WAPDropper恶意软件：“为你好就悄悄帮你定制高级拨号服务”

一听到安全研究人员说发现某种新型恶意软件时，大家第一反应肯定是这些恶意软件是不是又做了什么坏事，入侵设备窃取信息或者感染设备干扰使用等。然而，近日安全研究人员发现的WAPDropper恶意软件却是不一样的存在。

昨日，安全研究人员警告说，目前发现一个针对手机用户的新的恶意软件家族，这些恶意软件让目标用户悄悄地订阅合法的高级拨号服务。

莫不是通信运营商的“卧底”吧？ 非也。

WAPDropper恶意软件是一种多功能病毒释放器，可以传播第二阶段的恶意软件，并使用机器学习解决方案来绕过图像的CAPTCHA挑战。

多功能病毒释放器

网络安全公司Check Point在最近的一次竞选活动中发现了WAPDropper，它可以让目标用户订阅马来西亚和泰国的电信提供商的高级拨号服务。

经过对恶意软件的分析显示，它具有两个模块，即多功能病毒释放器的功能模块，可以在受感染的设备上下载并执行其他恶意软件。

WAPDropper的其中一个模块负责从命令和控制服务器获取第二阶段的恶意软件，而另一个模块负责获取高级拨号程序组件。

Check Point移动研究经理Aviran Hazum 表示：“ WAPDropper确实是多功能的。目前，该恶意软件尚且还没更改高级拨号程序，但将来，此有效负载可能能更改攻击者想要的任何内容”

你以为这是恶意软件运营商“无声的爱”？非也

利用该恶意软件获利也不难，越多的用户订阅了高级服务，对于能识别或者和特殊号码合作的犯罪分子来说，就能获取更多的利益。

绕过图像验证码

根据Check Point的说法，WAPDropper的运营商使用一种通用策略，将恶意软件集成到非官方商店提供的应用程序中。

一旦进入受害设备，恶意软件便会到达命令和控制（C2）服务器以获取高级拨号程序。在一份技术报告中，研究人员说，最初的恶意软件活动始于收集有关受感染设备的详细信息，包括以下信息：

设备编号 MAC地址 订户编号 设备型号 所有已安装应用程序的列表 正在运行的服务列表 最高活动包名称 屏幕是否打开 是否为此应用启用了通知 这个应用程式可以绘制叠加层吗 可用的存储空间量 RAM和可用RAM的总量 非系统应用程序列表

然后开始启动Webview组件以加载高级服务的登录页面并完成订阅。在一个像素处，该组件在屏幕上几乎是不可见的。

Check Point表示，如果存在图像验证码挑战，WAPDropper使用来自一家名为“ Super Eagle”公司的服务，该公司提供基于机器学习技术的图像识别解决方案。

破解CAPTCHA测试已经有很长时间了，使用专门为此创建的代码让破解更轻而易举，同时该代码可免费在线获得。

绕过图像验证码，WAPDropper有两种选择：一种需要下载CAPTCHA图像并将其发送到服务器，另一种需要提取文件的DOM树并将其发送到Super Eagle公司服务器，该公司提供基于机器学习的图像识别服务。

根据Check Point的说法，WAPDropper是通过非官方的安卓商店分发的，因此，用户应尽量在官方的应用商店下载软件，避免感染恶意病毒。

参考来源

New WAPDropper malware stealthily subscribes you to premium services

精彩推荐