ExpensiveWall:危險的「封裝式」惡意軟體在 Google Play 現蹤,小心荷包大失血
作者:Elena Root、Andrey Polkovnichenko 及 Bohdan Melnykov,於 2017 年 9 月 26 日發表
Check Point 的行動威脅研究團隊發現一個新的 Android 變種惡意軟體,這個軟體會傳送付費詐騙簡訊給使用者,
這個新種惡意軟體稱為「ExpensiveWall」,
ExpensiveWall 與其他同系列惡意軟體的差別在於它經過「封裝」,
瞭解 SandBlast Mobile 如何防範 ExpensiveWall 之類的惡意軟體。
Check Point 於 2017 年 8 月 7 日向 Google 告知 ExpensiveWall 一事,Google 隨即將遭到檢舉的樣本自其商店下架。不過,
在此強調,若應用程式已遭感染,
ExpensiveWall 會進行哪些破壞?
這個惡意軟體會在受害者不知情的情況下註冊付費服務,
ExpensiveWall 有何危險性?
ExpensiveWall 目前只以利用受害者牟利為主,
圖 1(右): 其中一款含 ExpensiveWall 的惡意應用程式。
ExpensiveWall 的原理是什麼?
下載 ExpensiveWall 後,這個軟體會要求幾項一般權限,包括存取網際網路(ExpensiveWall 能利用網際網路連線至 C&C 伺服器) 及簡訊權限 (以利在使用者渾然不知的情況下傳送付費簡訊,
對惡意軟體開放這些權限會造成傷害,
ExpensiveWall 包含一個能夠連接程式內操作與 JavaScript 程式碼的介面,這個 JavaScript 程式碼需透過名為 WebView 的執行,也就是說,在WebView 執行的 JavaScript 能夠觸發應用程式內的活動。使用者安裝ExpensiveWall 並核准必要權限後,ExpensiveWall 會將遭感染裝置的相關資料傳送至 C&C 伺服器,包括裝置位置和唯一識別碼,例如MAC 及 IP 位址、IMSI 以及 IMEI。
圖 2:ExpensiveWall 惡意軟體採用的點擊功能。
每當使用者將裝置開機,或者裝置改變連線方式,
利用受害者的身分訂購付費服務
這個惡意軟體會竊取裝置的電話號碼,
圖 3:用於取得電話號碼的程式碼。
圖 4:惡意軟體利用使用者身分訂購的付費服務。
傳送付費簡訊
在某些情況下,即使發生了簡訊活動,使用者也不見得會收到通知。
圖 5:內嵌式 JavaScript,負責傳送簡訊。
Google Play 中的 ExpensiveWall
使用者已經留意到惡意活動,參見下方其中一則評論:
圖 6:使用者對某 ExpensiveWall 應用程式的評論。
如上圖所示,許多使用者懷疑 ExpensiveWall 是惡意應用程式。評論內容指出,
有關完整技術報告請參閱 Check Point Research。
分析不同的惡意軟體樣本後,Check Point 行動威脅研究人員相信,ExpensiveWall 已經散播到許多不同的應用程式 (作為名為「gtk」的SDK),開發者會將其內嵌在自己的應用程式中。目前含有這個惡
使用者和各組織應特別注意,
如何得到完善保護
要防範像 ExpensiveWall 這樣的尖端惡意軟體,就必須採用先進的防護措施,
使用者和企業應對自己的行動裝置與網路中的其他任何部分一視同仁
Check Point 客戶有 SandBlast Mobile 為後盾,安全無虞,而網路則可交給 Check Point
防殭屍網路刀鋒,這款產品能夠防範這種具有下列特徵標記的威脅:
Trojan.AndroidOS.ExpensiveWall