駭客以Beta版App規避軟體市集檢查機制散布惡意程式

美國聯邦調查局（FBI）本周警告，駭客可能會將惡意程式嵌入到beta版App，以感染用戶手機。

FBI警告，近日發現有新的詐騙手法，一個不知名的駭客直接聯繫約會及網路App的用戶，引導他們下載beta測試版App，包括一款看似合法的數位加密貨幣交易平臺App，誘使其進行投資。這款App的Beta版實則為詐騙程式冒充，用戶透過該App輸入帳號密碼匯出的款項，會流入駭客控制的錢包。FBI警告，beta版App可能竊取個人識別身分資訊（PII）、財務帳號密碼，或是以惡意程式竄改裝置驗證資訊，而直接接管用戶手機。

許多App會在正式發表前，先以Beta版釋出讓用戶試用，以蒐集回饋意見，但軟體市集如Google Play Store對這類App的審查較為鬆散，因而給了惡意程式作者可乘之機。有些Beta App一開始本來是無害的，因而獲得大量用戶下載，但一段時間後的更新版就被嵌入惡意程式，並以動態程式碼載入（dynamic code loading）方式下載到不知情的用戶裝置上，使App成為駭客長期潛伏竊取資訊或下載惡意元件的後門，Google將此類手法稱為版本更新（versioning）。

FBI建議手機用戶不要輕易下載不認識的beta版測試，若接到「帳號要被接管」的恐嚇式聯繫，或是自稱是客服郵件或簡訊，也不要急著遵照指示下載App。即使在Google Play Store下載App前，也應檢查用戶評論。最後，FBI也建議要定期更新安全軟體、限制App存取權限，也應刪除不使用或不常使用的App。