恶意软件“EXPENSIVEWALL”感染数百万台安卓设备

  1. 云栖社区>
  2. 博客>
  3. 正文

恶意软件“EXPENSIVEWALL”感染数百万台安卓设备

晚来风急 2017-09-04 14:08:00 浏览910
展开阅读全文

Check Point发现一款Android恶意软件“ExpensiveWall”,该名称根据其用来传播的应用程序中的其中一款命名,这款应用为墙纸应用“Lovely Wallpaper”。

ExpensiveWall包含Payload,能为受害者注册付费在线服务,并从设备发送付费短信息。这款恶意软件存在于Play Store 50款应用中(这些应用的下载量为100万-420万)。

恶意软件“ExpensiveWall”作用过程

Check Point研究人员在分析中指出,旗下移动威胁研究团队发现一款安卓恶意软件新变种,会发送欺诈付费短信息,悄悄注册虚假服务收取费用。

安全研究人员对这款恶意软件并不陌生。McAfee的恶意软件研究员今年1月率先在Play Store中发现此漏洞,但他们强调Payload大相径庭。

ExpensiveWall开发人员加密并压缩了恶意代码,从而成功绕过谷歌的自动检查程序。一旦受害者安装这款墙纸应用,便会请求取得权限访问互联网并接收短信,之后,ExpensiveWall向C&C服务器发送设备信息,包括位置、MAC和IP地址、IMSI和IMEI号。反过来,这个C&C服务器会向ExpensiveWall发送一个URL——在嵌入式WebView窗口中打开,并下载JavaScript代码发送付费短信。

为何多个应用都存在这一问题?

Check Point的研究人员表示,恶意代码作为软件开发工具“GTK”传播至不同的应用程序。

研究人员分析这款恶意软件的不同样本后认为,ExpensiveWall作为GTK(开发人员将GTK嵌入自己的应用程序中)传播至不同的应用程序。包含该恶意代码的应用有三个版本:

Unpacked版本,今年早些时候被发现。

Packed版本,即本文讨论的版本。

包含代码但不会主动使用。

5000台设备或受影响

Check Point 8月7号向谷歌报告了这一发现,谷歌立即从Google Play移除了这些恶意应用。然而,受影响的应用程序被移除之后,研究人员在Google Play中发现另一个样本,而在移除之前,可能影响了超过5000台设备。

Check Point表示,虽然ExpensiveWall目前只用于牟利,但类似的恶意软件能被轻易修改,利用同样的基础设施抓图、录音、甚至窃取敏感数据,并将这些数据发送至C&C服务器。

不幸的是,此类事件频繁发生。6月发起两起这类事件,谷歌一个月内移除了被Ztorg木马感染的恶意应用,而Ztorg能让攻击者获取目标设备的Root权限。

今年4月,数百万更新软件的用户下载了一款隐藏间谍软件“SMSVova”的应用程序。据估计,隐藏SMSVova间谍软件的虚假应用程序于2014年上传至Google Play,下载次数介于100万-500万。

本文转自d1net(转载)

网友评论

登录后评论
0/500
评论
晚来风急
+ 关注