假人氣 App 暗中吸血！下載假 TikTok、GTA 竟讓電信帳單暴增，5 招教你自保

近期有下載新的應用程式嗎？請小心你的電信帳單！根據外媒報導，網路安全機構 Zimperium 近日揭發了一場極具針對性且隱蔽的 Android 惡意軟體詐騙活動。駭客透過大約 250 款偽裝成 TikTok、Minecraft（當個創世神）、GTA（俠盜獵車手）、Threads 和 Facebook Messenger 等知名遊戲與社群媒體的應用程式，暗中綁架使用者的行動電信帳單，自動訂閱高額的加值服務，讓受害者在不知不覺中荷包大失血。

這場詐騙活動大約在 2025 年 3 月首度被偵測到，並一路活躍至至少 2026 年 1 月。以下為本次資安事件的核心手法與災情整理：

讀取 SIM 卡鎖定特定國家與電信商

這款惡意軟體最狡猾的地方在於其「高度客製化」的篩選機制。App 下載後會直接讀取裝置的 SIM 卡資訊，只有當受害者符合特定的國家與電信商時，才會啟動詐騙引擎。如果使用者不在名單內，App 就只會顯示完全人畜無害的正常網頁以躲避資安人員的偵測。

主要受害地區：馬來西亞為最大重災區（佔受害者總數 50% 以上），其次為泰國（約 15%）、羅馬尼亞（約 15%）與克羅埃西亞（約 1%）。
被鎖定的電信商：包含當地的 DiGi、Maxis、Celcom、U Mobile、Telekom、AIS、Orange、Vodafone、TrueMove H 以及 dtac TriNet 等至少 10 家電信業者。

三種惡意變體，分工竊取金錢與資料

駭客集團主要交替使用三種不同技術演進的惡意軟體變體來達到目的：

變體一（自動訂閱引擎）：利用社交工程手段，欺騙使用者以為正在進行遊戲帳號的隱私驗證。隨後惡意濫用 Google 的 SMS Retriever API，在背景暗中攔截簡訊驗證碼（OTP），並透過隱藏網頁注入 JavaScript 指令，自動在電信商的帳單入口網站完成付費訂閱。
變體二（隱藏 WebView 與cookie竊取）：主要針對泰國用戶。當畫面上顯示著看起來正常的網頁時，惡意程式會在背景秘密加載隱藏的 WebView 瀏覽器視窗以存取電信商的付費門戶，並利用進階的「Cookie 竊取技術」維持與電信商系統的登入狀態，藉此發送付費簡訊。
變體三（即時 Telegram 通報機制）：除了具備前述的簡訊詐騙能力外，還整合了 Telegram 頻道。一旦成功感染並扣款，惡意程式會立刻發送即時通知給駭客，讓詐騙集團能即時掌握「戰果」並優化他們的詐騙成效。

官方回應與整體應用程式生態的資安隱憂

根據資安媒體報導，Google 隨後發表聲明，強調這 250 款問題 App 從未上架過 Google Play 官方商店。Google 發言人表示：「Android 使用者會受到 Google Play Protect 的自動保護，此功能在配備 Google Play 服務的 Android 裝置上都是預設開啟的，能有效防範此惡意軟體的已知版本。」

儘管官方表示免驚，資安專家依然對目前的市場安全架構表示高度擔憂。專家指出，駭客這次利用的並非隱晦的漏洞，而是 Google 的簡訊攔截與 Android CookieManager 等「官方正常開放的平台功能」，這顯示系統對於防範功能遭惡意濫用的控制力已逐漸脫節。

此外，這類透過第三方應用程式商店、網頁側載（Sideloading）進行的攻擊防不勝防。即便是在審查嚴格的官方商店中，類似的資安漏洞也頻頻發生，例如資安機構 Socket 就在 2026 年 4 月於官方 Chrome 線上應用程式商店發現了 100 多個會暗中外洩使用者瀏覽資料的惡意擴充功能。這場大規模的電信帳單詐騙再次敲響警鐘，業界恐怕必須對整個應用程式的安全審查框架進行全面的徹查與顛覆性改革。