导语:Sonvpay行动是AsiaHitGroup网络犯罪分子诱骗用户订购收费服务的一个经典案例。网络犯罪分子不断调整策略,继续开发和分发新的计费欺诈,瞄准更多的国家并影响全球更多的用户。

McAfee Mobile Research团队发现了一个新的收费欺诈行动,2018年在Google Play上至少发布了15个应用。根据Android Security 2017 Year in Review.,电话欺诈(包括WAP billing 欺诈)是Google Play上的主流的有害应用。这项新的行动表明,网络犯罪分子不断寻找新的方式,利用官方商店(如Google Play)上的应用盗取受害者的钱。

AsiaHitGroup Gang至少从2016年底开始活跃,分发虚假安装应用程序Sonvpay.A,试图向泰国和马来西亚的至少20,000名受害者收取下载受欢迎应用程序副本的费用。一年后,2017年11月,Google Play上发现了一项新的活动,Sonvpay.B使用IP地址地理位置确认受害国的国籍,并将俄罗斯受害者添加到WAP收费欺诈中,从而增加从毫无警惕的用户身上窃取资金的可能性。

2018年1月,AsiaHitGroup团队利用重新打包的应用程序Sonvpay.C重返Google Play,该应用程序使用背景推送通知触发虚假更新对话框。当受害者开始“更新”时,他们会订阅高级付费服务。订阅主要通过WAP收费进行,不需要将SMS消息发送到付费电话号码。相反,只需要用户使用移动网络访问特定网站并自动点击按钮即可启动订阅流程。根据Google Play的大致安装次数,优质服务订阅的费用以及这些应用可用的日期,我们估计自1月份以来,AsiaHitGroup Gang大致赚取了$ 60,500- $ 145,000。

一、Google Play上的Sonvpay

McAfee Mobile Research团队最初在Google Play上发现了如下重新打包的Sonvpay应用程序,所有这些应用程序都在今年发布:

图1.在Google Play上找到的Sonvpay应用程序

我们于4月10日通知了Google,这些应用立即被删除了。几天后,应用程序“Despacito for Ringtone”再次在商店被发现,但很快被删除。自从2018年1月在Google Play上发布第一个应用程序Cut Ringtones 2018以来,我们共发现了15个应用程序,总安装次数超过50,000次。下表列出了15个恶意应用程序:

在下载时,用户可能注意到的唯一预警标志是该应用程序需要访问SMS消息。一旦安装并执行,应用程序的功能是正常的(QR code reader, ring tones等)。但是,在后台用户不知情的情况下,Sonvpay会侦听传入推送通知,其中包含执行移动收费欺诈的数据。

二、后台推送通知和假更新屏幕

Sonvpay采用oneignal推送通知服务获取信息启用订阅用户付费服务。为了在不显示通知的情况下在后台接收数据,Sonvpay采用了“onNotificationProcessing”方法并返回“true”以使通知保持静默:

图2.无声背景通知

接收到的数据与假更新通知一并执行WAP和SMS欺诈。重新封装的应用使用一段时间之后向用户显示假更新信息。这个假通知只有一个假按钮。如果用户滚动到结尾,则出现误导性短语“点击跳过同意”:

图3.伪更新通知

如果用户点击唯一的按钮,Sonvpay将完成其工作。但是,即使没有与此窗口进行交互,如果推送通知中的“price”值为空,Sonvpay仍会继续订阅付费服务:

图4.如果“price”值为空,则启动移动收费欺诈

三、从远程服务器下载动态Payload

从静默推送通知中获得的参数之一是请求执行移动收费欺诈功能的URL。一旦显示伪更新通知,Sonvpay会请求从另一个远程服务器下载该库:

图5. Sonvpay请求提供额外功能的库文件

新的APK文件被下载并存储在/sdcard/Android/<package_name>/cache/路径中,以便可以在运行时动态加载和执行。我们获取的执行移动收费欺诈的库仅针对哈萨克斯坦和马来西亚,但由于该库位于远程服务器中,并且可以动态加载,因此它可能随时更新以锁定更多国家或移动运营商。

四、WAP Billing与SMS欺骗

在哈萨克斯坦,Sonvpay会加载通过静默推送通知传递的特定网址,并使用JavaScript点击“激活”按钮来欺骗用户订阅付费服务:

图6.哈萨克斯坦的WAP收费欺诈

在马来西亚,恶意软件会创建一个新的WebView,将“Shortcode”和“Keyword”参数发送到特定的URL,促使用户订阅WAP付费服务:

图7.马来西亚的WAP收费欺诈

但是,在马来西亚,app需要拦截移动运营商通过SMS发送的PIN码。Sonvpay在重新打包的应用程序中实现了SMS拦截功能:

图8.处理截获的SMS消息以获取PIN

一旦获得PIN码,它就会通过网络请求发送给移动运营商,以自动确认订阅。如果哈萨克斯坦或马来西亚的参数不匹配,Sonvpay仍尝试通过将SMS消息发送至静默推送通知提供的付费号码来执行移动收费欺诈:

图9.将SMS消息发送到付费电话号码的函数

五、深入调查分析

在2018年攻击活动中进行模式匹配时,我们找到了应用程序DJ Mixer-Music Mixer。只要此应用程序执行,它会检查设备是否具有Internet连接。如果设备处于脱机状态,则应用程序将显示错误消息“请您连接到互联网以继续”并结束。如果设备处于在线状态,则应用程序会执行针对特定网址的web请求:

