一聽到安全研究人員說發(fā)現(xiàn)某種新型惡意軟件時，大家第一反應(yīng)肯定是這些惡意軟件是不是又做了什么壞事，入侵設(shè)備竊取信息或者感染設(shè)備干擾使用等。然而，近日安全研究人員發(fā)現(xiàn)的WAPDropper惡意軟件卻是不一樣的存在。

　　昨日，安全研究人員警告說，目前發(fā)現(xiàn)一個針對手機用戶的新的惡意軟件家族，這些惡意軟件讓目標(biāo)用戶悄悄地訂閱合法的高級撥號服務(wù)。

　　莫不是通信運營商的“臥底”吧？

　　非也。

　　WAPDropper惡意軟件是一種多功能病毒釋放器，可以傳播第二階段的惡意軟件，并使用機器學(xué)習(xí)解決方案來繞過圖像的CAPTCHA挑戰(zhàn)。

　　多功能病毒釋放器

　　網(wǎng)絡(luò)安全公司Check Point在最近的一次競選活動中發(fā)現(xiàn)了WAPDropper，它可以讓目標(biāo)用戶訂閱馬來西亞和泰國的電信提供商的高級撥號服務(wù)。

　　經(jīng)過對惡意軟件的分析顯示，它具有兩個模塊，即多功能病毒釋放器的功能模塊，可以在受感染的設(shè)備上下載并執(zhí)行其他惡意軟件。

　　WAPDropper的其中一個模塊負(fù)責(zé)從命令和控制服務(wù)器獲取第二階段的惡意軟件，而另一個模塊負(fù)責(zé)獲取高級撥號程序組件。

　　Check Point移動研究經(jīng)理Aviran Hazum 表示：“ WAPDropper確實是多功能的。目前，該惡意軟件尚且還沒更改高級撥號程序，但將來，此有效負(fù)載可能能更改攻擊者想要的任何內(nèi)容”

　　你以為這是惡意軟件運營商“無聲的愛”？非也

　　利用該惡意軟件獲利也不難，越多的用戶訂閱了高級服務(wù)，對于能識別或者和特殊號碼合作的犯罪分子來說，就能獲取更多的利益。

　　繞過圖像驗證碼

　　根據(jù)Check Point的說法，WAPDropper的運營商使用一種通用策略，將惡意軟件集成到非官方商店提供的應(yīng)用程序中。

　　一旦進入受害設(shè)備，惡意軟件便會到達(dá)命令和控制（C2）服務(wù)器以獲取高級撥號程序。在一份技術(shù)報告中，研究人員說，最初的惡意軟件活動始于收集有關(guān)受感染設(shè)備的詳細(xì)信息，包括以下信息：

　　設(shè)備編號

　　MAC地址

　　訂戶編號

　　設(shè)備型號

　　所有已安裝應(yīng)用程序的列表

　　正在運行的服務(wù)列表

　　最高活動包名稱

　　屏幕是否打開

　　是否為此應(yīng)用啟用了通知

　　這個應(yīng)用程式可以繪制疊加層嗎

　　可用的存儲空間量

　　RAM和可用RAM的總量

　　非系統(tǒng)應(yīng)用程序列表

　　然后開始啟動Webview組件以加載高級服務(wù)的登錄頁面并完成訂閱。在一個像素處，該組件在屏幕上幾乎是不可見的。

　　Check Point表示，如果存在圖像驗證碼挑戰(zhàn)，WAPDropper使用來自一家名為“ Super Eagle”公司的服務(wù)，該公司提供基于機器學(xué)習(xí)技術(shù)的圖像識別解決方案。

　　破解CAPTCHA測試已經(jīng)有很長時間了，使用專門為此創(chuàng)建的代碼讓破解更輕而易舉，同時該代碼可免費在線獲得。

　　繞過圖像驗證碼，WAPDropper有兩種選擇：一種需要下載CAPTCHA圖像并將其發(fā)送到服務(wù)器，另一種需要提取文件的DOM樹并將其發(fā)送到Super Eagle公司服務(wù)器，該公司提供基于機器學(xué)習(xí)的圖像識別服務(wù)。

　　根據(jù)Check Point的說法，WAPDropper是通過非官方的安卓商店分發(fā)的，因此，用戶應(yīng)盡量在官方的應(yīng)用商店下載軟件，避免感染惡意病毒。