Check Point 的移動威脅研究團隊發現了一款 Android 惡意軟體的新變體, 該軟體會向使用者發送欺詐性收費 SMS 消息, 並在其毫不知情的情況下向使用者帳號收取虛假服務費。 根據 Google Play 資料, 這款惡意軟體感染了至少 50 個應用程式, 而受感染應用程式在被移除之前, 已有 100 萬到 420 萬次的下載量。
這款新型惡意軟體被稱為“ExpensiveWall”, 名稱源於其用於感染設備的一個應用程式“Lovely Wallpaper”。 ExpensiveWall 是今年早些時候現身Google Play 的惡意軟體新變種。 整個惡意軟體系列現已有 590 萬到 2110 萬次的下載量。
與其他同系列軟體相比, ExpensiveWall 的不同之處在於它經過“包裝”, 這是惡意軟體發展人員用於加密惡意程式碼的高級混淆技術,
Check Point 於 2017 年 8 月 7 日就 ExpensiveWall 一事通知 Google, Google 隨即將所報告的樣本從其商店中刪除。 不過, 即使受感染的應用程式已被移除, 短短數天之內, 另一個樣本滲透到 Google Play, 並在移除前的四天時間內感染了超過 5,000 個設備。
需要強調的是, 任何受感染應用程式, 若從應用商店移除之前已被安裝, 則會保留安裝於使用者設備這一狀態。 因此, 下載這些應用程式的使用者仍會處於危險之中, 並且應手動將其從設備中移除。
ExpensiveWall 會進行哪些破壞?
在使用者毫不知情的情況下, 惡意軟體使受害者註冊收費服務, 並發送欺詐性收費 SMS 消息, 向使用者帳戶收取虛假服務費。
ExpensiveWall 有何危險性?
雖然 ExpensiveWall 目前僅被設計為從其受害者處獲取利潤, 但類似的惡意軟體可以稍作修改, 使用相同的基礎設施, 用作盜取圖片、錄製音訊甚至竊取敏感性資料, 並將資料發送到命令和控制 (C&C) 伺服器。 由於惡意軟體能夠悄無聲息地運行(所有這些非法活動都是在受害者毫不知情的情況下進行), 其最終轉化為間諜工具。
圖 1. 其中一款包含 ExpensiveWall 的惡意應用程式。
ExpensiveWall 的運作方式是什麼?
ExpensiveWall 一旦下載, 便會請求幾個常見許可權, 包括互聯網訪問(允許應用程式連接到其 C&C 伺服器)以及 SMS 許可權(使其能夠發送收費 SMS 消息, 並在使用者不知情的情況下為使用者註冊其他付費服務。 )
雖然此情境下, 惡意軟體請求這些許可權會造成危害, 但許多應用程式也會以合法目的請求相同的許可權。 尤其是在從可信賴的來源(如 Google Play)安裝應用程式時, 大多數使用者不經思索便授予這些許可權。
ExpensiveWall包含連接應用內操作和JavaScript代碼的介面, 該代碼在名為WebView的網站介面上運行, 這意味著在WebView中運行的JavaScript可以觸發應用內活動。
圖 2:ExpensiveWall 惡意軟體使用的點擊功能。
每次設備開機或進行連接更改時, 此應用程式都會連接到其 C&C 伺服器, 並接收一個 URL, 該 URL 會在嵌入式 WebView 中打開。 該頁面包含一個惡意的 JavaScript 代碼, 可以使用Javascript 介面調用應用內功能, 例如訂閱收費服務和發送 SMS 消息。 惡意軟體會悄無聲息地點擊網頁中的連結, 從而啟動 JavaScript 代碼, 與在其他情景中點擊廣告的方式如出一轍。
為受害者訂閱付費服務
惡意軟體獲取設備的電話號碼, 並使用其為用戶訂閱不同的付費服務, 如下列示例:
圖3:用於獲取電話號碼的代碼。
圖 4:惡意軟體為使用者訂閱的收費服務。
