ExpensiveWall:“包裝”惡意軟體現身 Google Play,危及用戶財產安全
Check Point 的移動威脅研究團隊發現了一款 Android 惡意軟體的新變體,該軟體會向使用者發送欺詐性收費 SMS 消息,並在其毫不知情的情況下向使用者帳號收取虛假服務費。根據 Google Play 資料,這款惡意軟體感染了至少 50 個應用程式,
這款新型惡意軟體被稱為“ExpensiveWall”,名稱源於其用於感染設備的一個應用程式“Lovely Wallpaper”。ExpensiveWall 是今年早些時候現身Google Play 的惡意軟體新變種。整個惡意軟體系列現已有 590 萬到 2110 萬次的下載量。
與其他同系列軟體相比,ExpensiveWall 的不同之處在於它經過“包裝”,這是惡意軟體發展人員用於加密惡意程式碼的高級混淆技術,
Check Point 於 2017 年 8 月 7 日就 ExpensiveWall 一事通知 Google,Google 隨即將所報告的樣本從其商店中刪除。不過,即使受感染的應用程式已被移除,短短數天之內,另一個樣本滲透到 Google Play,並在移除前的四天時間內感染了超過 5,000 個設備。
需要強調的是,任何受感染應用程式,若從應用商店移除之前已被安裝,則會保留安裝於使用者設備這一狀態。因此,下載這些應用程式的使用者仍會處於危險之中,
ExpensiveWall 會進行哪些破壞?
在使用者毫不知情的情況下,惡意軟體使受害者註冊收費服務,並發送欺詐性收費 SMS 消息,向使用者帳戶收取虛假服務費。
ExpensiveWall 有何危險性?
雖然 ExpensiveWall 目前僅被設計為從其受害者處獲取利潤,但類似的惡意軟體可以稍作修改,使用相同的基礎設施,用作盜取圖片、錄製音訊甚至竊取敏感性資料,並將資料發送到命令和控制 (C&C) 伺服器。
圖 1. 其中一款包含 ExpensiveWall 的惡意應用程式。
ExpensiveWall 的運作方式是什麼?
ExpensiveWall 一旦下載,便會請求幾個常見許可權,包括互聯網訪問(允許應用程式連接到其 C&C 伺服器)以及 SMS 許可權(使其能夠發送收費 SMS 消息,
雖然此情境下,惡意軟體請求這些許可權會造成危害,但許多應用程式也會以合法目的請求相同的許可權。尤其是在從可信賴的來源(如 Google Play)安裝應用程式時,大多數使用者不經思索便授予這些許可權。
ExpensiveWall包含連接應用內操作和JavaScript代碼的介面,
圖 2:ExpensiveWall 惡意軟體使用的點擊功能。
每次設備開機或進行連接更改時,此應用程式都會連接到其 C&C 伺服器,並接收一個 URL,該 URL 會在嵌入式 WebView 中打開。該頁面包含一個惡意的 JavaScript 代碼,可以使用Javascript 介面調用應用內功能,例如訂閱收費服務和發送 SMS 消息。惡意軟體會悄無聲息地點擊網頁中的連結,從而啟動 JavaScript 代碼,與在其他情景中點擊廣告的方式如出一轍。
為受害者訂閱付費服務
惡意軟體獲取設備的電話號碼,並使用其為用戶訂閱不同的付費服務,如下列示例:
圖3:用於獲取電話號碼的代碼。
圖 4:惡意軟體為使用者訂閱的收費服務。
發送收費 SMS 消息
在某些情況下,SMS 活動在不給使用者任何通知的情況下發生。而有時候,惡意軟體會向使用者顯示名為“繼續”的按鈕,一旦使用者點擊該按鈕,惡意軟體就會以其名義發送收費 SMS 消息。以下是包含嵌入式 JavaScript 的 HTML 代碼的示例:
圖5:嵌入式 JavaScript,負責發送 SMS 消息。
Google Play 上的 ExpensiveWall
