前言

在“2017年第二季度IT威胁演进”研究报告中，我就发现在前20名移动恶意软件程序排名中，有几种常见的木马程序，都在使用WAP计费从用户窃取资金。WAP计费是一种移动支付形式，可以将费用直接从用户手机账单中扣除，所以攻击者不需要盗窃受害者的用户名和密码。这种扣费机制类似于付费短信（premium rate SMS messages），但不同的是，在WAP计费情况下，木马根本连任何短信也不会给受害者发送，它们只需点击网页上的WAP计费开始键即可。

什么是Premium Rate SMS？

Premium Rate SMS是一种付费短信模式，通过发送特殊的文本信息，用户自动扣费。例如通过手机短信捐款，办理付费业务等。

WAP计费是如何开始的？

从用户的角度来看，具有WAP计费的页面看起来像平常的网页。通常这些页面包含关于付款和点击按钮的完整信息，通过点击计费按钮，用户将被重定向到移动网络运营商服务器，该服务器可以显示附加信息，并通过点击另一个按钮来请求用户关于付款的最终决定。如果用户通过移动数据连接到互联网，移动网络运营商可以通过IP地址识别用户。移动网络运营商只有在成功识别并且点击按钮后才向用户收费。

从收费的角度来看，这种机制类似于付费短信服务，即收费是直接从用户的电话账单中扣除。然而，在WAP计费情况下，木马不需要发送任何短信，只需点击网页上的WAP计费开始键即可。

一般来说，这些WAP计费木马的工作原理都是一样的。首先，它们会关闭WiFi并开启移动互联网。它们这样做是因为WAP计费只能通过移动互联网进行。然后它们打开一个重定向到WAP计费页面的URL。通常，木马加载这些页面，并使用JavaScript（JS）文件点击计费按钮。之后，它们需要从移动网络运营商删除包含用户订阅的短信通知服务。

此外，它们中的一些还有能力向用户发送具有钓鱼性质的优惠短信。另外还有一些是利用设备管理员权限来将木马进行持久性地隐藏注入，以防被快速删除。

Clicker.AndroidOS.Ubsod木马

最近，卡巴斯基实验室的研究人员监测到一个具有WAP计费的木马，并将其定义为Trojan.AndroidOS.Boogr.gsh。基于机器学习算法，起初，卡巴斯基的检测系统将这些文件识别为恶意软件。但在经过详细的分析后，专家们才把它归类于Clicker.AndroidOS.Ubsod木马系列。

Clicker.AndroidOS.Ubsod木马打开URL的一部分代码

该木马十分精简且很小，它从其命令与控制服务器接收一些URL并打开它们。这些网址只能是广告网址，木马通过使用“View广告sActivity”等类名称，伪装成广告软件。但是，它可以删除包含文本ubscri的所有订阅消息。此外，它可以关闭WiFi并打开移动数据。木马必须这样做，因为WAP计费仅在通过移动互联网访问该页面时才起作用，而不是通过WiFi。

删除计费通知的消息的部分木马代码

在分析这些木马之后，专家们发现其中一些（MD5 A93D3C727B970082C682895FEA4DB77B）也包含不同的功能，比如，解密和加载（执行）其他可执行文件。此功能被检测为Dropper.AndroidOS.Ubsod木马，这些木马，除了通过WAP计费服务窃取资金外，还正在执行另一个木马，被检测为Banker.AndroidOS.Ubsod。

拥有Constants类的部分Banker.AndroidOS.Ubsod木马代码

Banker.AndroidOS.Ubsod木马的一个有趣的特点是它不仅在其他木马中被传播，而且还作为独立的木马（MD5 66FE79BEE25A92462A565FD7ED8A03B4）进行传播。它是一个功能强大的木马程序，可以下载和安装应用程序，覆盖其他应用程序的Windows（主要是窃取凭据或信用卡详细信息），显示广告，发送短信，窃取传入的消息，甚至在设备外壳（device shell）中执行命令。此外，它具有通过利用WAP计费服务窃取资金的功能，这意味着在某些情况下，被感染的用户同时有两个木马攻击同一目标。

