PCDIY!業界新聞
ExpensiveWall:危險的「封裝式」惡意軟體在 Google Play 現蹤,小心荷包大失血
(本資訊由廠商提供,不代表PCDIY!立場) 2017-09-26 12:32:24
Check Point 的行動威脅研究團隊發現一個新的 Android 變種惡意軟體,這個軟體會傳送付費詐騙簡訊給使用者,再利用使用者的帳戶收取服務費用,但這些全都是子虛烏有的服務,使用者更是渾然不知。根據 Google Play 的資料,目前至少有 50 款應用程式遭這個惡意軟體感染,而在遭感染的應用程式下架之前,下載次數已經介於 100 萬到 420 萬之間。
這個新種惡意軟體稱為「ExpensiveWall」,名稱源自於這款惡意軟體用於感染裝置的其中一款應用程式:「Lovely Wallpaper」。ExpensiveWall 是新的變種,原生惡意軟體是今年稍早在 Google Play 現蹤的惡意軟體。目前,這一系列惡意軟體的下載次數已經介於 590 萬到 2110 萬之間。
ExpensiveWall 與其他同系列惡意軟體的差別在於它經過「封裝」,這是一種先進的模糊化技術,惡意軟體開發者利用這種技術加密惡意程式碼,讓惡意軟體程式碼得以規避 Google Play 內建的防惡意軟體保護機制。
在此強調,若應用程式已遭感染,且安裝時間是在應用程式商店下架該應用程式之前,使用者的裝置仍會繼續保留這些應用程式。因此,下載這些應用程式的使用者仍有風險,應手動將這些應用程式從裝置中移除。
對惡意軟體開放這些權限會造成傷害,但許多應用程式也會為了正當用途要求相同的權限。大多數使用者會不假思索便核准授權,如果所安裝的應用程式來自 Google Play 這類值得信任的來源,使用者更不會多加懷疑。
ExpensiveWall 包含一個能夠連接程式內操作與 JavaScript 程式碼的介面,這個 JavaScript 程式碼需透過名為 WebView 的執行,也就是說,在 WebView 執行的 JavaScript 能夠觸發應用程式內的活動。使用者安裝 ExpensiveWall 並核准必要權限後,ExpensiveWall 會將遭感染裝置的相關資料傳送至 C&C 伺服器,包括裝置位置和唯一識別碼,例如 MAC 及 IP 位址、IMSI 以及 IMEI。
每當使用者將裝置開機,或者裝置改變連線方式,應用程式就會連線至 C&C 伺服器並接收一個 URL,這個 URL 隨即會在內嵌的 WebView 中開啟。這個網頁包含一個 JavaScript 惡意程式碼,能夠利用 Javascript 介面 叫用程式內功能,例如訂購付費服務以及傳送簡訊。這個惡意軟體會在幕後點擊網頁中的連結,就像在其他情況下點擊廣告一樣,從而啟動 JavaScript 程式碼。
如上圖所示,許多使用者懷疑 ExpensiveWall 是惡意應用程式。評論內容指出,許多社交網路會出現這個應用程式,Instagram 就是其中一個例子,或許這正是這個應用程式能夠迅速累積下載次數的原因。
使用者和各組織應特別注意,即使一開始只是個看似無害的廣告軟體,一旦惡意軟體發動攻擊,每一次都會對行動網路造成嚴重破壞。ExpensiveWall 是又一個例子,證明我們有必要立即保護所有行動裝置,防範先進威脅的攻擊。
使用者和企業應對自己的行動裝置與網路中的其他任何部分一視同仁,並且運用市面上最好的網路安全解決方案做好防護措施。
Check Point 客戶有 SandBlast Mobile 為後盾,安全無虞,而網路則可交給 Check Point防殭屍網路刀鋒,這款產品能夠防範這種具有下列特徵標記的威脅:Trojan.AndroidOS.ExpensiveWall。
這個新種惡意軟體稱為「ExpensiveWall」,名稱源自於這款惡意軟體用於感染裝置的其中一款應用程式:「Lovely Wallpaper」。ExpensiveWall 是新的變種,原生惡意軟體是今年稍早在 Google Play 現蹤的惡意軟體。目前,這一系列惡意軟體的下載次數已經介於 590 萬到 2110 萬之間。
ExpensiveWall 與其他同系列惡意軟體的差別在於它經過「封裝」,這是一種先進的模糊化技術,惡意軟體開發者利用這種技術加密惡意程式碼,讓惡意軟體程式碼得以規避 Google Play 內建的防惡意軟體保護機制。
瞭解 SandBlast Mobile 如何防範 ExpensiveWall 之類的惡意軟體
Check Point 於 2017 年 8 月 7 日向 Google 告知 ExpensiveWall 一事,Google 隨即將遭到檢舉的樣本自其商店下架。不過,即便將遭到感染的應用程式下架,短短數天後,又有另一個樣本滲透到 Google Play 中,導致超過 5,000 台裝置遭到感染,四天後 Google 才將其下架。在此強調,若應用程式已遭感染,且安裝時間是在應用程式商店下架該應用程式之前,使用者的裝置仍會繼續保留這些應用程式。因此,下載這些應用程式的使用者仍有風險,應手動將這些應用程式從裝置中移除。
ExpensiveWall 會進行哪些破壞?
