當前位置:
首頁 > 科技 > ExpensiveWall:「包裝」惡意軟體現身 Google Play,危及用戶財產安全

ExpensiveWall:「包裝」惡意軟體現身 Google Play,危及用戶財產安全

Check Point 的移動威脅研究團隊發現了一款 Android 惡意軟體的新變體,該軟體會向用戶發送欺詐性收費 SMS 消息,並在其毫不知情的情況下向用戶賬號收取虛假服務費。根據 Google Play 數據,這款惡意軟體感染了至少 50 個應用程序,而受感染應用程序在被移除之前,已有 100 萬到 420 萬次的下載量。

這款新型惡意軟體被稱為「ExpensiveWall」,名稱源於其用於感染設備的一個應用程序「Lovely Wallpaper」。ExpensiveWall 是今年早些時候現身Google Play 的惡意軟體新變種。整個惡意軟體系列現已有 590 萬到 2110 萬次的下載量。

與其他同系列軟體相比,ExpensiveWall 的不同之處在於它經過「包裝」,這是惡意軟體開發人員用於加密惡意代碼的高級混淆技術,以此讓惡意代碼避開Google Play內置的反惡意軟體保護措施。

Check Point 於 2017 年 8 月 7 日就 ExpensiveWall 一事通知 Google,Google 隨即將所報告的樣本從其商店中刪除。不過,即使受感染的應用程序已被移除,短短數天之內,另一個樣本滲透到 Google Play,並在移除前的四天時間內感染了超過 5,000 個設備。

需要強調的是,任何受感染應用程序,若從應用商店移除之前已被安裝,則會保留安裝於用戶設備這一狀態。因此,下載這些應用程序的用戶仍會處於危險之中,並且應手動將其從設備中移除。

ExpensiveWall 會進行哪些破壞?

在用戶毫不知情的情況下,惡意軟體使受害者註冊收費服務,並發送欺詐性收費 SMS 消息,向用戶帳戶收取虛假服務費。

ExpensiveWall 有何危險性?

雖然 ExpensiveWall 目前僅被設計為從其受害者處獲取利潤,但類似的惡意軟體可以稍作修改,使用相同的基礎設施,用作盜取圖片、錄製音頻甚至竊取敏感數據,並將數據發送到命令和控制 (C&C) 伺服器。由於惡意軟體能夠悄無聲息地運行(所有這些非法活動都是在受害者毫不知情的情況下進行),其最終轉化為間諜工具。

ExpensiveWall:「包裝」惡意軟體現身 Google Play,危及用戶財產安全

圖 1. 其中一款包含 ExpensiveWall 的惡意應用程序。

ExpensiveWall 的運作方式是什麼?

ExpensiveWall 一旦下載,便會請求幾個常見許可權,包括互聯網訪問(允許應用程序連接到其 C&C 伺服器)以及 SMS 許可權(使其能夠發送收費 SMS 消息,並在用戶不知情的情況下為用戶註冊其他付費服務。)

雖然此情境下,惡意軟體請求這些許可權會造成危害,但許多應用程序也會以合法目的請求相同的許可權。尤其是在從可信賴的來源(如 Google Play)安裝應用程序時,大多數用戶不經思索便授予這些許可權。

ExpensiveWall包含連接應用內操作和JavaScript代碼的介面,該代碼在名為WebView的網站界面上運行,這意味著在WebView中運行的JavaScript可以觸發應用內活動。在安裝並授予其必要許可權後,ExpensiveWall 將與受感染設備相關的數據發送至其 C&C 伺服器,包括其位置和唯一標識符(如 MAC 和 IP 地址、IMSI 和 IMEI)。

ExpensiveWall:「包裝」惡意軟體現身 Google Play,危及用戶財產安全

圖 2:ExpensiveWall 惡意軟體使用的點擊功能。

每次設備開機或進行連接更改時,此應用程序都會連接到其 C&C 伺服器,並接收一個 URL,該 URL 會在嵌入式 WebView 中打開。該頁面包含一個惡意的 JavaScript 代碼,可以使用Javascript 介面調用應用內功能,例如訂閱收費服務和發送 SMS 消息。惡意軟體會悄無聲息地點擊網頁中的鏈接,從而啟動 JavaScript 代碼,與在其他情景中點擊廣告的方式如出一轍。

