近年來，尤其在新冠疫情的影響下，人們對智能手機的依賴可謂與日俱增，應用內付費也日漸成為使用手機的新常態。然而，誰都不想收到超乎預期的賬單，尤其是當我們不知道額外費用是如何產生的時候。設想一下，如果有人在您不知情或未經您同意的情況下為您注冊了高資費電話服務，您會有何感受。除了“帳單休克”之外，如何追回損失則更讓人頭疼，畢竟向服務提供商證明您從未打算使用這些服務幾乎毫無可能?

這種騙局被稱為國際收入分成欺詐 (IRSF)，牟利可觀，每年能夠為欺詐分子創造大約 40 到 60 億美元的收入。 Check Point Research 最近發現了一個新的 IRSF 攻擊活動，該活動通過一種隱匿的新型移動惡意軟件變體，暗地為用戶注冊高資費服務。

這個名為 WAPDropper 的新型惡意軟件能夠將其他惡意軟件下載到受感染設備上并執行這些惡意軟件。這種多功能‘droper’會悄悄安裝到用戶手機上，然后會下載其他惡意軟件，這是 2020 年最常見的移動感染類型：根據我們的網絡攻擊趨勢：2020 年中期報告，在 1 月至 7 月期間，這些‘dropper’木馬出現在了近一半的移動惡意軟件攻擊中，在全球范圍內總共造成了數億例感染。

WAPDropper 包含兩個不同的模塊：dropper 模塊，該模塊負責下載第二階段惡意軟件;以及 premium dialer 模塊，該模塊為受害者訂閱由合法來源提供的高資費服務。在這里，合法來源多是指位于東南亞國家的電信服務提供商。

在這種及類似騙局中，黑客和高資費服務所有者相互勾結，甚至可能是同一群人。這就是一場數字游戲：使用高資費服務撥打的電話越多，這些服務背后的不法分子獲得的收入就越多。在這場騙局中，除不幸的受害者之外，其他人均為受益者。

感染鏈

感染始于用戶從非官方應用商店將受感染的應用下載到手機上。用戶安裝受感染的應用后，WAPDropper 就會聯系其命令和控制 (C&C) 服務器，然后下載 premium dialer 模塊，該模塊會打開一個很小的 Web 視圖屏幕，并聯系合法電信公司提供的高資費服務。

一旦 WAPDropper 成功加載了宣傳高資費服務的電信公司的登錄頁面，它就會嘗試為用戶訂閱這些服務。在某些情況下，需要執行 CAPTCHA 步驟才能完成訂閱。WAPDropper 可通過使用“ Super Eagle”的服務通過此測試。

圖 1 – 攻擊鏈流程圖

全力防御移動威脅

為了避免受到 WAPDropper 等惡意軟件的攻擊，用戶可以采取的關鍵措施之一是僅從官方應用商店(Apple 的 App Store 和 Google Play)下載應用。但是，該措施也并非萬無一失：2019 年，Google Play 中的六款應用中藏匿了 PreAMo ad-clicker 惡意軟件，這些應用在被下載 9,000 萬次后才被刪除。

強制執行策略以阻止企業用戶從非官方來源下載應用過去對于組織來說是不可能的，但現在情況已然不同。借助Check Point SandBlast Mobile 的下載阻止功能，組織現在可以基于各種特征(例如應用來自的域 URL、文件擴展名、證書等)在 iOS 和 Android 設備上阻止應用下載。此功能可防止用戶從不受信任來源下載應用，從而自動降低安裝帶有惡意內容的應用的風險。管理員還可以設置域白名單。

如果您懷疑自己的設備可能裝有受感染的應用，請執行以下操作：

• 從設備上卸載受感染的應用
• 查看您的手機和信用卡賬單，確認是否已注冊任何訂閱，如果可能，取消這些訂閱
• 安裝安全解決方案以防范未來可能出現的感染

Check Point SandBlast Mobile 移動威脅防御 (MTD) 解決方案，能夠提供最廣泛的功能來幫助貴組織保護移動員工。該解決方案可有效防御所有移動攻擊向量，包括阻止下載惡意應用和內嵌惡意軟件的應用。