這個惡意軟體會在受害者不知情的情況下註冊付費服務,然後傳送付費詐騙簡訊,利用使用者的帳戶收取子虛烏有的服務費用。ExpensiveWall 有何危險性?
ExpensiveWall 目前只以利用受害者牟利為主,但很容易就能改造成另一款類似的惡意軟體,運用相同的基礎架構盜取照片、錄音檔,甚至還能竊取敏感資料,再將資料傳送到命令與控制 (C&C) 伺服器。這個惡意軟體能夠在幕後操作,使用者完全不會察覺任何非法活動,因此其最終轉化為間諜工具。ExpensiveWall 的原理是什麼?
下載 ExpensiveWall 後,這個軟體會要求幾項一般權限,包括存取網際網路 (ExpensiveWall 能利用網際網路連線至 C&C 伺服器) 及簡訊權限 (以利在使用者渾然不知的情況下傳送付費簡訊,並利用使用者的身分註冊其他付費服務)。對惡意軟體開放這些權限會造成傷害,但許多應用程式也會為了正當用途要求相同的權限。大多數使用者會不假思索便核准授權,如果所安裝的應用程式來自 Google Play 這類值得信任的來源,使用者更不會多加懷疑。
ExpensiveWall 包含一個能夠連接程式內操作與 JavaScript 程式碼的介面,這個 JavaScript 程式碼需透過名為 WebView 的執行,也就是說,在 WebView 執行的 JavaScript 能夠觸發應用程式內的活動。使用者安裝 ExpensiveWall 並核准必要權限後,ExpensiveWall 會將遭感染裝置的相關資料傳送至 C&C 伺服器,包括裝置位置和唯一識別碼,例如 MAC 及 IP 位址、IMSI 以及 IMEI。
每當使用者將裝置開機,或者裝置改變連線方式,應用程式就會連線至 C&C 伺服器並接收一個 URL,這個 URL 隨即會在內嵌的 WebView 中開啟。這個網頁包含一個 JavaScript 惡意程式碼,能夠利用 Javascript 介面 叫用程式內功能,例如訂購付費服務以及傳送簡訊。這個惡意軟體會在幕後點擊網頁中的連結,就像在其他情況下點擊廣告一樣,從而啟動 JavaScript 程式碼。
利用受害者的身分訂購付費服務
這個惡意軟體會竊取裝置的電話號碼,再利用電話號碼以受害者的身分訂購不同的付費服務,如下方範例所示:傳送付費簡訊
在某些情況下,即使發生了簡訊活動,使用者也不見得會收到通知。有時候,惡意軟體則會向使用者顯示名為「繼續」的按鈕,使用者一旦按下這個按鈕,惡意軟體就會利用使用者的身分傳送付費簡訊。以下舉例說明含內嵌式 JavaScript 的 HTML 程式碼:Google Play 中的 ExpensiveWall
使用者已經留意到惡意活動,參見下方其中一則評論:如上圖所示,許多使用者懷疑 ExpensiveWall 是惡意應用程式。評論內容指出,許多社交網路會出現這個應用程式,Instagram 就是其中一個例子,或許這正是這個應用程式能夠迅速累積下載次數的原因。
有關完整技術報告請參閱 Check Point Research
分析不同的惡意軟體樣本後,Check Point 行動威脅研究人員相信,ExpensiveWall 已經散播到許多不同的應用程式 (作為名為「gtk」的 SDK),開發者會將其內嵌在自己的應用程式中。目前含有這個惡意程式碼的應用程式共有三種版本。第一種是未封裝版本,發現的時間在今年稍早。第二種是本文探討的封裝版本,第三種則含有程式碼但不會主動使用程式碼。使用者和各組織應特別注意,即使一開始只是個看似無害的廣告軟體,一旦惡意軟體發動攻擊,每一次都會對行動網路造成嚴重破壞。ExpensiveWall 是又一個例子,證明我們有必要立即保護所有行動裝置,防範先進威脅的攻擊。
如何得到完善保護
要防範像 ExpensiveWall 這樣的尖端惡意軟體,就必須採用先進的防護措施,要能並用靜態及動態的應用程式分析明辨並封鎖零時差惡意軟體。只有通過詳查惡意軟體在裝置上的運作模式,才能創造出阻止它的成功策略。使用者和企業應對自己的行動裝置與網路中的其他任何部分一視同仁,並且運用市面上最好的網路安全解決方案做好防護措施。
