Check Point 的移動威脅研究團隊發現了一款 Android 惡意軟件的新變體，該軟件會向用戶發送欺詐性收費 SMS 消息，并在其毫不知情的情況下向用戶賬號收取虛假服務費。根據 Google Play 數據，這款惡意軟件感染了至少 50 個應用程序，而受感染應用程序在被移除之前，已有 100 萬到 420 萬次的下載量。

這款新型惡意軟件被稱為“ExpensiveWall”，名稱源于其用于感染設備的一個應用程序“Lovely Wallpaper”。ExpensiveWall 是今年早些時候現身 Google Play 的惡意軟件新變種。整個惡意軟件系列現已有 590 萬到 2110 萬次的下載量。

[[204629]]

與其他同系列軟件相比，ExpensiveWall 的不同之處在于它經過“包裝”，這是惡意軟件開發人員用于加密惡意代碼的高級混淆技術，以此讓惡意代碼避開 Google Play 內置的反惡意軟件保護措施。

Check Point 于 2017 年 8 月 7 日就 ExpensiveWall 一事通知 Google，Google 隨即將所報告的樣本從其商店中刪除。不過，即使受感染的應用程序已被移除，短短數天之內，另一個樣本滲透到 Google Play，并在移除前的四天時間內感染了超過 5,000 個設備。

需要強調的是，任何受感染應用程序，若從應用商店移除之前已被安裝，則會保留安裝于用戶設備這一狀態。因此，下載這些應用程序的用戶仍會處于危險之中，并且應手動將其從設備中移除。

ExpensiveWall 會進行哪些破壞?

在用戶毫不知情的情況下，惡意軟件使受害者注冊收費服務，并發送欺詐性收費 SMS 消息，向用戶帳戶收取虛假服務費。

ExpensiveWall 有何危險性?

雖然 ExpensiveWall 目前僅被設計為從其受害者處獲取利潤，但類似的惡意軟件可以稍作修改，使用相同的基礎設施，用作盜取圖片、錄制音頻甚至竊取敏感數據，并將數據發送到命令和控制 (C&C) 服務器。由于惡意軟件能夠悄無聲息地運行(所有這些非法活動都是在受害者毫不知情的情況下進行)，其最終轉化為間諜工具。

圖 1. 其中一款包含 ExpensiveWall 的惡意應用程序。

ExpensiveWall 的運作方式是什么?

ExpensiveWall 一旦下載，便會請求幾個常見權限，包括互聯網訪問(允許應用程序連接到其 C&C 服務器)以及 SMS 權限(使其能夠發送收費 SMS 消息，并在用戶不知情的情況下為用戶注冊其他付費服務。)

雖然此情境下，惡意軟件請求這些權限會造成危害，但許多應用程序也會以合法目的請求相同的權限。尤其是在從可信賴的來源(如 Google Play)安裝應用程序時，大多數用戶不經思索便授予這些權限。

ExpensiveWall 包含連接應用內操作和 JavaScript 代碼的接口，該代碼在名為 WebView 的網站界面上運行，這意味著在 WebView 中運行的 JavaScript 可以觸發應用內活動。在安裝并授予其必要權限后，ExpensiveWall 將與受感染設備相關的數據發送至其 C&C 服務器，包括其位置和唯一標識符(如 MAC 和 IP 地址、IMSI 和 IMEI)。

圖 2：ExpensiveWall 惡意軟件使用的點擊功能。

每次設備開機或進行連接更改時，此應用程序都會連接到其 C&C 服務器，并接收一個 URL，該 URL 會在嵌入式 WebView 中打開。該頁面包含一個惡意的 JavaScript 代碼，可以使用 Javascript 接口調用應用內功能，例如訂閱收費服務和發送 SMS 消息。惡意軟件會悄無聲息地點擊網頁中的鏈接，從而啟動 JavaScript 代碼，與在其他情景中點擊廣告的方式如出一轍。

為受害者訂閱付費服務

惡意軟件獲取設備的電話號碼，并使用其為用戶訂閱不同的付費服務，如下列示例：

圖 3：用于獲取電話號碼的代碼。

圖 4：惡意軟件為用戶訂閱的收費服務。

發送收費 SMS 消息

在某些情況下，SMS 活動在不給用戶任何通知的情況下發生。而有時候，惡意軟件會向用戶顯示名為“繼續”的按鈕，一旦用戶點擊該按鈕，惡意軟件就會以其名義發送收費 SMS 消息。以下是包含嵌入式 JavaScript 的 HTML 代碼的示例：

圖 5：嵌入式 JavaScript，負責發送 SMS 消息。

Google Play 上的 ExpensiveWall

用戶已對惡意活動有所察覺，參見下方所示的一條評論：

圖 6：用戶對 ExpensiveWall 應用程序的評論。

如上圖所示，許多用戶懷疑 ExpensiveWall 是一個惡意應用程序。評論表明，該應用程序在多個社交網絡上推廣(包括 Instagram)，這可能解釋了其如何擁有如此多的下載量。

有關完整的技術報告，請參閱 Check Point Research。

分析惡意軟件的不同樣本后，Check Point 移動威脅研究人員認為 ExpensiveWall 已作為名為“gtk”的 SDK 傳播到不同應用程序中，開發者會將其嵌入自己的應用程序中。包含惡意代碼的應用程序存在三個版本。第一個是今年早些時候發現的未包裝版本。第二個是本文討論的包裝版本;第三個包含代碼但不會主動使用。

用戶和組織應該意識到，任何惡意軟件攻擊都會嚴重破壞其移動網絡，即便其貌似始源于無害的廣告軟件。ExpensiveWall 是又一個實例，說明我們需要即時保護所有移動設備、防范高級威脅。

如何獲得完善保護

對于尖端惡意軟件(如 ExpensiveWall)需采取高級保護措施，能夠通過靜動兩態應用程序分析來識別和攔截零日惡意軟件。只有通過在設備上惡意軟件運行的情境下檢查惡意軟件，才能創造出阻止它的成功策略。

用戶和企業應像對待網絡的其他部分一樣來對待移動設備，并通過最佳的網絡安全解決方案來保護設備。

Check Point 客戶受到 SandBlast Mobile 的保護，而在網絡陣線還有 Check Point 防僵尸軟件刀片提供保障，以此防御具有下列標簽的威脅：

Trojan、AndroidOS、ExpensiveWall。