新闻快讯
< >

恶意软件“EXPENSIVEWALL”感染数百万台安卓设备

E安全9月16日讯 Check Point发现一款Android恶意软件“ExpensiveWall”,该名称根据其用来传播的应用程序中的其中一款命名,这款应用为墙纸应用“Lovely Wallpaper”。

ExpensiveWall包含Payload,能为受害者注册付费在线服务,并从设备发送付费短信息。这款恶意软件存在于Play Store 50款应用中(这些应用的下载量为100万-420万)。

恶意软件“ExpensiveWall”作用过程

Check Point研究人员在分析中指出,旗下移动威胁研究团队发现一款安卓恶意软件新变种,会发送欺诈付费短信息,悄悄注册虚假服务收取费用。

恶意软件“EXPENSIVEWALL”感染数百万台安卓设备-E安全

安全研究人员对这款恶意软件并不陌生。McAfee的恶意软件研究员今年1月率先在Play Store中发现此漏洞,但他们强调Payload大相径庭。

ExpensiveWall开发人员加密并压缩了恶意代码,从而成功绕过谷歌的自动检查程序。一旦受害者安装这款墙纸应用,便会请求取得权限访问互联网并接收短信,之后,ExpensiveWall向C&C服务器发送设备信息,包括位置、MAC和IP地址、IMSI和IMEI号。反过来,这个C&C服务器会向ExpensiveWall发送一个URL——在嵌入式WebView窗口中打开,并下载JavaScript代码发送付费短信。

为何多个应用都存在这一问题?

Check Point的研究人员表示,恶意代码作为软件开发工具“GTK”传播至不同的应用程序。

研究人员分析这款恶意软件的不同样本后认为,ExpensiveWall作为GTK(开发人员将GTK嵌入自己的应用程序中)传播至不同的应用程序。包含该恶意代码的应用有三个版本:

  • Unpacked版本,今年早些时候被发现。

  • Packed版本,即本文讨论的版本。

  • 包含代码但不会主动使用。

5000台设备或受影响

Check Point 8月7号向谷歌报告了这一发现,谷歌立即从Google Play移除了这些恶意应用。然而,受影响的应用程序被移除之后,研究人员在Google Play中发现另一个样本,而在移除之前,可能影响了超过5000台设备。

恶意软件“EXPENSIVEWALL”感染数百万台安卓设备-E安全

Check Point表示,虽然ExpensiveWall目前只用于牟利,但类似的恶意软件能被轻易修改,利用同样的基础设施抓图、录音、甚至窃取敏感数据,并将这些数据发送至C&C服务器。

不幸的是,此类事件频繁发生。6月发起两起这类事件,谷歌一个月内移除了被Ztorg木马感染的恶意应用,而Ztorg能让攻击者获取目标设备的Root权限。

今年4月,数百万更新软件的用户下载了一款隐藏间谍软件“SMSVova”的应用程序。据估计,隐藏SMSVova间谍软件的虚假应用程序于2014年上传至Google Play,下载次数介于100万-500万。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。