Check Point发现一款Android恶意软件“ExpensiveWall”,该名称根据其用来传播的应用程序中的其中一款命名,这款应用为墙纸应用“Lovely Wallpaper”。
ExpensiveWall包含Payload,能为受害者注册付费在线服务,并从设备发送付费短信息。这款恶意软件存在于Play Store 50款应用中(这些应用的下载量为100万-420万)。
恶意软件“ExpensiveWall”作用过程
Check Point研究人员在分析中指出,旗下移动威胁研究团队发现一款安卓恶意软件新变种,会发送欺诈付费短信息,悄悄注册虚假服务收取费用。
安全研究人员对这款恶意软件并不陌生。McAfee的恶意软件研究员今年1月率先在Play Store中发现此漏洞,但他们强调Payload大相径庭。
ExpensiveWall开发人员加密并压缩了恶意代码,从而成功绕过谷歌的自动检查程序。一旦受害者安装这款墙纸应用,便会请求取得权限访问互联网并接收短信,之后,ExpensiveWall向C&C服务器发送设备信息,包括位置、MAC和IP地址、IMSI和IMEI号。反过来,这个C&C服务器会向ExpensiveWall发送一个URL——在嵌入式WebView窗口中打开,并下载JavaScript代码发送付费短信。
为何多个应用都存在这一问题?
Check Point的研究人员表示,恶意代码作为软件开发工具“GTK”传播至不同的应用程序。
研究人员分析这款恶意软件的不同样本后认为,ExpensiveWall作为GTK(开发人员将GTK嵌入自己的应用程序中)传播至不同的应用程序。包含该恶意代码的应用有三个版本:
Unpacked版本,今年早些时候被发现。
Packed版本,即本文讨论的版本。
包含代码但不会主动使用。
5000台设备或受影响
Check Point 8月7号向谷歌报告了这一发现,谷歌立即从Google Play移除了这些恶意应用。然而,受影响的应用程序被移除之后,研究人员在Google Play中发现另一个样本,而在移除之前,可能影响了超过5000台设备。
Check Point表示,虽然ExpensiveWall目前只用于牟利,但类似的恶意软件能被轻易修改,利用同样的基础设施抓图、录音、甚至窃取敏感数据,并将这些数据发送至C&C服务器。
不幸的是,此类事件频繁发生。6月发起两起这类事件,谷歌一个月内移除了被Ztorg木马感染的恶意应用,而Ztorg能让攻击者获取目标设备的Root权限。
今年4月,数百万更新软件的用户下载了一款隐藏间谍软件“SMSVova”的应用程序。据估计,隐藏SMSVova间谍软件的虚假应用程序于2014年上传至Google Play,下载次数介于100万-500万。
本文转自d1net(转载)
