ExpensiveWall:危险「封装式」恶意软体现踪 Google Play

  • A
  • A+
  • A++
2017-09-26

ExpensiveWall:危险的「封装式」恶意软体在 Google Play 现踪,小心荷包大失血

作者:Elena Root、Andrey Polkovnichenko 及 Bohdan Melnykov,于 2017 年 9 月 26 日发表

 

Check Point 的行动威胁研究团队发现一个新的 Android 变种恶意软体,这个软体会传送付费诈骗简讯给使用者,再利用使用者的帐户收取服务费用,但这些全都是子虚乌有的服务,使用者更是浑然不知。根据 Google Play 的资料,目前至少有 50 款应用程式遭这个恶意软体感染,而在遭感染的应用程式下架之前,下载次数已经介于 100 万到 420 万之间。

这个新种恶意软体称为「ExpensiveWall」,名称源自于这款恶意软体用于感染装置的其中一款应用程式:「Lovely Wallpaper」。ExpensiveWall 是新的变种,原生恶意软体是今年稍早在 Google Play 现踪的恶意软体。目前,这一系列恶意软体的下载次数已经介于 590万到 2110 万之间。

ExpensiveWall 与其他同系列恶意软体的差别在于它经过「封装」,这是一种先进的模煳化技术,恶意软体开发者利用这种技术加密恶意程式码,让恶意软体程式码得以规避 Google Play 内建的防恶意软体保护机制。

瞭解 SandBlast Mobile 如何防范 ExpensiveWall 之类的恶意软体。

Check Point 于 2017 年 8 月 7 日向 Google 告知 ExpensiveWall 一事,Google 随即将遭到检举的样本自其商店下架。不过,即便将遭到感染的应用程式下架,短短数天后,又有另一个样本渗透到 Google Play 中,导致超过 5,000 台装置遭到感染,四天后 Google 才将其下架。

在此强调,若应用程式已遭感染,且安装时间是在应用程式商店下架该应用程式之前,使用者的装置仍会继续保留这些应用程式。因此,下载这些应用程式的使用者仍有风险,应手动将这些应用程式从装置中移除。

ExpensiveWall 会进行哪些破坏?

这个恶意软体会在受害者不知情的情况下註册付费服务,然后传送付费诈骗简讯,利用使用者的帐户收取子虚乌有的服务费用。

ExpensiveWall 有何危险性?

ExpensiveWall 目前只以利用受害者牟利为主,但很容易就能改造成另一款类似的恶意软体,运用相同的基础架构盗取照片、录音档,甚至还能窃取敏感资料,再将资料传送到命令与控制 (C&C) 伺服器。这个恶意软体能够在幕后操作,使用者完全不会察觉任何非法活动,因此其最终转化为间谍工具。

 

图 1(右): 其中一款含 ExpensiveWall 的恶意应用程式。

ExpensiveWall 的原理是什么?

下载 ExpensiveWall 后,这个软体会要求几项一般权限,包括存取网际网路(ExpensiveWall 能利用网际网路连线至 C&C 伺服器) 及简讯权限 (以利在使用者浑然不知的情况下传送付费简讯,并利用使用者的身分註册其他付费服务)。

对恶意软体开放这些权限会造成伤害,但许多应用程式也会为了正当用途要求相同的权限。大多数使用者会不假思索便核准授权,如果所安装的应用程式来自 Google Play 这类值得信任的来源,使用者更不会多加怀疑。

ExpensiveWall 包含一个能够连接程式内操作与 JavaScript 程式码的介面,这个 JavaScript 程式码需透过名为 WebView 的执行,也就是说,在WebView 执行的 JavaScript 能够触发应用程式内的活动。使用者安装ExpensiveWall 并核准必要权限后,ExpensiveWall 会将遭感染装置的相关资料传送至 C&C 伺服器,包括装置位置和唯一识别码,例如MAC 及 IP 位址、IMSI 以及 IMEI。

描述: 描述: http://blog.checkpoint.com/wp-content/uploads/2017/09/Figure-2.png

 

