ExpensiveWall:危险的「封装式」恶意软体在 Google Play 现踪,小心荷包大失血
作者:Elena Root、Andrey Polkovnichenko 及 Bohdan Melnykov,于 2017 年 9 月 26 日发表
Check Point 的行动威胁研究团队发现一个新的 Android 变种恶意软体,这个软体会传送付费诈骗简讯给使用者,
这个新种恶意软体称为「ExpensiveWall」,
ExpensiveWall 与其他同系列恶意软体的差别在于它经过「封装」,
瞭解 SandBlast Mobile 如何防范 ExpensiveWall 之类的恶意软体。
Check Point 于 2017 年 8 月 7 日向 Google 告知 ExpensiveWall 一事,Google 随即将遭到检举的样本自其商店下架。不过,
在此强调,若应用程式已遭感染,
ExpensiveWall 会进行哪些破坏?
这个恶意软体会在受害者不知情的情况下註册付费服务,
ExpensiveWall 有何危险性?
ExpensiveWall 目前只以利用受害者牟利为主,
图 1(右): 其中一款含 ExpensiveWall 的恶意应用程式。
ExpensiveWall 的原理是什么?
下载 ExpensiveWall 后,这个软体会要求几项一般权限,包括存取网际网路(ExpensiveWall 能利用网际网路连线至 C&C 伺服器) 及简讯权限 (以利在使用者浑然不知的情况下传送付费简讯,
对恶意软体开放这些权限会造成伤害,
ExpensiveWall 包含一个能够连接程式内操作与 JavaScript 程式码的介面,这个 JavaScript 程式码需透过名为 WebView 的执行,也就是说,在WebView 执行的 JavaScript 能够触发应用程式内的活动。使用者安装ExpensiveWall 并核准必要权限后,ExpensiveWall 会将遭感染装置的相关资料传送至 C&C 伺服器,包括装置位置和唯一识别码,例如MAC 及 IP 位址、IMSI 以及 IMEI。
图 2:ExpensiveWall 恶意软体採用的点击功能。
每当使用者将装置开机,或者装置改变连线方式,
利用受害者的身分订购付费服务
这个恶意软体会窃取装置的电话号码,
图 3:用于取得电话号码的程式码。
图 4:恶意软体利用使用者身分订购的付费服务。
传送付费简讯
在某些情况下,即使发生了简讯活动,使用者也不见得会收到通知。
图 5:内嵌式 JavaScript,负责传送简讯。
Google Play 中的 ExpensiveWall
使用者已经留意到恶意活动,参见下方其中一则评论:
图 6:使用者对某 ExpensiveWall 应用程式的评论。
如上图所示,许多使用者怀疑 ExpensiveWall 是恶意应用程式。评论内容指出,
有关完整技术报告请参阅 Check Point Research。
分析不同的恶意软体样本后,Check Point 行动威胁研究人员相信,ExpensiveWall 已经散播到许多不同的应用程式 (作为名为「gtk」的SDK),开发者会将其内嵌在自己的应用程式中。目前含有这个恶
使用者和各组织应特别注意,
如何得到完善保护
要防范像 ExpensiveWall 这样的尖端恶意软体,就必须採用先进的防护措施,
使用者和企业应对自己的行动装置与网路中的其他任何部分一视同仁
Check Point 客户有 SandBlast Mobile 为后盾,安全无虞,而网路则可交给 Check Point
防殭尸网路刀锋,这款产品能够防范这种具有下列特徵标记的威胁:
Trojan.AndroidOS.ExpensiveWall
【101传媒/整理报导】
-------------------------------------------------------
文章内容若有侵权疑虑,请来信告知。
客服信箱:[email protected]
免责声明:
部分图片、观点,来源于网际网路及其他网路平台,主要目的在于分享讯息,让更多人获得需要的资讯,其版权归原作者所有。如涉及侵权请告知,我们会在24小时内删除相关内容。