Check Point 的移動(dòng)威脅研究團(tuán)隊(duì)發(fā)現(xiàn)了一款 Android 惡意軟件的新變體，該軟件會(huì)向用戶發(fā)送欺詐性收費(fèi) SMS 消息，并在其毫不知情的情況下向用戶賬號(hào)收取虛假服務(wù)費(fèi)。根據(jù) Google Play 數(shù)據(jù)，這款?lèi)阂廛浖腥玖酥辽?50 個(gè)應(yīng)用程序，而受感染應(yīng)用程序在被移除之前，已有 100 萬(wàn)到 420 萬(wàn)次的下載量。

這款新型惡意軟件被稱(chēng)為“ExpensiveWall”，名稱(chēng)源于其用于感染設(shè)備的一個(gè)應(yīng)用程序“Lovely Wallpaper”。ExpensiveWall 是今年早些時(shí)候現(xiàn)身 Google Play 的惡意軟件新變種。整個(gè)惡意軟件系列現(xiàn)已有 590 萬(wàn)到 2110 萬(wàn)次的下載量。

[[204629]]

與其他同系列軟件相比，ExpensiveWall 的不同之處在于它經(jīng)過(guò)“包裝”，這是惡意軟件開(kāi)發(fā)人員用于加密惡意代碼的高級(jí)混淆技術(shù)，以此讓惡意代碼避開(kāi) Google Play 內(nèi)置的反惡意軟件保護(hù)措施。

Check Point 于 2017 年 8 月 7 日就 ExpensiveWall 一事通知 Google，Google 隨即將所報(bào)告的樣本從其商店中刪除。不過(guò)，即使受感染的應(yīng)用程序已被移除，短短數(shù)天之內(nèi)，另一個(gè)樣本滲透到 Google Play，并在移除前的四天時(shí)間內(nèi)感染了超過(guò) 5,000 個(gè)設(shè)備。

需要強(qiáng)調(diào)的是，任何受感染應(yīng)用程序，若從應(yīng)用商店移除之前已被安裝，則會(huì)保留安裝于用戶設(shè)備這一狀態(tài)。因此，下載這些應(yīng)用程序的用戶仍會(huì)處于危險(xiǎn)之中，并且應(yīng)手動(dòng)將其從設(shè)備中移除。

ExpensiveWall 會(huì)進(jìn)行哪些破壞?

在用戶毫不知情的情況下，惡意軟件使受害者注冊(cè)收費(fèi)服務(wù)，并發(fā)送欺詐性收費(fèi) SMS 消息，向用戶帳戶收取虛假服務(wù)費(fèi)。

ExpensiveWall 有何危險(xiǎn)性?

雖然 ExpensiveWall 目前僅被設(shè)計(jì)為從其受害者處獲取利潤(rùn)，但類(lèi)似的惡意軟件可以稍作修改，使用相同的基礎(chǔ)設(shè)施，用作盜取圖片、錄制音頻甚至竊取敏感數(shù)據(jù)，并將數(shù)據(jù)發(fā)送到命令和控制 (C&C) 服務(wù)器。由于惡意軟件能夠悄無(wú)聲息地運(yùn)行(所有這些非法活動(dòng)都是在受害者毫不知情的情況下進(jìn)行)，其最終轉(zhuǎn)化為間諜工具。

圖 1. 其中一款包含 ExpensiveWall 的惡意應(yīng)用程序。

ExpensiveWall 的運(yùn)作方式是什么?

ExpensiveWall 一旦下載，便會(huì)請(qǐng)求幾個(gè)常見(jiàn)權(quán)限，包括互聯(lián)網(wǎng)訪問(wèn)(允許應(yīng)用程序連接到其 C&C 服務(wù)器)以及 SMS 權(quán)限(使其能夠發(fā)送收費(fèi) SMS 消息，并在用戶不知情的情況下為用戶注冊(cè)其他付費(fèi)服務(wù)。)

雖然此情境下，惡意軟件請(qǐng)求這些權(quán)限會(huì)造成危害，但許多應(yīng)用程序也會(huì)以合法目的請(qǐng)求相同的權(quán)限。尤其是在從可信賴的來(lái)源(如 Google Play)安裝應(yīng)用程序時(shí)，大多數(shù)用戶不經(jīng)思索便授予這些權(quán)限。

ExpensiveWall 包含連接應(yīng)用內(nèi)操作和 JavaScript 代碼的接口，該代碼在名為 WebView 的網(wǎng)站界面上運(yùn)行，這意味著在 WebView 中運(yùn)行的 JavaScript 可以觸發(fā)應(yīng)用內(nèi)活動(dòng)。在安裝并授予其必要權(quán)限后，ExpensiveWall 將與受感染設(shè)備相關(guān)的數(shù)據(jù)發(fā)送至其 C&C 服務(wù)器，包括其位置和唯一標(biāo)識(shí)符(如 MAC 和 IP 地址、IMSI 和 IMEI)。

