Fortnite 要塞英雄 iOS 版推出至今,才短短 90 天內收入就已經超越 1 億美元,由此可見它的人氣有多麼火熱,而 Switch 版也在上週正式登場,這代表說,現在幾乎所有平台都支援了,只剩下 Android 要等到今年夏天才會推出,對 Android 用戶來說一定覺得很不公平,想趕快玩,因此,也讓有心人士有機可趁。最近 YouTube 就出現大量教學如何安裝 Fortnite APK 檔的影片,看起來雖然好像很真,但 ESET 的惡意軟件研究人員 Lukas Stefanko 發現到,這其實只一個 假 Fortnite 要塞英雄 釣魚程式,下載之後會引誘你不斷安裝新的應用程式,從中賺取金錢。
假 Fortnite 要塞英雄 Android APK 檔現身
YouTube 輸入 how to download and verify fortnite for android 之類關鍵字,就會出現非常多 APK 檔安裝教學影片,某些甚至已經快破十萬觀看人次。但官方明明還沒推出 Android 版,那這 APK 檔到底哪裡來的?
當然是假的,ESET 的惡意軟件研究人員 Lukas Stefanko 表示,「下載這些聲稱教學如何安裝 Fortnite APK 檔之後,應用程式會要求用戶下載更多的 Android 應用,來解鎖相關功能,YouTube 上目前也沒有任何影片展示 Android 版實際遊戲運行的過程,而是透過播放 iPhone 或 PC 的遊戲畫面。」
也補充到:「他擔心這些應用可能會是惡意的,除了誘導下載更多應用程式,為開發者創造收入外,搞不好還會試圖竊取用戶們的信用卡、銀行等資料,用戶們真的要小心。」
另外,國外也有一位 Nathan Collier 惡意軟體分析師分享整個誘導過程。
首先,安裝好的 Fortnite ICON 圖示就跟真的一樣,完全沒辦法分辨出是假的:
就連進入遊戲開始的畫面也一樣,還顯示 Epic Games logo 來騙取用戶信任:
從 iOS 拷貝過來的讀取畫面,沒玩過的人很難察覺到:
來到主畫面後,會聽到 Fortnite 遊戲的背景音樂,也跳出新更新的視窗,一切看起來似乎非常正常,好像可以開始玩了?:
把更新視窗關閉後,也順勢來到假登入畫面:
接著就突然跳出要求驗證的訊息:
點選 OK 之後,會自動跳轉到某個網頁中,上方寫著完成指定任務來進行驗證(文法還是錯的),下載清單中任何一個 Apps:
決定後也的確跳出解鎖訊息畫面:
點選安裝會自動跳轉到 Google Play,因此很多人應該覺得比較放心,會嘗試安裝一下:
事實上不論你安裝幾套清單中的免費 Apps,都沒辦法進行遊戲,只會這樣不斷循環,而你也一直在幫這開發者賺取金錢。
雖然說目前還沒有任何竊取資料等嚴重消息傳出,但畢竟是 APK 檔,對有心人士來說,加入惡意程式碼不是一件難事,真的要小心謹慎。在官方還沒推出 Fortnite 要塞英雄 Android 版前,建議不要胡亂安裝,要不然風險可是很大的,有安裝的朋友也記得一定要趕快刪除。
資料來源:malwarebytes、newsweek
