詐騙簡訊(黑貓、台電、或電信商簡訊活動
都被假冒過)引導下載app,是這陣子常見的騙取個資或要詐騙小額付款的手法。

我們有寫一個偵測透明app防駭工具,可從Google Play官方下載:
http://goo.gl/8Fvrik

可以從單一權限偵測的隱藏APP或簡訊權限,掃看看是否有可疑的APP。

另外把最新詐騙簡訊類型與手法都整理在這裡,版友如果有收到相關訊息,可多比對
http://callsaver-antiscam.blogspot.tw/

如果有類似問題,或處理疑問,可以推文,小弟知道的再回覆告知。
(iPhone手機不受這類型的攻擊)

*** 提醒平常防護之道***

1. 將Play Store 下載未知來源關閉。Android手機:Menu->設定->安全性->裝置管理,
請確認「未知的來源」沒有勾起。不要再安裝非Google Play以外的APP。雖然Google
Play 不代表絕對安全,但因為Google有持續在掃描,已經監控,若有異常很快會下架。

2. 勿點選可疑訊息的短網址,特別是跟取貨、消費、金融、繳費等有關。

3. 朋友用FB/Line/SMS傳送說要您幫忙買遊戲點數,或者叫你投票等,幾乎都是詐騙。

4. 不要在公用電腦上FB/Line之類。


※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.224.254.242
※ 文章網址: http://www.ptt.cc/bbs/CVS/M.1399971413.A.05A.html
※ 編輯: stockapp (125.224.254.242), 05/13/2014 16:57:36
推 kkb702564:高調 推一下 無所不用其極的詐騙集團 真她x的= =! 05/13 18:55
推 alston081920:我真的有收過5/11的類型..是傳最原始的手機簡訊 05/13 19:33
推 lanretee:謝謝分享! 05/13 19:35
推 love2005evol:今天中午有收到……有點開還好沒有載OAO 05/13 19:51
推 givigan:剛剛收到但是我知道現在禮券不能 05/13 19:55
推 givigan:儲值到icash又是縮網址讓我想到之前黑貓的詐騙簡訊 05/13 19:57
推 amanoalashi:推! 今天收到[黑貓宅急便]簽收單電子憑證 05/13 21:54
推 foxpig:推 樓上的簡訊我也收過 05/13 23:43
推 kaworucloud:就算點了連結,下載回來別安裝就好了啊,又不是會自動 05/14 00:06
→ kaworucloud:安裝… 05/14 00:07
→ kaworucloud:就算不幸手殘安裝了,在開啟前直接刪除也來得及啊 05/14 00:07
這個不一定喔。如果安裝好,就算不開啟。有的還是會在背景做壞事.
→ kaworucloud:來路不明的apk還敢開啟,跟在桌裡email裡開exe附件一 05/14 00:09
→ kaworucloud:樣蠢,資安觀念太薄弱,習慣太差才會中招吧… 05/14 00:10
推 kaworucloud:會持續在背景運作的程式稱為服務,但不管是程式或服務 05/14 09:56
→ kaworucloud:都沒辦法在安裝完成後自動執行,服務在剛安裝完成後是 05/14 09:57
→ kaworucloud:處於STOPPED狀態,這個跟你去設定裡對該程式按下強制 05/14 09:57
→ kaworucloud:停止後的狀態是一樣的。如果不經由市集,而是直接從瀏 05/14 09:59
→ kaworucloud:覽器下載APK,甚至不會在下載後自動執行安裝動作。 05/14 09:59
→ kaworucloud:就算是開機時自動執行,在安裝之前也會提示你需要授予 05/14 10:01
→ kaworucloud:「開機時自動啟用」權限,並且重開機後才會執行,要經 05/14 10:02
→ kaworucloud:由此管道讓人中招也太難了 05/14 10:02
用步驟來解釋:
1. 點連結。
2. 下載APK。
3. 安裝APK。
4. 執行APK。

