Noi troieni fură banii abonaților de telefonie mobilă prin intermediul serviciului de facturare mobilă

- Adrian Ungureanu
224

Cercetătorii Kaspersky Lab au descoperit o creștere neobișnuită a numărului de troieni de tip “clicker”, pentru dispozitive mobile, care fură bani de la utilizatorii de dispozitive Android, prin intermediul serviciului de facturare WAP – un tip de plată mobilă directă, făcută fără vreo înregistrare suplimentară.

Această tendință nu mai fusese observată o perioadă, dar în T2 2017 a devenit surprinzător de răspândită, mii de utilizatori din diferite țări fiind afectați, mai ales în India și Rusia.

Facturarea Wireless Application Protocol (WAP) este folosită de mai mulți ani de anumiți operatori de rețele mobile pentru servicii plătite și abonamente. Pentru această formă de plată mobilă, costurile se aplică direct pe factura utilizatorului de telefon mobil, fără să fie nevoie de card bancar sau de înregistrare. Un utilizator este, de obicei, redirecționat, către o altă pagină, prin intermediul unui buton, și i se oferă o serie de servicii suplimentare.

Dacă dă click, utilizatorul activează un abonament, iar contul său este debitat. În cadrul acestui scenariu, toate acțiunile pot fi implementate ușor de un troian, care acționează în secret și dă chiar el click pe pagini. În plus, o simplă înregistrare a domeniilor în sistemul de facturare al operatorului de telefonie mobilă, le permite infractorilor să-și conecteze relativ ușor site-ul lor la serviciul de facturare WAP. Prin urmare, banii din contul unei victime ajung direct în conturile hackerilor.

Kaspersky Lab a detectat mai multe familii cunoscute de troieni, în Top 20 programe malware mobile, care folosesc serviciul de facturare WAP. Pentru a deveni active prin intermediul Internetului mobil, toate versiunile de troieni au reușit să închidă Wi-Fi-ul și să pornească serviciul de date mobile.

Cel mai răspândit troian, aparținând familiei malware Trojan-Clicker.AndroidOS.Ubsod, primește URL-uri de la serverul de comandă și control și le deschide. Potrivit statisticilor KSN (Kaspersky Security Network), acest troian a infectat aproape 8000 de utilizatori din 82 de țări, în iulie 2017.

Un alt malware mobil folosit în acest scenariu de furt folosește fișiere Java Script pentru a da click pe butoane cu facturare WAP. De exemplu, troianul Xafekopy, care este distribuit prin intermediul reclamelor și se deghizează în aplicații utile, precum optimizatoare de baterie, poate să-i înscrie pe utilizatori la diferite servicii și să le fure banii.

Experții Kaspersky Lab au descoperit, de asemenea, că are câteva similitudini cu programul malware Ztorg, anunțat recent de Kaspersky Lab. Ca și Ztorg, Xafekopy provine dintr-o zonă vorbitoare de limbă chineză.

Unele familii de troieni, cum sunt Autosus și Podec, reușesc să obțină drepturi de administrator, ceea ce îngreunează ștergerea lor. În plus, folosind fișiere JS, troienii pot păcăli verificarea prin CAPTCHA. Un exemplu este troianul Podec, care este activ din 2015. Conform cercetării Kaspersky Lab, acesta a fost al treilea cel mai folosit troian în iunie 2017, dintre cei care folosesc facturile WAP, și este încă activ, în principal în Rusia.

Pentru a preveni orice acțiuni rău intenționate și a nu se expune riscurilor, Kaspersky Lab le recomandă utilizatorilor să fie atenți la aplicațiile instalate pe dispozitivele lor, să le evite pe cele din surse necunoscute și să își mențină dispozitivul actualizat cu cea mai nouă variantă a tehnologiei de protecție.

Kaspersky Lab recomandă, de asemenea, ca utilizatorii să instaleze o soluție de securitate eficientă pe dispozitiv, cum este Kaspersky Mobile Antivirus: Web Security & AppLock, care contribuie la protejarea informațiilor confidențiale ale utilizatorilor de amenințările existente pe dispozitivele mobile cu Android.