一聽到安全研究人員說發(fā)現某種新型惡意軟件時，大家第一反應肯定是這些惡意軟件是不是又做了什么壞事，入侵設備竊取信息或者感染設備干擾使用等。然而，近日安全研究人員發(fā)現的WAPDropper惡意軟件卻是不一樣的存在。

　　昨日，安全研究人員警告說，目前發(fā)現一個針對手機用戶的新的惡意軟件家族，這些惡意軟件讓目標用戶悄悄地訂閱合法的高級撥號服務。

　　莫不是通信運營商的“臥底”吧？

　　非也。

　　WAPDropper惡意軟件是一種多功能病毒釋放器，可以傳播第二階段的惡意軟件，并使用機器學習解決方案來繞過圖像的CAPTCHA挑戰(zhàn)。

　　多功能病毒釋放器

　　網絡安全公司Check Point在最近的一次競選活動中發(fā)現了WAPDropper，它可以讓目標用戶訂閱馬來西亞和泰國的電信提供商的高級撥號服務。

　　經過對惡意軟件的分析顯示，它具有兩個模塊，即多功能病毒釋放器的功能模塊，可以在受感染的設備上下載并執(zhí)行其他惡意軟件。

　　WAPDropper的其中一個模塊負責從命令和控制服務器獲取第二階段的惡意軟件，而另一個模塊負責獲取高級撥號程序組件。

　　Check Point移動研究經理Aviran Hazum 表示：“ WAPDropper確實是多功能的。目前，該惡意軟件尚且還沒更改高級撥號程序，但將來，此有效負載可能能更改攻擊者想要的任何內容”

　　你以為這是惡意軟件運營商“無聲的愛”？非也

　　利用該惡意軟件獲利也不難，越多的用戶訂閱了高級服務，對于能識別或者和特殊號碼合作的犯罪分子來說，就能獲取更多的利益。

　　繞過圖像驗證碼

　　根據Check Point的說法，WAPDropper的運營商使用一種通用策略，將惡意軟件集成到非官方商店提供的應用程序中。

　　一旦進入受害設備，惡意軟件便會到達命令和控制（C2）服務器以獲取高級撥號程序。在一份技術報告中，研究人員說，最初的惡意軟件活動始于收集有關受感染設備的詳細信息，包括以下信息：

　　設備編號

　　MAC地址

　　訂戶編號

　　設備型號

　　所有已安裝應用程序的列表

　　正在運行的服務列表

　　最高活動包名稱

　　屏幕是否打開

　　是否為此應用啟用了通知

　　這個應用程式可以繪制疊加層嗎

　　可用的存儲空間量

　　RAM和可用RAM的總量

　　非系統應用程序列表

　　然后開始啟動Webview組件以加載高級服務的登錄頁面并完成訂閱。在一個像素處，該組件在屏幕上幾乎是不可見的。

　　Check Point表示，如果存在圖像驗證碼挑戰(zhàn)，WAPDropper使用來自一家名為“ Super Eagle”公司的服務，該公司提供基于機器學習技術的圖像識別解決方案。

　　破解CAPTCHA測試已經有很長時間了，使用專門為此創(chuàng)建的代碼讓破解更輕而易舉，同時該代碼可免費在線獲得。

　　繞過圖像驗證碼，WAPDropper有兩種選擇：一種需要下載CAPTCHA圖像并將其發(fā)送到服務器，另一種需要提取文件的DOM樹并將其發(fā)送到Super Eagle公司服務器，該公司提供基于機器學習的圖像識別服務。

　　根據Check Point的說法，WAPDropper是通過非官方的安卓商店分發(fā)的，因此，用戶應盡量在官方的應用商店下載軟件，避免感染惡意病毒。