手機植木馬程式 假網店呃走2億

2023年中旬，三地執法部門留意到有犯罪集團趁市民在網上購物期間，利用木馬程式進行詐騙。經深入調查後，人員於本周三及本周四於馬來西亞和香港展開聯合行動，其中馬來西亞人員拘捕兩名馬來西亞籍男子（26歲和47歲），相信他們是該集團的骨幹成員；本港人員則以涉嫌「串謀詐騙」及「洗黑錢」罪，拘捕10男4女（19歲至61歲）傀儡戶口持有人，同時檢獲8部手機、一批銀行文件及控制木馬應用程式的伺服器。另外，新加坡方面針對一系列涉及木馬程式騙案，在2023年展開多次行動，把超過140名涉案人士繩之以法。

調查人員指出，涉案跨國詐騙集團以馬來西亞為基地，相信自2023年起運作，主要針對東南亞地區的市民犯案。集團內部分工明細，他們會預先在不同社交媒體及平台開設虛假網購專頁及付款網頁，聲稱售賣不同貨品及提供服務，例如食品、旅遊及租車等，之後再在暗網或其他途徑購買木馬程式，並於馬來西亞、香港或其他東南亞地區租用伺服器來掛載程式，然後安排成員假扮客服人員，透過即時通訊軟件與受害人對話，要求他們安裝非官方的安卓（Android）APK檔案，包括「港澳商城」、「第壹商城」、「88雜貨舖」、「撈寶.com」及「送達百貨」等，再指使他們對該個程式開放完全權限，以及利用程式落單。

同時，騙徒可實時監控受害人手機，程式內會出現一個釣魚頁面，要求受害人輸入銀行上的登入資料，以完成訂購有關商品和服務，而受害人一般會被要求支付25至30元的運費或其他雜費。另外，騙徒可以遙距控制相關手機和解鎖，繼而安裝一些偽冒成地圖的程式，以截取受害人的一次性密碼短訊（OTP）。由於偽冒程式與真正的地圖程式非常相似，受害人往往未能識破差異。

當騙徒獲取上述資料後，便會在新裝置登入銀行帳戶。雖然在正常情況下，用戶在新裝置登入時會收到銀行發出的通知短訊，惟因騙徒已截取受害人的短訊，令其得以在未經授權下進行登入。

其後，騙徒會控制受害人的裝置來獲取即時的保安編碼，從而把受害人的存款轉移至傀儡戶口，並透過即時和多層轉帳，以清洗該些懷疑犯罪得益。最後，騙徒會把相關惡意程式解除安裝，藉此毀滅證據，至於受害人則全程被蒙在鼓裏。

人員相信集團犯案至今，已有超過4,000人受害。2023年，新加坡執法部門共錄得1,899宗相關案件，累計損失金額逾1.9億元；香港執法部門在2023年9月至2024年4月期間，共接獲41宗相關本地個案，累計損失金額超過1,200萬元，其中最大一宗損失逾600萬元，受害人是一名88歲老翁，因留意到騙徒製作的網購專頁提供商品折扣，不虞有詐墮入陷阱。

此外，本港執法部門針對相關個案作財富調查，發現騙款會被轉到31個不同的本地傀儡戶口，經分析後得悉部分傀儡戶口早於2023年2月已經開設，直至2024年4月期間，共清洗超過3,450萬元懷疑犯罪得益。人員相信該犯罪集團仍有漏網之魚，三地執法部門會繼續聯合追查。