發送收費 SMS 消息
在某些情況下, SMS 活動在不給使用者任何通知的情況下發生。 而有時候, 惡意軟體會向使用者顯示名為“繼續”的按鈕, 一旦使用者點擊該按鈕, 惡意軟體就會以其名義發送收費 SMS 消息。 以下是包含嵌入式 JavaScript 的 HTML 代碼的示例:
圖5:嵌入式 JavaScript,負責發送 SMS 消息。
Google Play 上的 ExpensiveWall
用戶已對惡意活動有所察覺,參見下方所示的一條評論:
圖 6:使用者對 ExpensiveWall 應用程式的評論。
如上圖所示,許多用戶懷疑 ExpensiveWall 是一個惡意應用程式。評論表明,該應用程式在多個社交網路上推廣(包括 Instagram),這可能解釋了其如何擁有如此多的下載量。
分析惡意軟體的不同樣本後,Check Point 移動威脅研究人員認為 ExpensiveWall已作為名為“gtk”的SDK 傳播到不同應用程式中,開發者會將其嵌入自己的應用程式中。包含惡意程式碼的應用程式存在三個版本。第一個是今年早些時候發現的未包裝版本。第二個是本文討論的包裝版本;第三個包含代碼但不會主動使用。
使用者和組織應該意識到,任何惡意軟體攻擊都會嚴重破壞其移動網路,即便其貌似始源於無害的廣告軟體。ExpensiveWall 是又一個實例,說明我們需要即時保護所有移動設備、防範高級威脅。
如何獲得完善保護
對於尖端惡意軟體(如 ExpensiveWall)需採取高級保護措施,能夠通過靜動兩態應用程式分析來識別和攔截零日惡意軟體。只有通過在設備上惡意軟體運行的情境下檢查惡意軟體,才能創造出阻止它的成功策略。
使用者和企業應像對待網路的其他部分一樣來對待移動設備,並通過最佳的網路安全解決方案來保護設備。
Check Point 客戶受到 SandBlast Mobile 的保護,而在網路陣線還有 Check Point 防僵屍軟體刀片提供保障,以此防禦具有下列標籤的威脅:Trojan、AndroidOS、ExpensiveWall。
圖5:嵌入式 JavaScript,負責發送 SMS 消息。
Google Play 上的 ExpensiveWall
用戶已對惡意活動有所察覺,參見下方所示的一條評論:
圖 6:使用者對 ExpensiveWall 應用程式的評論。
如上圖所示,許多用戶懷疑 ExpensiveWall 是一個惡意應用程式。評論表明,該應用程式在多個社交網路上推廣(包括 Instagram),這可能解釋了其如何擁有如此多的下載量。
分析惡意軟體的不同樣本後,Check Point 移動威脅研究人員認為 ExpensiveWall已作為名為“gtk”的SDK 傳播到不同應用程式中,開發者會將其嵌入自己的應用程式中。包含惡意程式碼的應用程式存在三個版本。第一個是今年早些時候發現的未包裝版本。第二個是本文討論的包裝版本;第三個包含代碼但不會主動使用。
使用者和組織應該意識到,任何惡意軟體攻擊都會嚴重破壞其移動網路,即便其貌似始源於無害的廣告軟體。ExpensiveWall 是又一個實例,說明我們需要即時保護所有移動設備、防範高級威脅。
如何獲得完善保護
對於尖端惡意軟體(如 ExpensiveWall)需採取高級保護措施,能夠通過靜動兩態應用程式分析來識別和攔截零日惡意軟體。只有通過在設備上惡意軟體運行的情境下檢查惡意軟體,才能創造出阻止它的成功策略。
使用者和企業應像對待網路的其他部分一樣來對待移動設備,並通過最佳的網路安全解決方案來保護設備。
Check Point 客戶受到 SandBlast Mobile 的保護,而在網路陣線還有 Check Point 防僵屍軟體刀片提供保障,以此防禦具有下列標籤的威脅:Trojan、AndroidOS、ExpensiveWall。