惡意軟體「EXPENSIVEWALL」感染數百萬台安卓設備

E安全9月16日訊 Check Point發現一款Android惡意軟體「ExpensiveWall」，該名稱根據其用來傳播的應用程序中的其中一款命名，這款應用為牆紙應用「Lovely Wallpaper」。

ExpensiveWall包含Payload，能為受害者註冊付費在線服務，並從設備發送付費簡訊息。這款惡意軟體存在於Play Store 50款應用中（這些應用的下載量為100萬-420萬）。

惡意軟體「ExpensiveWall」作用過程

Check Point研究人員在分析中指出，旗下移動威脅研究團隊發現一款安卓惡意軟體新變種，會發送欺詐付費簡訊息，悄悄註冊虛假服務收取費用。

安全研究人員對這款惡意軟體並不陌生。McAfee的惡意軟體研究員今年1月率先在Play Store中發現此漏洞，但他們強調Payload大相徑庭。

ExpensiveWall開發人員加密並壓縮了惡意代碼，從而成功繞過谷歌的自動檢查程序。一旦受害者安裝這款牆紙應用，便會請求取得許可權訪問互聯網並接收簡訊，之後，ExpensiveWall向C&C伺服器發送設備信息，包括位置、MAC和IP地址、IMSI和IMEI號。反過來，這個C&C伺服器會向ExpensiveWall發送一個URL——在嵌入式WebView窗口中打開，並下載JavaScript代碼發送付費簡訊。

為何多個應用都存在這一問題？

Check Point的研究人員表示，惡意代碼作為軟體開發工具「GTK」傳播至不同的應用程序。

研究人員分析這款惡意軟體的不同樣本後認為，ExpensiveWall作為GTK（開發人員將GTK嵌入自己的應用程序中）傳播至不同的應用程序。包含該惡意代碼的應用有三個版本：

• Unpacked版本，今年早些時候被發現。

• Packed版本，即本文討論的版本。

• 包含代碼但不會主動使用。

5000台設備或受影響

Check Point 8月7號向谷歌報告了這一發現，谷歌立即從Google Play移除了這些惡意應用。然而，受影響的應用程序被移除之後，研究人員在Google Play中發現另一個樣本，而在移除之前，可能影響了超過5000台設備。

Check Point表示，雖然ExpensiveWall目前只用於牟利，但類似的惡意軟體能被輕易修改，利用同樣的基礎設施抓圖、錄音、甚至竊取敏感數據，並將這些數據發送至C&C伺服器。

不幸的是，此類事件頻繁發生。6月發起兩起這類事件，谷歌一個月內移除了被Ztorg木馬感染的惡意應用，而Ztorg能讓攻擊者獲取目標設備的Root許可權。

今年4月，數百萬更新軟體的用戶下載了一款隱藏間諜軟體「SMSVova」的應用程序。據估計，隱藏SMSVova間諜軟體的虛假應用程序於2014年上傳至Google Play，下載次數介於100萬-500萬。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！