freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

WAPDropper恶意软件:“为你好就悄悄帮你定制高级拨号服务”
2020-11-25 16:00:46

一听到安全研究人员说发现某种新型恶意软件时,大家第一反应肯定是这些恶意软件是不是又做了什么坏事,入侵设备窃取信息或者感染设备干扰使用等。然而,近日安全研究人员发现的WAPDropper恶意软件却是不一样的存在。

昨日,安全研究人员警告说,目前发现一个针对手机用户的新的恶意软件家族,这些恶意软件让目标用户悄悄地订阅合法的高级拨号服务。

莫不是通信运营商的“卧底”吧?

非也。

WAPDropper恶意软件是一种多功能病毒释放器,可以传播第二阶段的恶意软件,并使用机器学习解决方案来绕过图像的CAPTCHA挑战。

多功能病毒释放器

网络安全公司Check Point在最近的一次竞选活动中发现了WAPDropper,它可以让目标用户订阅马来西亚和泰国的电信提供商的高级拨号服务。

经过对恶意软件的分析显示,它具有两个模块,即多功能病毒释放器的功能模块,可以在受感染的设备上下载并执行其他恶意软件。

WAPDropper的其中一个模块负责从命令和控制服务器获取第二阶段的恶意软件,而另一个模块负责获取高级拨号程序组件。

Check Point移动研究经理Aviran Hazum 表示:“ WAPDropper确实是多功能的。目前,该恶意软件尚且还没更改高级拨号程序,但将来,此有效负载可能能更改攻击者想要的任何内容”

你以为这是恶意软件运营商“无声的爱”?非也

利用该恶意软件获利也不难,越多的用户订阅了高级服务,对于能识别或者和特殊号码合作的犯罪分子来说,就能获取更多的利益。

绕过图像验证码

根据Check Point的说法,WAPDropper的运营商使用一种通用策略,将恶意软件集成到非官方商店提供的应用程序中。

一旦进入受害设备,恶意软件便会到达命令和控制(C2)服务器以获取高级拨号程序。在一份技术报告中,研究人员说,最初的恶意软件活动始于收集有关受感染设备的详细信息,包括以下信息:

设备编号

MAC地址

订户编号

设备型号

所有已安装应用程序的列表

正在运行的服务列表

最高活动包名称

屏幕是否打开

是否为此应用启用了通知

这个应用程式可以绘制叠加层吗

可用的存储空间量

RAM和可用RAM的总量

非系统应用程序列表

然后开始启动Webview组件以加载高级服务的登录页面并完成订阅。在一个像素处,该组件在屏幕上几乎是不可见的。

Check Point表示,如果存在图像验证码挑战,WAPDropper使用来自一家名为“ Super Eagle”公司的服务,该公司提供基于机器学习技术的图像识别解决方案。

破解CAPTCHA测试已经有很长时间了,使用专门为此创建的代码让破解更轻而易举,同时该代码可免费在线获得。

绕过图像验证码,WAPDropper有两种选择:一种需要下载CAPTCHA图像并将其发送到服务器,另一种需要提取文件的DOM树并将其发送到Super Eagle公司服务器,该公司提供基于机器学习的图像识别服务。

根据Check Point的说法,WAPDropper是通过非官方的安卓商店分发的,因此,用户应尽量在官方的应用商店下载软件,避免感染恶意病毒。

参考来源

New WAPDropper malware stealthily subscribes you to premium services

# 恶意软件 # WAPDropper
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录