圖 2：ExpensiveWall 惡意軟件使用的點(diǎn)擊功能。

每次設(shè)備開(kāi)機(jī)或進(jìn)行連接更改時(shí)，此應(yīng)用程序都會(huì)連接到其 C&C 服務(wù)器，并接收一個(gè) URL，該 URL 會(huì)在嵌入式 WebView 中打開(kāi)。該頁(yè)面包含一個(gè)惡意的 JavaScript 代碼，可以使用 Javascript 接口調(diào)用應(yīng)用內(nèi)功能，例如訂閱收費(fèi)服務(wù)和發(fā)送 SMS 消息。惡意軟件會(huì)悄無(wú)聲息地點(diǎn)擊網(wǎng)頁(yè)中的鏈接，從而啟動(dòng) JavaScript 代碼，與在其他情景中點(diǎn)擊廣告的方式如出一轍。

為受害者訂閱付費(fèi)服務(wù)

惡意軟件獲取設(shè)備的電話號(hào)碼，并使用其為用戶訂閱不同的付費(fèi)服務(wù)，如下列示例：

圖 3：用于獲取電話號(hào)碼的代碼。

圖 4：惡意軟件為用戶訂閱的收費(fèi)服務(wù)。

發(fā)送收費(fèi) SMS 消息

在某些情況下，SMS 活動(dòng)在不給用戶任何通知的情況下發(fā)生。而有時(shí)候，惡意軟件會(huì)向用戶顯示名為“繼續(xù)”的按鈕，一旦用戶點(diǎn)擊該按鈕，惡意軟件就會(huì)以其名義發(fā)送收費(fèi) SMS 消息。以下是包含嵌入式 JavaScript 的 HTML 代碼的示例：

圖 5：嵌入式 JavaScript，負(fù)責(zé)發(fā)送 SMS 消息。

Google Play 上的 ExpensiveWall

用戶已對(duì)惡意活動(dòng)有所察覺(jué)，參見(jiàn)下方所示的一條評(píng)論：

圖 6：用戶對(duì) ExpensiveWall 應(yīng)用程序的評(píng)論。

如上圖所示，許多用戶懷疑 ExpensiveWall 是一個(gè)惡意應(yīng)用程序。評(píng)論表明，該應(yīng)用程序在多個(gè)社交網(wǎng)絡(luò)上推廣(包括 Instagram)，這可能解釋了其如何擁有如此多的下載量。

有關(guān)完整的技術(shù)報(bào)告，請(qǐng)參閱 Check Point Research。

分析惡意軟件的不同樣本后，Check Point 移動(dòng)威脅研究人員認(rèn)為 ExpensiveWall 已作為名為“gtk”的 SDK 傳播到不同應(yīng)用程序中，開(kāi)發(fā)者會(huì)將其嵌入自己的應(yīng)用程序中。包含惡意代碼的應(yīng)用程序存在三個(gè)版本。第一個(gè)是今年早些時(shí)候發(fā)現(xiàn)的未包裝版本。第二個(gè)是本文討論的包裝版本;第三個(gè)包含代碼但不會(huì)主動(dòng)使用。

用戶和組織應(yīng)該意識(shí)到，任何惡意軟件攻擊都會(huì)嚴(yán)重破壞其移動(dòng)網(wǎng)絡(luò)，即便其貌似始源于無(wú)害的廣告軟件。ExpensiveWall 是又一個(gè)實(shí)例，說(shuō)明我們需要即時(shí)保護(hù)所有移動(dòng)設(shè)備、防范高級(jí)威脅。

如何獲得完善保護(hù)

對(duì)于尖端惡意軟件(如 ExpensiveWall)需采取高級(jí)保護(hù)措施，能夠通過(guò)靜動(dòng)兩態(tài)應(yīng)用程序分析來(lái)識(shí)別和攔截零日惡意軟件。只有通過(guò)在設(shè)備上惡意軟件運(yùn)行的情境下檢查惡意軟件，才能創(chuàng)造出阻止它的成功策略。

用戶和企業(yè)應(yīng)像對(duì)待網(wǎng)絡(luò)的其他部分一樣來(lái)對(duì)待移動(dòng)設(shè)備，并通過(guò)最佳的網(wǎng)絡(luò)安全解決方案來(lái)保護(hù)設(shè)備。

Check Point 客戶受到 SandBlast Mobile 的保護(hù)，而在網(wǎng)絡(luò)陣線還有 Check Point 防僵尸軟件刀片提供保障，以此防御具有下列標(biāo)簽的威脅：

Trojan、AndroidOS、ExpensiveWall。