Cercetatorii Kaspersky Lab au descoperit o crestere neobisnuita a numarului de troieni de tip “clicker”, pentru dispozitive mobile, care fura bani de la utilizatorii de dispozitive Android, prin intermediul serviciului de facturare WAP – un tip de plata mobila directa, facuta fara vreo inregistrare suplimentara. Aceasta tendinta nu mai fusese observata o perioada, dar in T2 2017 a devenit surprinzator de raspandita, mii de utilizatori din diferite tari fiind afectati, mai ales in India si Rusia.

Facturarea Wireless Application Protocol (WAP) este folosita de mai multi ani de anumiti operatori de retele mobile pentru servicii platite si abonamente. Pentru aceasta forma de plata mobila, costurile se aplica direct pe factura utilizatorului de telefon mobil, fara sa fie nevoie de card bancar sau de inregistrare. Un utilizator este, de obicei, redirectionat, catre o alta pagina, prin intermediul unui buton, si i se ofera o serie de servicii suplimentare. Daca da click, utilizatorul activeaza un abonament, iar contul sau este debitat. In cadrul acestui scenariu, toate actiunile pot fi implementate usor de un troian, care actioneaza in secret si da chiar el click pe pagini. In plus, o simpla inregistrare a domeniilor in sistemul de facturare al operatorului de telefonie mobila, le permite infractorilor sa-si conecteze relativ usor site-ul lor la serviciul de facturare WAP. Prin urmare, banii din contul unei victime ajung direct in conturile hackerilor.

Kaspersky Lab a detectat mai multe familii cunoscute de troieni, in Top 20 programe malware mobile, care folosesc serviciul de facturare WAP. Pentru a deveni active prin intermediul Internetului mobil, toate versiunile de troieni au reusit sa inchida Wi-Fi-ul si sa porneasca serviciul de date mobile. Cel mai raspandit troian, apartinand familiei malware Trojan-Clicker.AndroidOS.Ubsod, primeste URL-uri de la serverul de comanda si control si le deschide. Potrivit statisticilor KSN (Kaspersky Security Network), acest troian a infectat aproape 8000 de utilizatori din 82 de tari, in iulie 2017.

Un alt malware mobil folosit in acest scenariu de furt foloseste fisiere Java Script pentru a da click pe butoane cu facturare WAP. De exemplu, troianul Xafekopy, care este distribuit prin intermediul reclamelor si se deghizeaza in aplicatii utile, precum optimizatoare de baterie, poate sa-i inscrie pe utilizatori la diferite servicii si sa le fure banii. Expertii Kaspersky Lab au descoperit, de asemenea, ca are cateva similitudini cu programul malware Ztorg, anuntat recent de Kaspersky Lab. Ca si Ztorg, Xafekopy provine dintr-o zona vorbitoare de limba chineza.

Unele familii de troieni, cum sunt Autosus si Podec, reusesc sa obtina drepturi de administrator, ceea ce ingreuneaza stergerea lor. In plus, folosind fisiere JS, troienii pot pacali verificarea prin CAPTCHA. Un exemplu este troianul Podec, care este activ din 2015. Conform cercetarii Kaspersky Lab, acesta a fost al treilea cel mai folosit troian in iunie 2017, dintre cele care folosesc facturile WAP, si este inca activ, in principal in Rusia.

“Nu am mai vazut aceste tipuri de troieni de ceva vreme”, spune Roman Unuchek, security expert la Kaspersky Lab. “Faptul ca au devenit atat de raspanditi peste noapte s-ar putea sa fie un indiciu ca infractorii cibernetici au inceput sa foloseasca si alte tehnici verificate, de tipul facturarii WAP, pentru a lua bani de la utilizatori. Este, de asemenea, interesant ca acest malware a vizat in special Rusia si India, ceea ce ar putea sa aiba de-a face cu situatia de pe pietele lor interne de telecom. Am detectat, insa, acesti troieni si in Africa de Sud sau Egipt.”

Pentru a preveni orice actiuni rau intentionate si a nu se expune riscurilor, Kaspersky Lab le recomanda utilizatorilor sa fie atenti la aplicatiile instalate pe dispozitivele lor, sa le evite pe cele din surse necunoscute si sa isi mentina dispozitivul actualizat cu cea mai noua varianta a tehnologiei de protectie.

Kaspersky Lab recomanda, de asemenea, ca utilizatorii sa instaleze o solutie de securitate eficienta pe dispozitiv, cum este Kaspersky Mobile Antivirus: Web Security & AppLock, care contribuie la protejarea informatiilor confidentiale ale utilizatorilor de amenintarile existente pe dispozitivele mobile cu Android.

Puteti citi mai multe despre troienii mobili care ataca facturarea WAP pe Securelist.com.