Check Point:非官方下载应用新骗局,警惕 WAPDropper订阅高资费服务
近年来,尤其在新冠疫情的影响下,人们对智能手机的依赖可谓与日俱增,应用内付费也日渐成为使用手机的新常态。然而,谁都不想收到超乎预期的账单,尤其是当我们不知道额外费用是如何产生的时候。设想一下,如果有人在您不知情或未经您同意的情况下为您注册了高资费电话服务,您会有何感受。除了“帐单休克”之外,如何追回损失则更让人头疼,毕竟向服务提供商证明您从未打算使用这些服务几乎毫无可能?
这种骗局被称为国际收入分成欺诈 (IRSF),牟利可观,每年能够为欺诈分子创造大约 40 到 60 亿美元的收入。 Check Point Research 最近发现了一个新的 IRSF 攻击活动,该活动通过一种隐匿的新型移动恶意软件变体,暗地为用户注册高资费服务。
这个名为 WAPDropper 的新型恶意软件能够将其他恶意软件下载到受感染设备上并执行这些恶意软件。这种多功能‘droper’会悄悄安装到用户手机上,然后会下载其他恶意软件,这是 2020 年最常见的移动感染类型:根据我们的网络攻击趋势:2020 年中期报告,在 1 月至 7 月期间,这些‘dropper’木马出现在了近一半的移动恶意软件攻击中,在全球范围内总共造成了数亿例感染。
WAPDropper 包含两个不同的模块:dropper 模块,该模块负责下载第二阶段恶意软件;以及 premium dialer 模块,该模块为受害者订阅由合法来源提供的高资费服务。在这里,合法来源多是指位于东南亚国家的电信服务提供商。
在这种及类似骗局中,黑客和高资费服务所有者相互勾结,甚至可能是同一群人。这就是一场数字游戏:使用高资费服务拨打的电话越多,这些服务背后的不法分子获得的收入就越多。在这场骗局中,除不幸的受害者之外,其他人均为受益者。
感染链
感染始于用户从非官方应用商店将受感染的应用下载到手机上。用户安装受感染的应用后,WAPDropper 就会联系其命令和控制 (C&C) 服务器,然后下载 premium dialer 模块,该模块会打开一个很小的 Web 视图屏幕,并联系合法电信公司提供的高资费服务。
一旦 WAPDropper 成功加载了宣传高资费服务的电信公司的登录页面,它就会尝试为用户订阅这些服务。在某些情况下,需要执行 CAPTCHA 步骤才能完成订阅。WAPDropper 可通过使用“ Super Eagle”的服务通过此测试。
图 1 – 攻击链流程图
全力防御移动威胁
为了避免受到 WAPDropper 等恶意软件的攻击,用户可以采取的关键措施之一是仅从官方应用商店(Apple 的 App Store 和 Google Play)下载应用。但是,该措施也并非万无一失:2019 年,Google Play 中的六款应用中藏匿了 PreAMo ad-clicker 恶意软件,这些应用在被下载 9,000 万次后才被删除。
强制执行策略以阻止企业用户从非官方来源下载应用过去对于组织来说是不可能的,但现在情况已然不同。借助Check Point SandBlast Mobile 的下载阻止功能,组织现在可以基于各种特征(例如应用来自的域 URL、文件扩展名、证书等)在 iOS 和 Android 设备上阻止应用下载。此功能可防止用户从不受信任来源下载应用,从而自动降低安装带有恶意内容的应用的风险。管理员还可以设置域白名单。
如果您怀疑自己的设备可能装有受感染的应用,请执行以下操作:
- 从设备上卸载受感染的应用
- 查看您的手机和信用卡账单,确认是否已注册任何订阅,如果可能,取消这些订阅
- 安装安全解决方案以防范未来可能出现的感染
Check Point SandBlast Mobile 移动威胁防御 (MTD) 解决方案,能够提供最广泛的功能来帮助贵组织保护移动员工。该解决方案可有效防御所有移动攻击向量,包括阻止下载恶意应用和内嵌恶意软件的应用。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
近期勒索软件分析研究
勒索软件在不断地变化发展,攻击者会使用各种方式敲诈目标支付赎金,如今它不仅仅是加密数据,同时也会造成数据泄露。 许多公司组织坚信完善的反病毒保护方案可以防止被勒索软件攻击,但是勒索攻击仍然一次又一次成功。大多是情况下,攻击者会利用虚拟专用网中的一些已知漏洞,或者对暴露在互联网中的主机进行攻击,并不完全是利用恶意软件直接进行攻击。 Ragnar Locker Ragnar Locker在2020年上半年开始攻击大型组织,它具有很强的针对性,每一个样本都是为目标组织量身定做的。如果受害者拒绝付款,他们的数据将被公布在网上。攻击者声称,这笔钱是他们发现漏洞、为文件提供解密和为受害者提供OpSec培训的奖励。 根据拒绝付款的受害者名单,Ragnar Locker的主要目标是美国公司,行业类型各不相同。 Ragnar Locker 技术分析 研究人员选择最近发现的恶意软件样本进行分析:1195d0d18be9362fb8dd9e1738404c9d 启动时,Ragnar Locker会检查计算机区域设置。如果是列出的某个国家区,它将停止操作并退出。 不在上述列表中的国家,它将继续检查一下字符串:...
- 下一篇
澳大利亚是全球手机监控公司的“可能”客户
Circles 是一家网络监视公司,利用全球手机互联系统中的漏洞监控人群,但不会针对用户的设备发起攻击。该公司成立于 2008 年,2014 年被 Francisco Partners 收购,然后与 NSO Group 公司合并。Circles 以出售利用 SS7 系统漏洞而闻名,并声称仅将此技术出售给各个国家政府。近日,Citizen Lab 的安全研究人员绘制了 Circles 客户图谱。 通过 CheckPoint 为 Circles 制造的防火墙的网络指纹,Citizen Lab 发现了全球 50 个自治系统(ASN)的 252 个地址的相关设备。Citizen Lab 表示其在发现的 50 个 ASN 中一共确定了 25 个与政府有关的设备使用。 Circles 与有争议的间谍软件供应商 NSO Group 存在隶属关系,后者开发了 Pegasus 恶意软件,该恶意软件被认为是由沙·特·阿·拉·伯政府杀害美国记者 Jamal Khashoggi 时所用。 与 NSO Group 试图将恶意软件植入目标手机上不同,据称 Circles 利用了老化的 Signaling Syst...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- CentOS7安装Docker,走上虚拟化容器引擎之路
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS8编译安装MySQL8.0.19
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- CentOS关闭SELinux安全模块