安全研究人员发现,目前有一种新的Android恶意软件正在广泛传播,主要针对东南亚的用户。该新恶意软件名为 WAPDropper ,目前通过第三方应用商店上托管的恶意应用进行传播。
Check Point表示,一旦恶意软件感染了用户,它就会开始为他们注册高级电话号码,从而为各种类型的服务收取高额费用。
最终结果是,所有被感染的用户每个月都会收到大笔电话账单,直到他们取消订阅保费号码或向其移动提供商报告问题为止。
这种策略被称为“ WAP欺诈”,在2000年代末和2010年代初非常流行,随着智能手机的兴起而逐渐消失,但 在2010年代后期卷土重来, 因为恶黑客意识到许多现代电话和电信公司仍然支持较早的WAP标准。
WAPDROPPER黑客组织最有可能位于东南亚
Check Point表示,基于此计划中使用的高级电话号码,黑客很可能位于泰国或马来西亚的某个人或与其合作。
报告说:“在这种计划和类似的计划中,黑客和溢价率数字的所有者正在合作,甚至可能是同一群人 。”“这简直是一场数字游戏:使用优质服务拨打的电话越多,为那些服务背后的人带来的收入就越多。每个人都赢了,除了不幸的骗局受害者。”
至于恶意软件本身,Check Point表示WAPDropper使用两个不同的模块进行操作。第一个模块被称为Dropper,第二个模块是执行实际WAP欺诈的组件。
第一个模块是恶意应用程序内部仅有的一个模块,主要是为了减少其中的任何恶意代码的大小和指纹。一旦将应用程序下载并安装到设备上,此模块将下载第二个组件并开始对受害者进行欺诈。
但是Check Point还希望引起对该特定恶意软件的警报迹象。Check Point移动研究经理Aviran Hazum对ZDNet表示: “目前,该恶意软件丢弃了高级拨号程序,但将来,有效载荷可能会更改为丢弃 。”“这种类型的多功能“滴管”会秘密安装到用户的手机上,然后再下载其他恶意软件,这已成为我们在2020年看到的主要移动感染趋势。这些“滴管”木马占所有移动恶意软件的近一半在2020年1月至2020年7月之间发生了袭击,全球感染总数达数亿。Hazum补充说:“预计这一趋势将继续下去。”
Check Point研究人员鼓励用户仅从官方Google Play商店下载应用。Check Point团队还告诉ZDNet,他们暂时在名为“ af ”,“ dolok ”,名为“ Email ”的电子邮件应用程序和名为“ Awesome Polar Fishing ”的儿童游戏中发现了WAPDropper恶意软件。建议从Play商店外部安装任何这些应用的用户尽快将其从其设备中删除。
