趨勢科技發現一個Android惡意軟體家族會未經使用者同意就下載應用程式和付費影音,讓受害者花上不必要的錢。它們都是正常的天氣預報軟體 – GoWeather的木馬化的山寨版本,被趨勢科技偵測為ANDROIDOS_TROJMMARKETPLAY。
經過研究,趨勢科技取得這惡意軟體家族的三個樣本。其中一個樣本(偵測為ANDROIDOS_TROJMMARKETPLAY.B)和其他樣本比起來,似乎是測試用的版本。我們發現許多測試資訊和代碼,留下讓我們可以找到幕後黑手的線索。
關閉付費彈出視窗,他下載影音等應用程式你買單
現在讓我們專注在可能是測試版本的樣本上。一旦安裝完畢,ANDROIDOS_TROJMMARKETPLAY.B會將行動網路的APN更改為CMWAP,讓行動裝置自動登錄到第三方應用程式商店 – M-Market。使用者第一次登入時會出現付費彈出視窗。惡意軟體會接著關閉此視窗,並打開M-Market上的頁面去尋找並下載付費影音或應用程式。這行為會讓受害者幫他人下載的應用程式和影音買單。
要求回覆認證碼簡訊遭攔截,驗證碼圖片遠端解碼,受害者渾然不知
通常使用者會接到M-Market所傳來的確認簡訊,並要求回覆認證碼。不過在此案例中,惡意軟體會攔截並回覆簡訊,所以受害者並不會察覺。至於驗證碼圖片,惡意軟體會下載圖檔,並且送到遠端伺服器來進行解碼。解碼伺服器的位置放在設定檔內 – yk-static.config。這檔案裡還包含其他設定,包括用來發送簡訊的電話號碼。網域名稱欄位是用來放解碼伺服器的位置。
趨勢科技還觀察到ANDROIDOS_TROJMMARKETPLAY.B有個顯著的不同。和其他同家族的惡意軟體樣本(偵測為ANDROIDOS_TROJMMARKETPLAY.A)比起來,這個測試版本具備自我更新的功能。它攔截並回覆驗證簡訊的方法也不同。 變種.B使用資料庫, 變種.A則使用檔案來儲存驗證碼。此外,變種.A含有尋找付費影音的程式碼。