用戶已對惡意活動有所察覺,參見下方所示的一條評論:
圖 6:使用者對 ExpensiveWall 應用程式的評論。
如上圖所示,許多用戶懷疑 ExpensiveWall 是一個惡意應用程式。評論表明,該應用程式在多個社交網路上推廣(包括 Instagram),這可能解釋了其如何擁有如此多的下載量。
分析惡意軟體的不同樣本後,Check Point 移動威脅研究人員認為 ExpensiveWall已作為名為“gtk”的SDK 傳播到不同應用程式中,開發者會將其嵌入自己的應用程式中。包含惡意程式碼的應用程式存在三個版本。第一個是今年早些時候發現的未包裝版本。第二個是本文討論的包裝版本;第三個包含代碼但不會主動使用。
使用者和組織應該意識到,任何惡意軟體攻擊都會嚴重破壞其移動網路,即便其貌似始源於無害的廣告軟體。ExpensiveWall 是又一個實例,說明我們需要即時保護所有移動設備、防範高級威脅。
如何獲得完善保護
對於尖端惡意軟體(如 ExpensiveWall)需採取高級保護措施,能夠通過靜動兩態應用程式分析來識別和攔截零日惡意軟體。只有通過在設備上惡意軟體運行的情境下檢查惡意軟體,才能創造出阻止它的成功策略。
使用者和企業應像對待網路的其他部分一樣來對待移動設備,並通過最佳的網路安全解決方案來保護設備。
Check Point 客戶受到 SandBlast Mobile 的保護,而在網路陣線還有 Check Point 防僵屍軟體刀片提供保障,以此防禦具有下列標籤的威脅:Trojan、AndroidOS、ExpensiveWall。
為受害者訂閱付費服務
惡意軟體獲取設備的電話號碼,並使用其為用戶訂閱不同的付費服務,如下列示例:
圖3:用於獲取電話號碼的代碼。
圖 4:惡意軟體為使用者訂閱的收費服務。
發送收費 SMS 消息
在某些情況下,SMS 活動在不給使用者任何通知的情況下發生。而有時候,惡意軟體會向使用者顯示名為“繼續”的按鈕,一旦使用者點擊該按鈕,惡意軟體就會以其名義發送收費 SMS 消息。以下是包含嵌入式 JavaScript 的 HTML 代碼的示例:
圖5:嵌入式 JavaScript,負責發送 SMS 消息。
Google Play 上的 ExpensiveWall
用戶已對惡意活動有所察覺,參見下方所示的一條評論:
圖 6:使用者對 ExpensiveWall 應用程式的評論。
如上圖所示,許多用戶懷疑 ExpensiveWall 是一個惡意應用程式。評論表明,該應用程式在多個社交網路上推廣(包括 Instagram),這可能解釋了其如何擁有如此多的下載量。
分析惡意軟體的不同樣本後,Check Point 移動威脅研究人員認為 ExpensiveWall已作為名為“gtk”的SDK 傳播到不同應用程式中,開發者會將其嵌入自己的應用程式中。包含惡意程式碼的應用程式存在三個版本。第一個是今年早些時候發現的未包裝版本。第二個是本文討論的包裝版本;第三個包含代碼但不會主動使用。
使用者和組織應該意識到,任何惡意軟體攻擊都會嚴重破壞其移動網路,即便其貌似始源於無害的廣告軟體。ExpensiveWall 是又一個實例,說明我們需要即時保護所有移動設備、防範高級威脅。
如何獲得完善保護
對於尖端惡意軟體(如 ExpensiveWall)需採取高級保護措施,能夠通過靜動兩態應用程式分析來識別和攔截零日惡意軟體。只有通過在設備上惡意軟體運行的情境下檢查惡意軟體,才能創造出阻止它的成功策略。
使用者和企業應像對待網路的其他部分一樣來對待移動設備,並通過最佳的網路安全解決方案來保護設備。
Check Point 客戶受到 SandBlast Mobile 的保護,而在網路陣線還有 Check Point 防僵屍軟體刀片提供保障,以此防禦具有下列標籤的威脅:Trojan、AndroidOS、ExpensiveWall。