Check Point發(fā)現(xiàn)一款A(yù)ndroid惡意軟件“ExpensiveWall”,該名稱根據(jù)其用來(lái)傳播的應(yīng)用程序中的其中一款命名,這款應(yīng)用為墻紙應(yīng)用“Lovely Wallpaper”。
ExpensiveWall包含Payload,能為受害者注冊(cè)付費(fèi)在線服務(wù),并從設(shè)備發(fā)送付費(fèi)短信息。這款惡意軟件存在于Play Store 50款應(yīng)用中(這些應(yīng)用的下載量為100萬(wàn)-420萬(wàn))。
惡意軟件“ExpensiveWall”作用過(guò)程
Check Point研究人員在分析中指出,旗下移動(dòng)威脅研究團(tuán)隊(duì)發(fā)現(xiàn)一款安卓惡意軟件新變種,會(huì)發(fā)送欺詐付費(fèi)短信息,悄悄注冊(cè)虛假服務(wù)收取費(fèi)用。
安全研究人員對(duì)這款惡意軟件并不陌生。McAfee的惡意軟件研究員今年1月率先在Play Store中發(fā)現(xiàn)此漏洞,但他們強(qiáng)調(diào)Payload大相徑庭。
ExpensiveWall開(kāi)發(fā)人員加密并壓縮了惡意代碼,從而成功繞過(guò)谷歌的自動(dòng)檢查程序。一旦受害者安裝這款墻紙應(yīng)用,便會(huì)請(qǐng)求取得權(quán)限訪問(wèn)互聯(lián)網(wǎng)并接收短信,之后,ExpensiveWall向C&C服務(wù)器發(fā)送設(shè)備信息,包括位置、MAC和IP地址、IMSI和IMEI號(hào)。反過(guò)來(lái),這個(gè)C&C服務(wù)器會(huì)向ExpensiveWall發(fā)送一個(gè)URL——在嵌入式WebView窗口中打開(kāi),并下載JavaScript代碼發(fā)送付費(fèi)短信。
為何多個(gè)應(yīng)用都存在這一問(wèn)題?
Check Point的研究人員表示,惡意代碼作為軟件開(kāi)發(fā)工具“GTK”傳播至不同的應(yīng)用程序。
研究人員分析這款惡意軟件的不同樣本后認(rèn)為,ExpensiveWall作為GTK(開(kāi)發(fā)人員將GTK嵌入自己的應(yīng)用程序中)傳播至不同的應(yīng)用程序。包含該惡意代碼的應(yīng)用有三個(gè)版本:
Unpacked版本,今年早些時(shí)候被發(fā)現(xiàn)。
Packed版本,即本文討論的版本。
包含代碼但不會(huì)主動(dòng)使用。
5000臺(tái)設(shè)備或受影響
Check Point 8月7號(hào)向谷歌報(bào)告了這一發(fā)現(xiàn),谷歌立即從Google Play移除了這些惡意應(yīng)用。然而,受影響的應(yīng)用程序被移除之后,研究人員在Google Play中發(fā)現(xiàn)另一個(gè)樣本,而在移除之前,可能影響了超過(guò)5000臺(tái)設(shè)備。
Check Point表示,雖然ExpensiveWall目前只用于牟利,但類似的惡意軟件能被輕易修改,利用同樣的基礎(chǔ)設(shè)施抓圖、錄音、甚至竊取敏感數(shù)據(jù),并將這些數(shù)據(jù)發(fā)送至C&C服務(wù)器。
不幸的是,此類事件頻繁發(fā)生。6月發(fā)起兩起這類事件,谷歌一個(gè)月內(nèi)移除了被Ztorg木馬感染的惡意應(yīng)用,而Ztorg能讓攻擊者獲取目標(biāo)設(shè)備的Root權(quán)限。
今年4月,數(shù)百萬(wàn)更新軟件的用戶下載了一款隱藏間諜軟件“SMSVova”的應(yīng)用程序。據(jù)估計(jì),隱藏SMSVova間諜軟件的虛假應(yīng)用程序于2014年上傳至Google Play,下載次數(shù)介于100萬(wàn)-500萬(wàn)。
京公網(wǎng)安備 11010502049343號(hào)