近年來，尤其在新冠疫情的影響下，人們對智能手機的依賴可謂與日俱增，應用內(nèi)付費也日漸成為使用手機的新常態(tài)。然而，誰都不想收到超乎預期的賬單，尤其是當我們不知道額外費用是如何產(chǎn)生的時候。設(shè)想一下，如果有人在您不知情或未經(jīng)您同意的情況下為您注冊了高資費電話服務，您會有何感受。除了“帳單休克”之外，如何追回損失則更讓人頭疼，畢竟向服務提供商證明您從未打算使用這些服務幾乎毫無可能？

這種騙局被稱為國際收入分成欺詐 （IRSF），牟利可觀，每年能夠為欺詐分子創(chuàng)造大約 40 到 60 億美元的收入 。 Check Point Research 最近發(fā)現(xiàn)了一個新的 IRSF 攻擊活動，該活動通過一種隱匿的新型移動惡意軟件變體，暗地為用戶注冊高資費服務。

這個名為 WAPDropper 的新型惡意軟件能夠?qū)⑵渌麗阂廛浖�下載到受感染設(shè)備上并執(zhí)行這些惡意軟件。這種多功能‘droper’會悄悄安裝到用戶手機上，然后會下載其他惡意軟件，這是 2020 年最常見的移動感染類型：根據(jù)我們的網(wǎng)絡(luò)攻擊趨勢： 2020 年中期報告 ，在 1 月至 7 月期間，這些‘dropper’木馬出現(xiàn)在了近一半的移動惡意軟件攻擊中，在全球范圍內(nèi)總共造成了數(shù)億例感染。

WAPDropper 包含兩個不同的模塊：dropper 模塊，該模塊負責下載第二階段惡意軟件；以及 premium dialer 模塊，該模塊為受害者訂閱由合法來源提供的高資費服務。在這里，合法來源多是指位于東南亞國家的電信服務提供商。

在這種及類似騙局中，黑客和高資費服務所有者相互勾結(jié)，甚至可能是同一群人。這就是一場數(shù)字游戲：使用高資費服務撥打的電話越多，這些服務背后的不法分子獲得的收入就越多。在這場騙局中，除不幸的受害者之外，其他人均為受益者。

感染鏈

感染始于用戶從非官方應用商店將受感染的應用下載到手機上。用戶安裝受感染的應用后，WAPDropper 就會聯(lián)系其命令和控制 （C＆C） 服務器，然后下載 premium dialer 模塊，該模塊會打開一個很小的 Web 視圖屏幕，并聯(lián)系合法電信公司提供的高資費服務。

一旦 WAPDropper 成功加載了宣傳高資費服務的電信公司的登錄頁面，它就會嘗試為用戶訂閱這些服務。在某些情況下，需要執(zhí)行 CAPTCHA 步驟才能完成訂閱。WAPDropper 可通過使用“ Super Eagle”的服務通過此測試。

圖 1 – 攻擊鏈流程圖

全力防御移動威脅

為了避免受到 WAPDropper 等惡意軟件的攻擊，用戶可以采取的關(guān)鍵措施之一是僅從官方應用商店（Apple 的 App Store 和 Google Play）下載應用。但是，該措施也并非萬無一失：2019 年，Google Play 中的六款應用中藏匿了 PreAMo ad－clicker 惡意軟件 ，這些應用在被下載 9，000 萬次后才被刪除。

強制執(zhí)行策略以阻止企業(yè)用戶從非官方來源下載應用過去對于組織來說是不可能的，但現(xiàn)在情況已然不同。借助Check Point SandBlast Mobile 的下載阻止功能，組織現(xiàn)在可以基于各種特征（例如應用來自的域 URL、文件擴展名、證書等）在 iOS 和 Android 設(shè)備上阻止應用下載。此功能可防止用戶從不受信任來源下載應用，從而自動降低安裝帶有惡意內(nèi)容的應用的風險。管理員還可以設(shè)置域白名單。

如果您懷疑自己的設(shè)備可能裝有受感染的應用，請執(zhí)行以下操作：

? 從設(shè)備上卸載受感染的應用

? 查看您的手機和信用卡賬單，確認是否已注冊任何訂閱，如果可能，取消這些訂閱

? 安裝安全解決方案以防范未來可能出現(xiàn)的感染

Check Point SandBlast Mobile 是 市場領(lǐng)先 的移動威脅防御 （MTD） 解決方案，能夠提供最廣泛的功能來幫助貴組織保護移動員工。 該解決方案 可有效防御所有移動攻擊向量，包括阻止下載惡意應用和內(nèi)嵌惡意軟件的應用。