Check Point 客戶有 SandBlast Mobile 為後盾,安全無虞,而網路則可交給 Check Point防殭屍網路刀鋒,這款產品能夠防範這種具有下列特徵標記的威脅:Trojan.AndroidOS.ExpensiveWall。
- 發表您的看法
請勿張貼任何涉及冒名、人身攻擊、情緒謾罵、或內容涉及非法的言論。
請勿張貼任何帶有商業或宣傳、廣告用途的垃圾內容及連結。
請勿侵犯個人隱私權,將他人資料公開張貼在留言版內。
請勿重複留言(包括跨版重複留言)或發表與各文章主題無關的文章。
請勿張貼涉及未經證實或明顯傷害個人名譽或企業形象聲譽的文章。
您在留言版發表的內容需自負言論之法律責任,所有言論不代表PCDIY!雜誌立場,違反上述規定之留言,PCDIY!雜誌有權逕行刪除您的留言。
最近新增
- 廣穎將在Embedded World發表新款高耐用工業級SSD 助力AI邊緣運算發展
- 超大尺寸1000R曲面螢幕入門首選!Acer 34吋《Nitro ED343CUR H》上市開賣 UWQHD高解析無邊框設計、不閃頻100Hz 高刷新、 RGB酷炫燈條設計
- NVIDIA Hopper 在MLPerf的生成式人工智慧領域取得飛躍性進展 業界標準測試表明,基於NVIDIA Hopper的系統運行TensorRT-LLM軟體, 為生成式AI提供了世界上最強大的平台
- 地表最強Intel處理器!華碩工業主機板、邊緣AI電腦重磅出擊
- 宏正2023年營運穩健,EPS 4.73元、殖利率達5.3%展望45周年,上游供應鏈動能恢復及專業影音市場動能強勁 看好創作者經濟商機,全年可望再創營收佳績
- 行動新戰力!三星Galaxy Tab S6 Lite (2024)為智慧生活加分 S Pen好靈感速記、效能再提升、輕巧時尚隨「型」 創作學習娛樂一把罩
- Synology 公布 2024 全球資料管理大調查結果, 超過 7 成公司無法完全抵禦勒索軟體威脅
- 《暗黑破壞神IV》推出支援光線追蹤技術的升級版內容,《重裝前哨》上市即支援 DLSS 3,還有更多支援 DLSS 2 的新遊戲推出
- 筆電輕量化革命!世界最輕16吋翻轉觸控筆電LG gram Pro 2-in-1輕盈上市 極輕,不被看輕!2024 LG gram Pro 極致輕薄系列全新升級 輕薄高續航x首創gram Link x AI整合力 效能隱私娛樂全面提升
- 伊雲谷與亞東紀念醫院攜手 打造新世代混合雲醫療系統 成本下降35%
- 中國電信上海公司正式發布全球首個基於「50G-PON」的「10Gbps萬兆雲寬頻示範小區」
- GenAI(生成式AI)將成 COMPUTEX 2024 AI 解決方案主流趨勢 COMPUTEX/InnoVEX 2024 海內外買主及專業人士線上預先登錄全面啟動
最多人點閱
- Microsoft Azure Certified for IoT 快速打造智慧物聯網
- 美光與希捷宣布成立策略聯盟 兩大產業龍頭攜手 結合美光NAND型快閃記憶體與希捷的儲存技術
- SP廣穎電通將於德國2015 Embedded World展示全方位工控系列產品
- 電腦每天開!電費多驚人?世界地球日 用APP隨時關機
- 英特爾舉辦亞洲區創新高峰會 促進台灣與全亞洲產業體系的創新發展
- IEM於台北國際電玩展熱血開打,購買Intel Core i5/i7處理器系列+SSD 750即得限量好禮
- 深根台灣成就萬物相聯 2015 ARM®新竹辦公室擴大營運暨亞洲第一座CPU設計中心開幕
- AMD發表全球首款GPU硬體虛擬化產品線
- AMD推出全球首款業界領先的32GB記憶體伺服器GPU 瞄準高效能運算
- AMD推出全新Catalyst 15.7驅動程式 讓AMD APU及GPU充分展現Windows®10直覺化體驗
- PLEXTOR感恩節大回饋,M6V卡禮來雙重送!
- 希捷科技:2016年六大科技趨勢