這是一起典型的社會工程學詐騙案例。近期資安公司 ESET 揭露了一組名為 CallPhantom 的惡意應用程式,這些 App 成功繞過 Google Play Store 的審核,累計獲得超過 730 萬次下載。對工程師來說,這類案例最值得關注的不是複雜的漏洞利用,而是攻擊者如何利用心理弱點與支付流程的漏洞來獲利。
詐騙的核心邏輯與運作方式
這組詐騙 App 的切入點非常簡單:它們聲稱只要輸入任何電話號碼,就能查詢該號碼的通話紀錄、簡訊紀錄,甚至是 WhatsApp 的通話日誌。
在技術實作上,這些 App 完全沒有任何獲取電信數據的能力。電信通話紀錄屬於高度敏感的個資,除非擁有電信商的後台權限或透過合法的法律程序,否則第三方 App 根本無法在 Android 系統上直接獲取其他人的通話紀錄。
然而,攻擊者利用了部分用戶對技術的誤解。當用戶支付訂閱費用後,App 並非去抓取真實數據,而是直接從程式碼中調用預先寫死(Hard-coded)的隨機生成數據,將偽造的姓名與號碼呈現給用戶,讓受害者以為功能確實有效。
信任建立與心理操縱
為了提高下載率,攻擊者採取了幾種心理操縱手段。首先是偽裝身分,部分 App 的開發者名稱被設定為 Indian gov.in,試圖利用政府機關的權威感來降低用戶的戒心。
其次是使用欺騙性通知。如果用戶在未付款的情況下關閉 App,系統會推送一則假通知,聲稱該號碼的通話紀錄已成功發送到用戶的電子信箱。當用戶好奇點擊通知時,會被直接導向訂閱付款頁面。這種設計利用了好奇心與損失規避心理,誘導用戶完成支付。
支付通道的風險分析
這類詐騙 App 採取了三種不同的收款路徑,這對我們分析風險分佈很有幫助。
第一種是透過 Google Play 的官方計費系統。這種方式雖然最安全,因為用戶可以透過 Google 的退款政策嘗試拿回款項,但它也讓詐騙 App 看起來更像正經的商業軟體。
第二種是利用第三方支付,例如在印度廣泛使用的 UPI(統一支付介面),包括 Google Pay、PhonePe 和 Paytm。由於這類支付繞過了 Google 的審核,一旦款項轉出,Google 無法介入,用戶幾乎不可能追回資金。
第三種則是直接在 App 內建信用卡結帳表單。這不僅違反 Google 的政策,更讓用戶面臨信用卡資訊被盜取的風險。
對開發者與資安實務的啟示
從技術角度看,CallPhantom 並不像傳統木馬(RAT)那樣請求危險權限(例如讀取聯絡人或監聽麥克風),這使得它在自動化掃描中較不容易被標記為惡意軟體。它不依賴技術漏洞,而是依賴邏輯詐騙。
這提醒我們,在評估軟體風險時,不能只看權限清單。如果一個 App 聲稱能提供在技術上幾乎不可能實現的功能(例如跨號碼查詢通話紀錄),那麼無論它請求多少權限,其本質大概率就是詐騙。
此外,這類事件也反映出行動端生態系統的挑戰。即便是在官方商店,只要攻擊者將惡意邏輯隱藏在簡單的 UI 與偽造數據之後,依然能大規模收割用戶。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。