ExpensiveWall：“包裝”惡意軟體現身 Google Play，危及使用者财産安全

Check Point 的移動威脅研究團隊發現了一款 Android

惡意軟體的新變體，該軟體會向使用者發送欺詐性收費 SMS 消息，并在其毫不知情的情況下向使用者賬号收取虛假服務費。根據 Google Play

資料，這款惡意軟體感染了至少 50 個應用程式，而受感染應用程式在被移除之前，已有 100 萬到 420 萬次的下載下傳量。

與其他同系列軟體相比，ExpensiveWall 的不同之處在于它經過“包裝”，這是惡意軟體開發人員用于加密惡意代碼的進階混淆技術，以此讓惡意代碼避開Google Play内置的反惡意軟體保護措施。 

Check Point 于 2017 年 8 月 7 日就 ExpensiveWall 一事通知 Google，Google

随即将所報告的樣本從其商店中删除。不過，即使受感染的應用程式已被移除，短短數天之内，另一個樣本滲透到 Google

Play，并在移除前的四天時間内感染了超過 5,000 個裝置。

需要強調的是，任何受感染應用程式，若從應用商店移除之前已被安裝，則會保留安裝于使用者裝置這一狀态。是以，下載下傳這些應用程式的使用者仍會處于危險之中，并且應手動将其從裝置中移除。

ExpensiveWall 會進行哪些破壞？

在使用者毫不知情的情況下，惡意軟體使受害者注冊收費服務，并發送欺詐性收費 SMS 消息，向使用者帳戶收取虛假服務費。

ExpensiveWall 有何危險性？

雖然 ExpensiveWall

目前僅被設計為從其受害者處擷取利潤，但類似的惡意軟體可以稍作修改，使用相同的基礎設施，用作盜取圖檔、錄制音頻甚至竊取敏感資料，并将資料發送到指令和控制

(C＆C) 伺服器。由于惡意軟體能夠悄無聲息地運作（所有這些非法活動都是在受害者毫不知情的情況下進行），其最終轉化為間諜工具。

圖 1. 其中一款包含 ExpensiveWall 的惡意應用程式。

ExpensiveWall 的運作方式是什麼？

ExpensiveWall 一旦下載下傳，便會請求幾個常見權限，包括網際網路通路（允許應用程式連接配接到其 C＆C 伺服器）以及 SMS 權限（使其能夠發送收費 SMS 消息，并在使用者不知情的情況下為使用者注冊其他付費服務。）

雖然此情境下，惡意軟體請求這些權限會造成危害，但許多應用程式也會以合法目的請求相同的權限。尤其是在從可信賴的來源（如 Google Play）安裝應用程式時，大多數使用者不經思索便授予這些權限。

ExpensiveWall包含連接配接應用内操作和JavaScript代碼的接口，該代碼在名為WebView的網站界面上運作，這意味着在WebView中運作的JavaScript可以觸發應用内活動。在安裝并授予其必要權限後，ExpensiveWall

将與受感染裝置相關的資料發送至其 C＆C 伺服器，包括其位置和唯一辨別符（如 MAC 和 IP 位址、IMSI 和 IMEI）。

圖 2：ExpensiveWall 惡意軟體使用的點選功能。

為受害者訂閱付費服務

惡意軟體擷取裝置的電話号碼，并使用其為使用者訂閱不同的付費服務，如下列示例：

圖3：用于擷取電話号碼的代碼。

圖 4：惡意軟體為使用者訂閱的收費服務。

發送收費 SMS 消息

在某些情況下，SMS 活動在不給使用者任何通知的情況下發生。而有時候，惡意軟體會向使用者顯示名為“繼續”的按鈕，一旦使用者點選該按鈕，惡意軟體就會以其名義發送收費 SMS 消息。以下是包含嵌入式 JavaScript 的 HTML 代碼的示例：

圖5：嵌入式 JavaScript，負責發送 SMS 消息。

Google Play 上的 ExpensiveWall

使用者已對惡意活動有所察覺，參見下方所示的一條評論：

圖 6：使用者對 ExpensiveWall 應用程式的評論。

如上圖所示，許多使用者懷疑 ExpensiveWall 是一個惡意應用程式。評論表明，該應用程式在多個社交網絡上推廣（包括 Instagram），這可能解釋了其如何擁有如此多的下載下傳量。

分析惡意軟體的不同樣本後，Check Point 移動威脅研究人員認為 ExpensiveWall已作為名為“gtk”的SDK

傳播到不同應用程式中，開發者會将其嵌入自己的應用程式中。包含惡意代碼的應用程式存在三個版本。第一個是今年早些時候發現的未包裝版本。第二個是本文讨論的包裝版本；第三個包含代碼但不會主動使用。

使用者群組織應該意識到，任何惡意軟體攻擊都會嚴重破壞其移動網絡，即便其貌似始源于無害的廣告軟體。ExpensiveWall 是又一個執行個體，說明我們需要即時保護所有移動裝置、防範進階威脅。

如何獲得完善保護

對于尖端惡意軟體（如 ExpensiveWall）需采取進階保護措施，能夠通過靜動兩态應用程式分析來識别和攔截零日惡意軟體。隻有通過在裝置上惡意軟體運作的情境下檢查惡意軟體，才能創造出阻止它的成功政策。

使用者和企業應像對待網絡的其他部分一樣來對待移動裝置，并通過最佳的網絡安全解決方案來保護裝置。

Check Point 客戶受到 SandBlast Mobile 的保護，而在網絡陣線還有 Check Point 防僵屍軟體刀片提供保障，以此防禦具有下列标簽的威脅：Trojan、AndroidOS、ExpensiveWall。

原文釋出時間為：2017年9月25日

本文作者：Elena Root、Andrey Polkovnichenko 和 Bohdan Melnykov

本文來自雲栖社群合作夥伴至頂網，了解相關資訊可以關注至頂網。