图10.对AsiaHitGroup Gang URL的Web请求

我们了解到开发者SHINY Team 2017创建的应用程序已于2017年9月在Google Play上发布;较早的Sonvpay变体是在2017年11月发现的。两种变体的主要行为几乎相同,包括将主图标和应用程序名称更改为下载管理器,以便向用户隐藏其身份。DJ Mixer可通过IP地址的地理位置识别受感染设备所属的国家并执行移动收费欺诈:

图11.使用IP地理定位针对特定国家/地区

在本案例中,通过地理定位服务仅针对三个国家:俄罗斯(RU),泰国(TH)和马来西亚(MY)。如果受感染设备的IP地址不是来自这些国家中的任何一个,则会出现一个对话框,声称该应用程序未处于活动状态,用户需要卸载并更新到最新版本。

如果是泰国或马来西亚,恶意应用程序会随机选择一个关键字来选择图像,向用户提供高级服务。在马来西亚,图片中包含服务条款的英文文本和“订阅”按钮来接受随机选择的付费服务:

图12.马来西亚IP显示的屏幕

在泰国,文本内容为泰文,并包含服务条款以及取消订阅和停止收费的说明:

图13.泰国IP显示的屏幕

在俄罗斯,用户不会看到任何图像。该应用欺骗性地通过WAP收费向用户收费,同时启用3G并禁用Wi-Fi:

图14.强制使用3G来启动WAP收费欺诈

从2016年末就出现了类似的冒充合法的流行app,通过短信欺诈要求用户支付费用。这些内容与2018年攻击行动中看到的文字相似,但标记为Term of user:

图15.虚假安装程序要求用户支付流行的合法应用程序

如果用户点击“否”,则应用按预期执行。但是,如果用户点击“是”,则应用程序通过发送具有特定关键字的SMS消息到短号码来向用户订阅付费服务。接下来,移动运营商通过SMS向设备发送PIN码;恶意软件会拦截PIN并通过网络请求返回以确认订阅。

一旦用户被欺诈,订阅了高级付费服务在官方应用程序商店下载免费应用程序的副本,则恶意软件显示对话“下载游戏…”并继续下载存储在第三方服务器上的另一APK。尽管我们从远程服务器下载的APK文件是合法流行应用程序的副本,但该文件可以随时更改为其他恶意软件。

与之前的攻击不同,我们没有找到证据证明这些伪装应用程序是通过Google Play分发的。我们相信他们是通过虚假的第三方市场发布的,用户在这些市场上寻找受欢迎的应用程序,从未知来源下载APK文件会被欺骗。2018年6月,ESET和Sophos发现这个变种的新版本伪装成流行的游戏Fortnite。通过YouTube视频诱导用户从特定URL下载假应用来传播。最近的这项行动表明,这种威胁背后的网络犯罪分子仍然在积极诱骗用户安装这些虚假应用程序。

六、行动之间的关联

所有这些攻击都依赖针对东南亚和中亚地区用户的收费欺诈app,并使用几乎相同的文字和图片来欺骗用户订阅付费服务。三个攻击行动的其他潜在关联表明,所有应用都可能来自同一个攻击组织。例如,所有攻击的应用都使用与调试日志标记相同的字符串:

图16.用作日志标记的“SonLv”字符串出现在所有的攻击中

在包和类名称以及使用通用框架(telpoo.frame)执行典型任务(如数据库,网络和接口支持)方面也存在显着的相似性:

图17.所有攻击中的常见包名和类名

最后,Google Play攻击中的app使用域名vilandsoft[.]com来检查更新。虚假安装程序活动中的应用程序也使用相同的域名来提供远程执行命令,例如action_sendsms:

图18.一个虚假安装程序检查action_sendsms命令

下述时间表标识了我们找到的该组织的攻击行动,诱骗用户安装应用、分发方式、主要payload和目标国家的策略:

图19. Sonvpay活动的时间表

七、总结

Sonvpay行动是AsiaHitGroup网络犯罪分子如何不断调整策略,诱骗用户订购收费服务并提高利润的一个例子。这些攻击从2016年底开始,用非常简单的虚假安装程序,向用户收取流行应用程序副本的费用。2017年底,Google Play应用滥用WAP收费服务,并使用IP地址地理位置定位特定国家/地区。 2018年,Google Play应用使用无声背景推送通知来触发显示伪造的更新消息并收集移动收费欺诈数据。我们预计网络犯罪分子将继续开发和分发新的收费欺诈,瞄准更多的国家并影响全球更多的用户。

网络犯罪分子总是追逐金钱,而从用户那里窃取金钱的最有效方法之一就是通过收费欺诈。例如,受害者可能不会注意到欺诈性收费,因为收费的信息直到月底才会出现在移动账单上。即使提前发现付款,大部分情况都是订阅收费而非一次性付款。因此,受害者需要找到一种方法来取消订阅付费服务。但如果订阅是悄无声息的发生,或者如果应用程序不提供该信息,这可能并不容易分别。此外,WAP收费欺诈不需要将SMS消息发送到付费号码使得更容易提交。网络犯罪分子只需要通过强制他们加载WAP收费服务页面并点击按钮来静默订阅用户。由于这些原因,我们预计移动收费欺诈将继续针对Android用户。

McAfee Mobile Security将此威胁检测为Android/Sonvpay。为了保护自己免受此类和类似威胁,请在移动设备上使用安全软件,在Google Play上检查应用的用户评论,并且不要在应用打开后立即接受或信任通过SMS消息要求付款功能的任何互动。

源链接

Hacking more

...