為受害者訂閱付費服務

惡意軟體獲取設備的電話號碼,並使用其為用戶訂閱不同的付費服務,如下列示例:

ExpensiveWall:「包裝」惡意軟體現身 Google Play,危及用戶財產安全

圖3:用於獲取電話號碼的代碼。

ExpensiveWall:「包裝」惡意軟體現身 Google Play,危及用戶財產安全

圖 4:惡意軟體為用戶訂閱的收費服務。

發送收費 SMS 消息

在某些情況下,SMS 活動在不給用戶任何通知的情況下發生。而有時候,惡意軟體會向用戶顯示名為「繼續」的按鈕,一旦用戶點擊該按鈕,惡意軟體就會以其名義發送收費 SMS 消息。以下是包含嵌入式 JavaScript 的 HTML 代碼的示例:

ExpensiveWall:「包裝」惡意軟體現身 Google Play,危及用戶財產安全

圖5:嵌入式 JavaScript,負責發送 SMS 消息。

Google Play 上的 ExpensiveWall

用戶已對惡意活動有所察覺,參見下方所示的一條評論:

ExpensiveWall:「包裝」惡意軟體現身 Google Play,危及用戶財產安全

圖 6:用戶對 ExpensiveWall 應用程序的評論。

如上圖所示,許多用戶懷疑 ExpensiveWall 是一個惡意應用程序。評論表明,該應用程序在多個社交網路上推廣(包括 Instagram),這可能解釋了其如何擁有如此多的下載量。

分析惡意軟體的不同樣本後,Check Point 移動威脅研究人員認為 ExpensiveWall已作為名為「gtk」的SDK 傳播到不同應用程序中,開發者會將其嵌入自己的應用程序中。包含惡意代碼的應用程序存在三個版本。第一個是今年早些時候發現的未包裝版本。第二個是本文討論的包裝版本;第三個包含代碼但不會主動使用。

用戶和組織應該意識到,任何惡意軟體攻擊都會嚴重破壞其移動網路,即便其貌似始源於無害的廣告軟體。ExpensiveWall 是又一個實例,說明我們需要即時保護所有移動設備、防範高級威脅。

如何獲得完善保護

對於尖端惡意軟體(如 ExpensiveWall)需採取高級保護措施,能夠通過靜動兩態應用程序分析來識別和攔截零日惡意軟體。只有通過在設備上惡意軟體運行的情境下檢查惡意軟體,才能創造出阻止它的成功策略。

用戶和企業應像對待網路的其他部分一樣來對待移動設備,並通過最佳的網路安全解決方案來保護設備。

Check Point 客戶受到 SandBlast Mobile 的保護,而在網路陣線還有 Check Point 防殭屍軟體刀片提供保障,以此防禦具有下列標籤的威脅:Trojan、AndroidOS、ExpensiveWall。

ExpensiveWall:「包裝」惡意軟體現身 Google Play,危及用戶財產安全

ExpensiveWall:「包裝」惡意軟體現身 Google Play,危及用戶財產安全

ExpensiveWall:「包裝」惡意軟體現身 Google Play,危及用戶財產安全

ExpensiveWall:「包裝」惡意軟體現身 Google Play,危及用戶財產安全

ExpensiveWall:「包裝」惡意軟體現身 Google Play,危及用戶財產安全

ExpensiveWall:「包裝」惡意軟體現身 Google Play,危及用戶財產安全

ExpensiveWall:「包裝」惡意軟體現身 Google Play,危及用戶財產安全

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 至頂網 的精彩文章:

思科公司面向UCS與HyperFlex發布「強大」的Meraki式數據中心平台
聚焦穩定易用 網易雲強化即時通訊私有雲服務
Oracle CEO詳解雙層雲戰略 直指AWS定價

TAG:至頂網 |