ExpensiveWall：“包装”恶意软件现身 Google Play，将危及您的财产安全

时间：08-21 来源：3721RD 点击：

Check Point 的移动威胁研究团队发现了一款 Android 恶意软件的新变体，该软件会向用户发送欺诈性收费 SMS 消息，并在其毫不知情的情况下向用户账号收取虚假服务费。根据 Google Play 数据，这款恶意软件感染了至少 50 个应用程序，而受感染应用程序在被移除之前，已有 100 万到 420 万次的下载量。

这款新型恶意软件被称为"ExpensiveWall"，名称源于其用于感染设备的一个应用程序"Lovely Wallpaper"。ExpensiveWall 是今年早些时候现身 Google Play 的恶意软件新变种。整个恶意软件系列现已有 590 万到 2110 万次的下载量。

与其他同系列软件相比，ExpensiveWall 的不同之处在于它经过"包装"，这是恶意软件开发人员用于加密恶意代码的高级混淆技术，以此让恶意代码避开 Google Play 内置的反恶意软件保护措施。

了解 SandBlast Mobile 如何防御诸如 ExpensiveWall 等恶意软件。

Check Point 于 2017 年 8 月 7 日就 ExpensiveWall 一事通知 Google，Google 随即将所报告的样本从其商店中删除。不过，即使受感染的应用程序已被移除，短短数天之内，另一个样本渗透到 Google Play，并在移除前的四天时间内感染了超过 5,000 个设备。

需要强调的是，任何受感染应用程序，若从应用商店移除之前已被安装，则会保留安装于用户设备这一状态。因此，下载这些应用程序的用户仍会处于危险之中，并且应手动将其从设备中移除。

ExpensiveWall 会进行哪些破坏？

在用户毫不知情的情况下，恶意软件使受害者注册收费服务，并发送欺诈性收费 SMS 消息，向用户帐户收取虚假服务费。

ExpensiveWall 有何危险性？

虽然 ExpensiveWall 目前仅被设计为从其受害者处获取利润，但类似的恶意软件可以稍作修改，使用相同的基础设施，用作盗取图片、录制音频甚至窃取敏感数据，并将数据发送到命令和控制 (C＆C) 服务器。由于恶意软件能够悄无声息地运行（所有这些非法活动都是在受害者毫不知情的情况下进行），其最终转化为间谍工具。

图 1. 其中一款包含 ExpensiveWall 的恶意应用程序。

ExpensiveWall 的运作方式是什么？

ExpensiveWall 一旦下载，便会请求几个常见权限，包括互联网访问（允许应用程序连接到其 C＆C 服务器）以及 SMS 权限（使其能够发送收费 SMS 消息，并在用户不知情的情况下为用户注册其他付费服务。）

虽然此情境下，恶意软件请求这些权限会造成危害，但许多应用程序也会以合法目的请求相同的权限。尤其是在从可信赖的来源（如 Google Play）安装应用程序时，大多数用户不经思索便授予这些权限。

ExpensiveWall 包含连接应用内操作和 JavaScript 代码的接口，该代码在名为 WebView 的网站界面上运行，这意味着在 WebView 中运行的 JavaScript 可以触发应用内活动。在安装并授予其必要权限后，ExpensiveWall 将与受感染设备相关的数据发送至其 C＆C 服务器，包括其位置和唯一标识符（如 MAC 和 IP 地址、IMSI 和 IMEI）。

图 2：ExpensiveWall 恶意软件使用的点击功能。

每次设备开机或进行连接更改时，此应用程序都会连接到其 C＆C 服务器，并接收一个 URL，该 URL 会在嵌入式 WebView 中打开。该页面包含一个恶意的 JavaScript 代码，可以使用 Javascript 接口调用应用内功能，例如订阅收费服务和发送 SMS 消息。恶意软件会悄无声息地点击网页中的链接，从而启动 JavaScript 代码，与在其他情景中点击广告的方式如出一辙。

为受害者订阅付费服务

恶意软件获取设备的电话号码，并使用其为用户订阅不同的付费服务，如下列示例：