Android 技術上只要到步驟3安裝完,不用寫成service,也可以在背景做事哦。
作法是用註冊BroadcastReceiver ,監控一些event,
譬如偵測網路變化、或者位置變化、螢幕開關、安裝程式,就可以trigger執行
想要做的事。
推 kaworucloud:在步驟3裝完後,程式是處於inactive狀態,而inactive 05/14 12:26
→ kaworucloud:狀態下的BroadcastReceiver是不起作用的吧,系統在 05/14 12:27
→ kaworucloud:broadcast事件時會略過inactive的程式 05/14 12:27
Android機制只要安裝完,針對
要監控的event,就可以喚起BroadcastReciever對應的
onReceive()動作。
所以即使重新開機,該app不用寫rebootreceiver去啟動app,
還是可以背景去做ReceiveSMS、ReadSMS、SendSMS等動作。

這部份您可寫一個簡易app,可看到實際運作機制喔.
※ 編輯: stockapp (125.230.110.75), 05/14/2014 13:37:51
推 MELOEX:好專業的討論@@! 05/14 14:21
推 kaworucloud:我寫了,也測了,結果跟我所說的一樣。我的測試程式在 05/14 14:44
→ kaworucloud:收到wifi狀態改變時,會丟一個訊息去notification bar 05/14 14:46
→ kaworucloud:顯示,就這麼簡單。測試結果,在剛安裝完後,我開關 05/14 14:47
→ kaworucloud:wifi都沒有出現提示,當我執行程式之後,再開關wifi, 05/14 14:47
→ kaworucloud:這時我寫的提示就跑出來了,當我去設定裡強制停止我的 05/14 14:48
→ kaworucloud:程式後,開關wifi又沒有提示了。 05/14 14:48
→ kaworucloud:強制停止就是將程式狀態由active轉為inactive,在剛安 05/14 14:49
→ kaworucloud:裝完程式,尚未執行前,我看這顆強停鈕也是disabled的 05/14 14:49
→ kaworucloud:執行了程式後,強停鈕才enable起來,跟我的認知符合。 05/14 14:50
→ kaworucloud:PS.我的Android版本是4.0.3 05/14 14:51
可以寫一隻比較簡單的,如下sample code。安裝完不用開啟。
然後到Google Play下載一個app,就可以看到Log.e跳出訊息哦。提供您參考:)








//////////////////////////////////////

ListenerInstalledApp.java
@Override
public void onReceive(Context context, Intent intent) {
String action= intent.getAction();
String packageName = intent.getDataString();
Log.e(“INSTALL”,”new: “+packageName);

Toast.makeText(context, packageName+ “installed”,
Toast.LENGTH_LONG).show();

※ 編輯: stockapp (125.230.110.75), 05/14/2014 15:06:14
→ kaworucloud:我加了偵測apk安裝的事件,結果跟wifi的測試一模一樣 05/14 16:07
→ kaworucloud:在執行前就算安裝了也不會跳訊息,執行後才會,強停之 05/14 16:08
→ kaworucloud:後訊息又不跳了 05/14 16:08
→ kaworucloud:另外請問您在哪邊看Log.e訊息的?不透過debugger的話 05/14 16:09
我是用ddms-Android sdk內建的偵測工具.
→ kaworucloud:我不知道要如何看到Log.e的訊息耶 05/14 16:10
→ kaworucloud:根據http://ppt.cc/zYQh的解釋,安裝後狀態為inactive 05/14 16:22
→ kaworucloud:是在Android 3.1版之後才做的變更,請問您測試的OS版 05/14 16:24
→ kaworucloud:本是? 05/14 16:24
4.2
我來做一些不同測試,有心得再跟您分享^^
※ 編輯: stockapp (125.230.110.75), 05/14/2014 16:41:56
推 barttien:我的疑問是,為什麼大家要討論這麼複雜?不是直接打電話 05/14 23:49
→ barttien:取消電信公司小額付費,不明連結不要點就好了嗎? 05/14 23:49
推 panda83:長輩還是會點…還好因為無法下載打電話來問 05/15 12:31
推 leejee:已下載 找不到刪除地圖記錄的連結? 05/15 19:15