近年來，尤其在新冠疫情的影響下，人們對(duì)智能手機(jī)的依賴可謂與日俱增，應(yīng)用內(nèi)付費(fèi)也日漸成為使用手機(jī)的新常態(tài)。然而，誰都不想收到超乎預(yù)期的賬單，尤其是當(dāng)我們不知道額外費(fèi)用是如何產(chǎn)生的時(shí)候。設(shè)想一下，如果有人在您不知情或未經(jīng)您同意的情況下為您注冊(cè)了高資費(fèi)電話服務(wù)，您會(huì)有何感受。除了“帳單休克”之外，如何追回?fù)p失則更讓人頭疼，畢竟向服務(wù)提供商證明您從未打算使用這些服務(wù)幾乎毫無可能？

這種騙局被稱為國(guó)際收入分成欺詐 （IRSF），牟利可觀，每年能夠?yàn)槠墼p分子創(chuàng)造大約 40 到 60 億美元的收入 。 Check Point Research 最近發(fā)現(xiàn)了一個(gè)新的 IRSF 攻擊活動(dòng)，該活動(dòng)通過一種隱匿的新型移動(dòng)惡意軟件變體，暗地為用戶注冊(cè)高資費(fèi)服務(wù)。

這個(gè)名為 WAPDropper 的新型惡意軟件能夠?qū)⑵渌麗阂廛浖�下載到受感染設(shè)備上并執(zhí)行這些惡意軟件。這種多功能‘droper’會(huì)悄悄安裝到用戶手機(jī)上，然后會(huì)下載其他惡意軟件，這是 2020 年最常見的移動(dòng)感染類型：根據(jù)我們的網(wǎng)絡(luò)攻擊趨勢(shì)： 2020 年中期報(bào)告 ，在 1 月至 7 月期間，這些‘dropper’木馬出現(xiàn)在了近一半的移動(dòng)惡意軟件攻擊中，在全球范圍內(nèi)總共造成了數(shù)億例感染。

WAPDropper 包含兩個(gè)不同的模塊：dropper 模塊，該模塊負(fù)責(zé)下載第二階段惡意軟件；以及 premium dialer 模塊，該模塊為受害者訂閱由合法來源提供的高資費(fèi)服務(wù)。在這里，合法來源多是指位于東南亞國(guó)家的電信服務(wù)提供商。

在這種及類似騙局中，黑客和高資費(fèi)服務(wù)所有者相互勾結(jié)，甚至可能是同一群人。這就是一場(chǎng)數(shù)字游戲：使用高資費(fèi)服務(wù)撥打的電話越多，這些服務(wù)背后的不法分子獲得的收入就越多。在這場(chǎng)騙局中，除不幸的受害者之外，其他人均為受益者。

感染鏈

感染始于用戶從非官方應(yīng)用商店將受感染的應(yīng)用下載到手機(jī)上。用戶安裝受感染的應(yīng)用后，WAPDropper 就會(huì)聯(lián)系其命令和控制 （C＆C） 服務(wù)器，然后下載 premium dialer 模塊，該模塊會(huì)打開一個(gè)很小的 Web 視圖屏幕，并聯(lián)系合法電信公司提供的高資費(fèi)服務(wù)。

一旦 WAPDropper 成功加載了宣傳高資費(fèi)服務(wù)的電信公司的登錄頁面，它就會(huì)嘗試為用戶訂閱這些服務(wù)。在某些情況下，需要執(zhí)行 CAPTCHA 步驟才能完成訂閱。WAPDropper 可通過使用“ Super Eagle”的服務(wù)通過此測(cè)試。

圖 1 – 攻擊鏈流程圖

全力防御移動(dòng)威脅

為了避免受到 WAPDropper 等惡意軟件的攻擊，用戶可以采取的關(guān)鍵措施之一是僅從官方應(yīng)用商店（Apple 的 App Store 和 Google Play）下載應(yīng)用。但是，該措施也并非萬無一失：2019 年，Google Play 中的六款應(yīng)用中藏匿了 PreAMo ad－clicker 惡意軟件 ，這些應(yīng)用在被下載 9，000 萬次后才被刪除。

強(qiáng)制執(zhí)行策略以阻止企業(yè)用戶從非官方來源下載應(yīng)用過去對(duì)于組織來說是不可能的，但現(xiàn)在情況已然不同。借助Check Point SandBlast Mobile 的下載阻止功能，組織現(xiàn)在可以基于各種特征（例如應(yīng)用來自的域 URL、文件擴(kuò)展名、證書等）在 iOS 和 Android 設(shè)備上阻止應(yīng)用下載。此功能可防止用戶從不受信任來源下載應(yīng)用，從而自動(dòng)降低安裝帶有惡意內(nèi)容的應(yīng)用的風(fēng)險(xiǎn)。管理員還可以設(shè)置域白名單。

如果您懷疑自己的設(shè)備可能裝有受感染的應(yīng)用，請(qǐng)執(zhí)行以下操作：

? 從設(shè)備上卸載受感染的應(yīng)用

? 查看您的手機(jī)和信用卡賬單，確認(rèn)是否已注冊(cè)任何訂閱，如果可能，取消這些訂閱

? 安裝安全解決方案以防范未來可能出現(xiàn)的感染

Check Point SandBlast Mobile 是 市場(chǎng)領(lǐng)先 的移動(dòng)威脅防御 （MTD） 解決方案，能夠提供最廣泛的功能來幫助貴組織保護(hù)移動(dòng)員工。 該解決方案 可有效防御所有移動(dòng)攻擊向量，包括阻止下載惡意應(yīng)用和內(nèi)嵌惡意軟件的應(yīng)用。