一些Banker.AndroidOS.Ubsod木马的命令

根据KSN统计，这是所有WAP计费木马中最受欢迎的，其中截止2017年7月，有来自82个国家的8000多用户已经被感染。

Xafekopy

在过去几个月中已经变得流行的另一个恶意软件家族是Clicker.AndroidOS.Xafekopy木马。该木马使用JS文件点击包含WAP计费的网页上的按钮，以隐藏地方式将用户订阅到服务。最有趣的是这些JS文件看起来类似于Ztorg模块的JS文件，它们甚至有一些功能相同的名称。这个木马程序是由一些说中文的开发者（就像Ztorg）创建的，但主要是攻击印度（37％）和俄罗斯（32％）用户。

Clicker.AndroidOS.Xafekopy木马使用的JS文件的一部分点击按钮

这种木马通过广告伪装成有用的应用程序，主要是电池优化器。安装后，它的行为就像一个有用的应用程序，不过，它会加载一个恶意库。该库会解密并从安装包的assets文件夹加载文件。这些文件被解密后并从包含主要恶意功能的文件夹加载另一个文件。通过解密，就可以使用这些JS文件了，它可以绕过验证码表单，并点击WAP计费的网页。这样，它就从用户的移动帐户中窃取了资金，另外，它也可以点击一些广告页面，利用广告赚钱。

当用户看到一个电池优化器界面时，木马就已经开始运行了

具有主要功能（已解密）的文件包含WAP计费的URL，研究人员只能找到这个文件的两个不同的版本，一个版本包含印度的链接，另一个版本包含俄罗斯的链接。

它也可以发送短信（最有可能是付费短信）。它会窃取发送给用户的短信消息并删除其中一些信息（最有可能是计费通知消息）。

据KSN统计，几乎40％的感染用户在印度，但总的来看，截止2017年7月，总共有来自48个不同国家的5000多名用户收到攻击。

Autosus

Clicker.AndroidOS.Autosus.a木马的主要目的是通过使用WAP计费的劫持页面窃取用户的资金。该木马会通过JS文件和URL点击来到达目的，它还可以使用从命令与控制服务器收到的规则隐藏用户收到的短信。

Clicker.AndroidOS.Autosus.a木马的部分代码

启动后，木马将要求用户激活该木马的设备管理员权限。之后，该木马将从应用程序列表中删除其图标，因此用户将无法轻松监测到它。同时，木马将继续在后台工作，接收其命令与控制服务器命令来打开URL并点击按钮。

Trojan-Clicker.AndroidOS.Autosus.a代码可以处理C＆C的数据

截止2017年7月，该木马攻击了1400多名用户，其中大多数来自印度（38％），南非（31％）和埃及（15％）。

Podec

在谈论点击劫持WAP计费服务时，我们应该提到SMS.AndroidOS.Podec.a木马。该木马最初于2014年被发现，直到2015年之前都是黑客常用的短信木马。该木马具有很多功能，但其主要任务是通过向用户订阅WAP服务来窃取资金。这是第一个能够绕过验证码的移动木马。在接下来的几年里，它成为最受欢迎的流动木马。最后一次出现在2016年第二季度最受欢迎的20个流行木马程序中。

总结

在过去的几个月里，研究人员发现在不同国家WAP计费攻击的业务出现了大量增长。尽管具有这种功能的木马多年来一直都存在，但正如上文分析的那样，最近几个月，出现了几种新的类似木马，且受感染的用户数量有了显着的增长。此外，以前的WAP计费服务大都在俄罗斯，但现在已经在不同的国家（包括印度和南非）陆续出现了。甚至一些传统的木马也开始通过劫持WAP计费服务来窃取用户的钱。

不过，目前研究人员还无法找到为什么这么短时间有这么多网络犯罪分子同时决定使用WAP计费服务的原因。 但WAP计费攻击已不是什么新事物，在一些国家，它们已经存在了几年。