骇客利用PDF伪装APK骗权限 专家提醒:勿盲点“下一步”
(吉隆坡27日讯)近年来,骇客入侵手机的诈骗案件层出不穷。对此,网络安全专家指出,若用户无意下载由他们提供的恶意安卓应用程序包(APK),恐让他们取得装置权限,轻易入侵手机系统,窃取个人资料,危害用户隐私与财务安全!
根据网络安全专家阿里夫上传到tiktok账号@dr.arif.hakimi的视频显示,他揭露了诈骗集团如何设法入侵用户手机,从中窃取个人资料的手法,引起关注。
阿里夫指出,他制作这支视频的动机,是因为其妻子最近在WhatsApp收到一则“婚礼请柬”。
他也解释,诈骗者在该“请柬”中附上一个标示为“PDF”的文档格式文件,实则是一个APK的恶意程式。
“所以我想给大家看看这个APK的内容,以及骗子或骇客是如何入侵我们的手机。我们一起来看看他们是怎么做到的。”
为了更清楚地解释整个过程,阿里夫要求妻子将收到的“婚礼邀请”,再次转发到他的手机上,以进行示范说明。
接着,他利用电脑解压该APK,以查看当中隐藏的内容,并揭示骇客如何透过这些指令,入侵受害者的手机系统。
在解压APK后,阿里夫指出,档案中包含多项可疑的指令代码,这些指令可能会修改手机的操作系统设定,包括允许读取及接收手机简讯内容、读取通话记录、允许该APK在用户重启手机后,自动重新启动、赋予骇客访问WhatsApp、多媒体简讯服务(MMS)、电邮等应用程式的权限。
他进一步解释,一旦所有所需的数据被成功取得,这些资料就会被发送到Telegram。
“当骇客从WhatsApp、电邮、MMS中提取到数据后,他会将所有信息集中整理,然后通过一个我们称为应用程式编程接口(API)的渠道发送出去。”
“这个API连结到Telegram,也就是说,骇客或诈骗分子利用Telegram通过这个API,作为接收我们个人资料的平台。”
阿里夫还补充,成功收集的数据,将会整合成一个档案,内容包括手机内安装的应用程式种类、联系人电话号码列表、简讯内容、手机型号等,随后便会直接发送到诈骗分子的Telegram。
他也指出,这正是诈骗集团获取受害者资料的手法之一,甚至可借此入侵受害者的社媒账号及网上银行。
阿里夫也在另一段视频说明,若将APK下载至手机,这类档案往往被伪装成“设定”键,让用户感到困惑,或不知道相关程式的存在。
他特别提醒大众,切勿在家中尝试类似操作,因为相关行为具有高度风险,可能危及手机安全,甚至导致个人资料外泄。
在视频最后,阿里夫指出,其实在APK正式下载之前,手机系统通常会弹出提示通知,询问用户是否授权执行该程序。
但问题在于,许多用户在不加思考的情况下,习惯性地连按“下一步”,根本没有仔细阅读相关权限内容。
“有时老一辈的人不熟悉科技操作,只是一直点击‘下一步’,结果这些恶意的APK就这样被安装进手机里了。”
许多网民对阿里夫的分享表示认同和支持,更希望了解更多关于诈骗分子如何利用APK窃取受害者资料的手法。
也有不少网民分享自身经历,指出家中长辈常在不知情的情况下,随意点击陌生档案,可能无意中为网络罪犯打开方便之门。