图 2:ExpensiveWall 恶意软体採用的点击功能。

 

每当使用者将装置开机,或者装置改变连线方式,应用程式就会连线至 C&C 伺服器并接收一个 URL,这个 URL 随即会在内嵌的 WebView中开启。这个网页包含一个 JavaScript 恶意程式码,能够利用 Javascript 介面 叫用程式内功能,例如订购付费服务以及传送简讯。这个恶意软体会在幕后点击网页中的连结,就像在其他情况下点击广告一样,从而启动 JavaScript 程式码。

利用受害者的身分订购付费服务

这个恶意软体会窃取装置的电话号码,再利用电话号码以受害者的身分订购不同的付费服务,如下方范例所示:

描述: 描述: http://blog.checkpoint.com/wp-content/uploads/2017/09/Figure-3.png

 

图 3:用于取得电话号码的程式码。

 

描述: 描述: http://blog.checkpoint.com/wp-content/uploads/2017/09/Figure-4.png

 

图 4:恶意软体利用使用者身分订购的付费服务。

传送付费简讯

在某些情况下,即使发生了简讯活动,使用者也不见得会收到通知。有时候,恶意软体则会向使用者显示名为「继续」的按钮,使用者一旦按下这个按钮,恶意软体就会利用使用者的身分传送付费简讯。以下举例说明含内嵌式 JavaScript 的 HTML 程式码:

 

描述: 描述: http://blog.checkpoint.com/wp-content/uploads/2017/09/Figure-5.png

 

图 5:内嵌式 JavaScript,负责传送简讯。

Google Play 中的 ExpensiveWall

使用者已经留意到恶意活动,参见下方其中一则评论:

 

描述: 描述: http://blog.checkpoint.com/wp-content/uploads/2017/09/Figure-6-1024x745.png

 

图 6:使用者对某 ExpensiveWall 应用程式的评论。

 

如上图所示,许多使用者怀疑 ExpensiveWall 是恶意应用程式。评论内容指出,许多社交网路会出现这个应用程式,Instagram 就是其中一个例子,或许这正是这个应用程式能够迅速累积下载次数的原因。

有关完整技术报告请参阅 Check Point Research

分析不同的恶意软体样本后,Check Point 行动威胁研究人员相信,ExpensiveWall 已经散播到许多不同的应用程式 (作为名为「gtk」的SDK),开发者会将其内嵌在自己的应用程式中。目前含有这个恶意程式码的应用程式共有三种版本。第一种是未封装版本,发现的时间在今年稍早。第二种是本文探讨的封装版本,第三种则含有程式码但不会主动使用程式码。

使用者和各组织应特别注意,即使一开始只是个看似无害的广告软体,一旦恶意软体发动攻击,每一次都会对行动网路造成严重破坏。ExpensiveWall 是又一个例子,证明我们有必要立即保护所有行动装置,防范先进威胁的攻击。

如何得到完善保护
要防范像 ExpensiveWall 这样的尖端恶意软体,就必须採用先进的防护措施,要能并用静态及动态的应用程式分析明辨并封锁零时差恶意软体。只有通过详查恶意软体在装置上的运作模式,才能创造出阻止它的成功策略。
使用者和企业应对自己的行动装置与网路中的其他任何部分一视同仁,并且运用市面上最好的网路安全解决方案做好防护措施。

Check Point 客户有 SandBlast Mobile 为后盾,安全无虞,而网路则可交给 Check Point
防殭尸网路刀锋,这款产品能够防范这种具有下列特徵标记的威胁:
Trojan.AndroidOS.ExpensiveWall

 

 

【101传媒/整理报导】

 

-------------------------------------------------------

文章内容若有侵权疑虑,请来信告知。

客服信箱:[email protected]

 

 

免责声明:

部分图片、观点,来源于网际网路及其他网路平台,主要目的在于分享讯息,让更多人获得需要的资讯,其版权归原作者所有。如涉及侵权请告知,我们会在24小时内删除相关内容。

 

 

  • 本文评论:
延伸阅读
今日热门
本日最新