上千万 Android 用户陷入UltimaSMS 订阅骗局

近日，安全研究人员Avast在谷歌应用商店中发现了一个广泛存在的短信骗局，名称为“UltimaSMS（终极短信）”。他们第一次在一款名为“Ultima Keyboard 3D Pro”发现了该骗局，于是就以UltimaSMS作为它的名字。

UltimaSMS惯用的做法是发布恶意Android 应用程序，并让受害者订阅高级服务，以此获得不菲的利润。截止到目前，攻击者至少已经在80 多个国家/地区发布了151 个 Android 应用程序，总下载数额超过一千万次。

Avast进一步分享了UltimaSMS骗局的“骚操作”。

首先，攻击者会搭建虚假照片编辑器、垃圾邮件拦截器、相机过滤器、游戏和其他应用程序，并通过Instagram 和 TikTok 进行大范围推广。不少用户因为精彩的广告信息下载了这些APP。

其次，APP安装后会自动获取手机的位置、国际移动设备识别码 (IMEI) 和电话号码等隐私信息，以此确定受害者所处的国家和语言。数据显示，APP数量下载量最多的是中东地区，包括埃及、巴基斯坦等国家。

最后，当用户打开APP时，首页会要求用户输入电话号码，甚至是电子邮件地址。Avast表示，“用户输入了这些信息后，攻击者会悄悄为他们订阅高级服务，根据国家/地区/运营商的不同，平均每月收取的费用超过了40美元。但是，这些APP并不会真的为用户解锁那些宣传的功能，而是显示更多的短信订阅选项，或者直接停止工作。这些虚假的APP唯一的目的就是欺骗用户订阅高级短信服务。”

发现这一骗局后，Avast第一时间向谷歌应用商店报告，随即谷歌就删掉了这些恶意APP。据专家称，骗局被发现时，其背后的运营商还正在收取数千美元的费用。

对此，有专家表示，这些运营商应该禁用高级订阅服务，同时建议用户不要在不受信任的APP上输入电话号码和电子邮件等信息。在安装APP前，用户也要仔细阅读协议的细则，并在应用商店中多看看其他用户的评论，以免上当受骗。

近段时间以来，以“为用户订阅高级服务”的形式收取资金的网络攻击日益频发。也是在2021年10月，FreeBuf已经报道过一次类似的事件，攻击者利用恶意软件感染APP，为用户订阅高级服务。该恶意软件被发现时，已经感染了70多个国家，1000多万部安卓智能手机。