ExpensiveWall:“包装”恶意软件现身 Google Play,危及用户财产安全

简介:

Check Point 的移动威胁研究团队发现了一款 Android 恶意软件的新变体,该软件会向用户发送欺诈性收费 SMS 消息,并在其毫不知情的情况下向用户账号收取虚假服务费。根据 Google Play 数据,这款恶意软件感染了至少 50 个应用程序,而受感染应用程序在被移除之前,已有 100 万到 420 万次的下载量。

这款新型恶意软件被称为“ExpensiveWall”,名称源于其用于感染设备的一个应用程序“Lovely Wallpaper”。ExpensiveWall 是今年早些时候现身Google Play 的恶意软件新变种。整个恶意软件系列现已有 590 万到 2110 万次的下载量。

与其他同系列软件相比,ExpensiveWall 的不同之处在于它经过“包装”,这是恶意软件开发人员用于加密恶意代码的高级混淆技术,以此让恶意代码避开Google Play内置的反恶意软件保护措施。 

了解SandBlast Mobile 如何防御诸如 ExpensiveWall 等恶意软件。

Check Point 于 2017 年 8 月 7 日就 ExpensiveWall 一事通知 Google,Google 随即将所报告的样本从其商店中删除。不过,即使受感染的应用程序已被移除,短短数天之内,另一个样本渗透到 Google Play,并在移除前的四天时间内感染了超过 5,000 个设备。

需要强调的是,任何受感染应用程序,若从应用商店移除之前已被安装,则会保留安装于用户设备这一状态。因此,下载这些应用程序的用户仍会处于危险之中,并且应手动将其从设备中移除。

ExpensiveWall 会进行哪些破坏?

在用户毫不知情的情况下,恶意软件使受害者注册收费服务,并发送欺诈性收费 SMS 消息,向用户帐户收取虚假服务费。

ExpensiveWall 有何危险性?

虽然 ExpensiveWall 目前仅被设计为从其受害者处获取利润,但类似的恶意软件可以稍作修改,使用相同的基础设施,用作盗取图片、录制音频甚至窃取敏感数据,并将数据发送到命令和控制 (C&C) 服务器。由于恶意软件能够悄无声息地运行(所有这些非法活动都是在受害者毫不知情的情况下进行),其最终转化为间谍工具。

ExpensiveWall:“包装”恶意软件现身 Google Play,将危及您的财产安全

图 1. 其中一款包含 ExpensiveWall 的恶意应用程序。

ExpensiveWall 的运作方式是什么?

ExpensiveWall 一旦下载,便会请求几个常见权限,包括互联网访问(允许应用程序连接到其 C&C 服务器)以及 SMS 权限(使其能够发送收费 SMS 消息,并在用户不知情的情况下为用户注册其他付费服务。)

虽然此情境下,恶意软件请求这些权限会造成危害,但许多应用程序也会以合法目的请求相同的权限。尤其是在从可信赖的来源(如 Google Play)安装应用程序时,大多数用户不经思索便授予这些权限。

ExpensiveWall包含连接应用内操作和JavaScript代码的接口,该代码在名为WebView的网站界面上运行,这意味着在WebView中运行的JavaScript可以触发应用内活动。在安装并授予其必要权限后,ExpensiveWall 将与受感染设备相关的数据发送至其 C&C 服务器,包括其位置和唯一标识符(如 MAC 和 IP 地址、IMSI 和 IMEI)。

ExpensiveWall:“包装”恶意软件现身 Google Play,将危及您的财产安全

图 2:ExpensiveWall 恶意软件使用的点击功能。

每次设备开机或进行连接更改时,此应用程序都会连接到其 C&C 服务器,并接收一个 URL,该 URL 会在嵌入式 WebView 中打开。该页面包含一个恶意的 JavaScript 代码,可以使用Javascript 接口调用应用内功能,例如订阅收费服务和发送 SMS 消息。恶意软件会悄无声息地点击网页中的链接,从而启动 JavaScript 代码,与在其他情景中点击广告的方式如出一辙。

为受害者订阅付费服务

恶意软件获取设备的电话号码,并使用其为用户订阅不同的付费服务,如下列示例:

ExpensiveWall:“包装”恶意软件现身 Google Play,将危及您的财产安全

图3:用于获取电话号码的代码。

ExpensiveWall:“包装”恶意软件现身 Google Play,将危及您的财产安全

图 4:恶意软件为用户订阅的收费服务。

发送收费 SMS 消息

在某些情况下,SMS 活动在不给用户任何通知的情况下发生。而有时候,恶意软件会向用户显示名为“继续”的按钮,一旦用户点击该按钮,恶意软件就会以其名义发送收费 SMS 消息。以下是包含嵌入式 JavaScript 的 HTML 代码的示例:

ExpensiveWall:“包装”恶意软件现身 Google Play,将危及您的财产安全

图5:嵌入式 JavaScript,负责发送 SMS 消息。

Google Play 上的 ExpensiveWall

用户已对恶意活动有所察觉,参见下方所示的一条评论:

