Check Point 的行動威脅研究團隊發現一個新的 Android 變種惡意軟體，這個軟體會傳送付費詐騙簡訊給使用者，再利用使用者的帳戶收取服務費用，但這些全都是子虛烏有的服務，使用者更是渾然不知。根據 Google Play 的資料，目前至少有 50 款應用程式遭這個惡意軟體感染，而在遭感染的應用程式下架之前，下載次數已經介於 100 萬到 420 萬之間。

這個新種惡意軟體稱為「ExpensiveWall」，名稱源自於這款惡意軟體用於感染裝置的其中一款應用程式：「Lovely Wallpaper」。ExpensiveWall 是新的變種，原生惡意軟體是今年稍早在 Google Play 現蹤的惡意軟體。目前，這一系列惡意軟體的下載次數已經介於 590 萬到 2110 萬之間。

ExpensiveWall 與其他同系列惡意軟體的差別在於它經過「封裝」，這是一種先進的模糊化技術，惡意軟體開發者利用這種技術加密惡意程式碼，讓惡意軟體程式碼得以規避 Google Play 內建的防惡意軟體保護機制。

瞭解 SandBlast Mobile 如何防範 ExpensiveWall 之類的惡意軟體

Check Point 於 2017 年 8 月 7 日向 Google 告知 ExpensiveWall 一事，Google 隨即將遭到檢舉的樣本自其商店下架。不過，即便將遭到感染的應用程式下架，短短數天後，又有另一個樣本滲透到 Google Play 中，導致超過 5,000 台裝置遭到感染，四天後 Google 才將其下架。

在此強調，若應用程式已遭感染，且安裝時間是在應用程式商店下架該應用程式之前，使用者的裝置仍會繼續保留這些應用程式。因此，下載這些應用程式的使用者仍有風險，應手動將這些應用程式從裝置中移除。

ExpensiveWall 會進行哪些破壞？

這個惡意軟體會在受害者不知情的情況下註冊付費服務，然後傳送付費詐騙簡訊，利用使用者的帳戶收取子虛烏有的服務費用。

ExpensiveWall 有何危險性？

ExpensiveWall 目前只以利用受害者牟利為主，但很容易就能改造成另一款類似的惡意軟體，運用相同的基礎架構盜取照片、錄音檔，甚至還能竊取敏感資料，再將資料傳送到命令與控制 (C&C) 伺服器。這個惡意軟體能夠在幕後操作，使用者完全不會察覺任何非法活動，因此其最終轉化為間諜工具。

ExpensiveWall 的原理是什麼？

下載 ExpensiveWall 後，這個軟體會要求幾項一般權限，包括存取網際網路 (ExpensiveWall 能利用網際網路連線至 C&C 伺服器) 及簡訊權限 (以利在使用者渾然不知的情況下傳送付費簡訊，並利用使用者的身分註冊其他付費服務)。

對惡意軟體開放這些權限會造成傷害，但許多應用程式也會為了正當用途要求相同的權限。大多數使用者會不假思索便核准授權，如果所安裝的應用程式來自 Google Play 這類值得信任的來源，使用者更不會多加懷疑。

ExpensiveWall 包含一個能夠連接程式內操作與 JavaScript 程式碼的介面，這個 JavaScript 程式碼需透過名為 WebView 的執行，也就是說，在 WebView 執行的 JavaScript 能夠觸發應用程式內的活動。使用者安裝 ExpensiveWall 並核准必要權限後，ExpensiveWall 會將遭感染裝置的相關資料傳送至 C&C 伺服器，包括裝置位置和唯一識別碼，例如 MAC 及 IP 位址、IMSI 以及 IMEI。



每當使用者將裝置開機，或者裝置改變連線方式，應用程式就會連線至 C&C 伺服器並接收一個 URL，這個 URL 隨即會在內嵌的 WebView 中開啟。這個網頁包含一個 JavaScript 惡意程式碼，能夠利用 Javascript 介面 叫用程式內功能，例如訂購付費服務以及傳送簡訊。這個惡意軟體會在幕後點擊網頁中的連結，就像在其他情況下點擊廣告一樣，從而啟動 JavaScript 程式碼。

利用受害者的身分訂購付費服務

這個惡意軟體會竊取裝置的電話號碼，再利用電話號碼以受害者的身分訂購不同的付費服務，如下方範例所示：

傳送付費簡訊

在某些情況下，即使發生了簡訊活動，使用者也不見得會收到通知。有時候，惡意軟體則會向使用者顯示名為「繼續」的按鈕，使用者一旦按下這個按鈕，惡意軟體就會利用使用者的身分傳送付費簡訊。以下舉例說明含內嵌式 JavaScript 的 HTML 程式碼：

Google Play 中的 ExpensiveWall

使用者已經留意到惡意活動，參見下方其中一則評論：



如上圖所示，許多使用者懷疑 ExpensiveWall 是惡意應用程式。評論內容指出，許多社交網路會出現這個應用程式，Instagram 就是其中一個例子，或許這正是這個應用程式能夠迅速累積下載次數的原因。

有關完整技術報告請參閱 Check Point Research

分析不同的惡意軟體樣本後，Check Point 行動威脅研究人員相信，ExpensiveWall 已經散播到許多不同的應用程式 (作為名為「gtk」的 SDK)，開發者會將其內嵌在自己的應用程式中。目前含有這個惡意程式碼的應用程式共有三種版本。第一種是未封裝版本，發現的時間在今年稍早。第二種是本文探討的封裝版本，第三種則含有程式碼但不會主動使用程式碼。

使用者和各組織應特別注意，即使一開始只是個看似無害的廣告軟體，一旦惡意軟體發動攻擊，每一次都會對行動網路造成嚴重破壞。ExpensiveWall 是又一個例子，證明我們有必要立即保護所有行動裝置，防範先進威脅的攻擊。

如何得到完善保護

要防範像 ExpensiveWall 這樣的尖端惡意軟體，就必須採用先進的防護措施，要能並用靜態及動態的應用程式分析明辨並封鎖零時差惡意軟體。只有通過詳查惡意軟體在裝置上的運作模式，才能創造出阻止它的成功策略。

使用者和企業應對自己的行動裝置與網路中的其他任何部分一視同仁，並且運用市面上最好的網路安全解決方案做好防護措施。

Check Point 客戶有 SandBlast Mobile 為後盾，安全無虞，而網路則可交給 Check Point防殭屍網路刀鋒，這款產品能夠防範這種具有下列特徵標記的威脅：Trojan.AndroidOS.ExpensiveWall。