近年来,尤其是在新冠疫情的影响下,人们对智能手机的依赖度与日俱增,app内支付已经逐渐成为手机使用的新常态。然而,没有人希望收到超出预期的账单,尤其是当我们不知道额外费用是如何产生的时候。想象一下,如果有人在您不知情或未同意的情况下为您注册付费电话服务,您会作何感想。抛开“账单冲击”,如何追回损失更是令人头疼,毕竟要向服务商证明你从未打算使用这些服务几乎是不可能的?这种骗局称为国际收入分成欺诈(IRSF),利润丰厚,足以为欺诈者创造大约4-60亿美元的年收入。CheckPointResearch最近发现了一项新的IRSF活动,该活动使用一种隐蔽的新移动恶意软件变体暗中为用户注册高级服务。这种名为WAPDropper的新恶意软件能够将其他恶意软件下载到受感染的设备上并执行。这种多功能的“植入程序”会悄悄安装到用户的手机上,然后下载其他恶意软件,是2020年最常见的移动感染类型:根据我们的网络攻击趋势:2020年年中报告,在1月至7月期间,这些“植入程序”当月,近一半的移动恶意软件攻击中都存在木马,在全球范围内共造成数亿次感染。WAPDropper由两个不同的模块组成:dropper模块,负责下载第二阶段的恶意软件;高级拨号器模块,为受害者订阅合法来源提供的高级服务。这里,合法来源主要是指位于东南亚国家的电信服务提供商。在这个和类似的骗局中,黑客和高级服务的所有者相互勾结,甚至可能与同一个人勾结。这是一场数字游戏:使用高价服务拨打的电话越多,这些服务背后的犯罪分子赚取的钱就越多。在这个骗局中,除了不幸的受害者之外,每个人都是受益者。感染链当用户从非官方应用程序商店将受感染的应用程序下载到他们的手机上时,感染就开始了。一旦用户安装了受感染的应用程序,WAPDropper就会联系其命令和控制(C&C)服务器,然后下载高级拨号器模块,该模块会打开一个微型Web视图屏幕并联系提供高级服务的合法电信公司。一旦WAPDropper成功加载电信公司广告高费率服务的登录页面,它就会尝试为用户订阅这些服务。在某些情况下,需要验证码步骤才能完成订阅。WAPDropper通过使用“超级鹰”的服务通过了这个测试。图1–攻击链流程图用户可以采取的避免WAPDropper等恶意软件的关键步骤之一是仅从官方应用商店(Apple的AppStore和GooglePlay)下载应用。但该措施并非万无一失:2019年,GooglePlay上的6个应用程序包含PreAMo广告点击器恶意软件,这些应用程序在被删除之前被下载了9000万次。执行策略以防止业务用户从非官方来源下载应用程序对于组织来说过去是不可能的,但现在不再是这样了。借助CheckPointSandBlastMobile的下载阻止功能,组织现在可以根据各种特征(例如应用程序来自的域URL、文件扩展名、证书等)阻止iOS和Android设备上的应用程序下载。此功能通过阻止用户从不受信任的来源下载应用程序,自动降低安装带有恶意内容的应用程序的风险。管理员还可以设置域白名单。如果您怀疑您的设备可能有受感染的应用程序:从您的设备卸载受感染的应用程序检查您的电话和信用卡账单,看看您是否注册了任何订阅,并在可能的情况下取消它们安全安装防止未来感染的解决方案TheCheckPointSandBlast移动威胁防御(MTD)解决方案提供了最广泛的功能集,可帮助您的组织保护您的移动员工。该解决方案可有效抵御所有移动攻击媒介,包括阻止恶意应用程序和嵌入恶意软件的应用程序的下载。
