逾20萬中國傳音手機預載廣告詐騙程式

• 發布日期：109-10-06
• 發布單位：刑事警察大隊

參考網站：
行政院國家資通安全會報技術服務中心 逾20萬中國傳音手機預載廣告詐騙程式
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16442

資安業者Upstream近期發現，由中國業者傳音(Transsion)所生產之手機，內部預載廣告詐騙程式。自2019年3月起至2020年8月止，資安業者Upstream從19個國家逾20萬支傳音手機，封鎖1,920萬個可疑訂閱交易，且這些訂閱交易疑似於手機背景執行，未經使用者同意。
傳音為中國手機製造商，專攻非洲低價手機市場，為當地首屈一指之手機品牌，市占率約為40%。
資安業者Upstream於去年察覺有大量傳音手機，遞送可疑之訂閱交易，旋即展開調查，首先購買數支傳音所生產之Tecno W2手機，以分析可疑流量來源，且使用不同電信營運商之網路，進而發現這些手機在韌體內，預載後門程式Triada。
Triada會下載另一個惡意程式xHelper，當發現手機處於適當環境(例如於南非網路中)，並透過Wi-Fi或3G連網時，便會自動連線至訂閱網站，自行訂閱付費服務。由於非洲大多數用戶皆使用預付卡，訂閱費用可直接自預付卡中扣除，而惡意程式之作者則可因相關之訂閱拆分廣告收益。
此外，Triada/xHelper亦會維持其自身運作功能，當研究人員嘗試阻絕手機連網能力，並移除所下載之惡意程式後，在缺乏網路之狀態下，Triada/xHelper約於5分鐘後全部自動重新安裝完畢。
上述程序皆在背景中自動執行，既不會受到電信業者干預，使用者亦無從察覺。經追查後，資安業者Upstream發現這些惡意網站與傳音並無關聯，判斷駭客應由傳音之供應鏈入侵進而完成整體攻擊。

資料來源：
https://www.buzzfeednews.com/article/craigsilverman/cheap-chinese-smartphones-malware
https://www.upstreamsystems.com/xhelpertriada-malware-pre-installed-thousands-low-cost-chinese-android-devices-emerging-markets/
https://lab.secure-d.io/triada/
技術服務中心整理