ExpensiveWall:“包装”恶意软件现身 Google Play,将危及您的财产安全

图 6:用户对 ExpensiveWall 应用程序的评论。

如上图所示,许多用户怀疑 ExpensiveWall 是一个恶意应用程序。评论表明,该应用程序在多个社交网络上推广(包括 Instagram),这可能解释了其如何拥有如此多的下载量。

有关完整的技术报告,请参阅 Check Point Research

分析恶意软件的不同样本后,Check Point 移动威胁研究人员认为 ExpensiveWall已作为名为“gtk”的SDK 传播到不同应用程序中,开发者会将其嵌入自己的应用程序中。包含恶意代码的应用程序存在三个版本。第一个是今年早些时候发现的未包装版本。第二个是本文讨论的包装版本;第三个包含代码但不会主动使用。

用户和组织应该意识到,任何恶意软件攻击都会严重破坏其移动网络,即便其貌似始源于无害的广告软件。ExpensiveWall 是又一个实例,说明我们需要即时保护所有移动设备、防范高级威胁。

如何获得完善保护

对于尖端恶意软件(如 ExpensiveWall)需采取高级保护措施,能够通过静动两态应用程序分析来识别和拦截零日恶意软件。只有通过在设备上恶意软件运行的情境下检查恶意软件,才能创造出阻止它的成功策略。

用户和企业应像对待网络的其他部分一样来对待移动设备,并通过最佳的网络安全解决方案来保护设备。

Check Point 客户受到 SandBlast Mobile 的保护,而在网络阵线还有 Check Point 防僵尸软件刀片提供保障,以此防御具有下列标签的威胁:Trojan、AndroidOS、ExpensiveWall。

ExpensiveWall:“包装”恶意软件现身 Google Play,将危及您的财产安全

ExpensiveWall:“包装”恶意软件现身 Google Play,将危及您的财产安全

ExpensiveWall:“包装”恶意软件现身 Google Play,将危及您的财产安全

ExpensiveWall:“包装”恶意软件现身 Google Play,将危及您的财产安全

ExpensiveWall:“包装”恶意软件现身 Google Play,将危及您的财产安全

ExpensiveWall:“包装”恶意软件现身 Google Play,将危及您的财产安全

ExpensiveWall:“包装”恶意软件现身 Google Play,将危及您的财产安全




原文发布时间为:2017年9月25日

本文作者:Elena Root、Andrey Polkovnichenko 和 Bohdan Melnykov

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。

相关文章
|
4月前
|
编解码 iOS开发 开发者
App上架Apple App Store和Google Play流程
App上架Apple App Store和Google Play流程
129 2
|
API 网络安全 网络虚拟化
Google Play 上架总结(二)Google账户关联详解
Google Play 上架总结(二)Google账户关联详解
1556 0
|
API 开发工具 Android开发
解决 Android App 上架 Google play后 ,签名变更,第三方sdk无法登录
解决 Android App 上架 Google play后 ,签名变更,第三方sdk无法登录
315 0
|
API Android开发 图形学
【Unity3D】Android App Bundle(aab)打包上架Google Play介绍
总体说来,Android App Bundle打包有3种方式,每种方式都有成功上架Google Play进行测试通过,因此实用程度还是挺高的。能够理解以下内容的前提是会打apk包,知道如何生成Asset Bundle文件,这块内容可以参考我的上一篇文章。
1356 0
【Unity3D】Android App Bundle(aab)打包上架Google Play介绍
|
3月前
|
存储 安全 搜索推荐
Google Hacking安全防御思路
Google Hacking安全防御思路
|
4月前
|
Android开发
解决Flutter上架Google Play提示Version code 1 has already been used. Try another version code.
解决Flutter上架Google Play提示Version code 1 has already been used. Try another version code.
80 3
|
4月前
|
开发工具 Android开发
上架Google Play报错:For new apps, Android App Bundles must be signed with an RSA key.
上架Google Play报错:For new apps, Android App Bundles must be signed with an RSA key.
141 1
|
4月前
|
安全 Java Android开发
Android 14适配Google play截止时间临近,适配注意点和经验
本文介绍了Android 14带来的关键更新,包括性能优化、定制化体验、多语言支持、多媒体与图形增强等功能。此外,还强调了适配时的重要事项,如targetSdkVersion升级、前台服务类型声明、蓝牙权限变更等,以及安全性与用户体验方面的改进。开发者需按官方指南更新应用,以充分利用新特性并确保兼容性和安全性。
319 0
|
7月前
|
安全 数据处理 Android开发
安卓隐私权政策和Google Play规范更新
【4月更文挑战第14天】谷歌针对安卓平台的隐私权政策和Google Play规范进行重要更新,强化用户隐私保护和安全标准。新政策强调最小化数据收集,要求开发者明确告知用户敏感数据用途,并限制不必要的后台数据处理。Google Play规范更新要求应用详述数据收集方式,增加安全审查机制,确保无恶意代码。开发者面临调整,但有机会提升应用安全标准,赢得用户信任。用户数据安全得到提升,移动生态系统将更健康、可持续。
149 1
|
开发者
Google Play上架总结(三)Google Play 上架流程(2)
Google Play上架总结(三)Google Play 上架流程
546 0

热门文章

最新文章