Trojany mobilne wracają do starych technik

Mechanizm Wireless Application Protocol (WAP) Billing jest od wielu lat powszechnie wykorzystywany przez operatorów sieci mobilnych w celu dostarczania płatnych usług i subskrypcji. W tego rodzaju płatności mobilnej koszty bezpośrednio obciążają rachunek za telefon komórkowy użytkownika bez konieczności podawania danych karty bankowej czy przechodzenia procesu rejestracji. Użytkownik jest zazwyczaj przekierowywany na inną stronę internetową za pośrednictwem przycisku, gdzie proponuje mu się dodatkowe usługi. Poprzez kliknięcie przycisku użytkownik aktywuje subskrypcję (np. otrzymywanie kilku płatnych SMS-ów na tydzień), co powoduje obciążenie jego konta mobilnego. Wszystkie te działania mogą być z łatwością wykorzystane przez trojana, który działa potajemnie i sam klika każdą stronę. Ponadto, rejestrując domeny w systemie rozliczeń operatora mobilnego, oszuści mogą stosunkowo łatwo połączyć swoją stronę z serwisem WAP Billing. W efekcie pieniądze z konta ofiary płyną bezpośrednio na konta atakujących.

Kaspersky Lab zidentyfikował kilka rodzin trojanów wykorzystujących usługę WAP Billing w zestawieniu 20 najpopularniejszych mobilnych szkodliwych programów. W celu aktywowania się za pośrednictwem internetu mobilnego wszystkie wersje tych szkodników potrafią wyłączyć Wi-Fi oraz komórkowy transfer danych. Najpopularniejszy z tego typu trojanów, który należy do rodziny Trojan-Clicker.AndroidOS.Ubsod, atakował w lipcu 2017 r. niemal 8 000 użytkowników z 82 państw (wg statystyk Kaspersky Secuirty Network).

Inne popularne mobilne szkodliwe oprogramowanie związane z tym modelem kradzieży wykorzystuje pliki Java Script w celu klikania przycisków aktywujących subskrypcje w modelu WAP Billing. Na przykład trojan Xafekopy, rozprzestrzeniany za pośrednictwem reklam i podszywający się pod przydatne aplikacje, takie jak narzędzia służące do optymalizacji zużycia baterii, potrafi zarejestrować użytkowników do różnych serwisów i kraść ich pieniądze. Badacze z Kaspersky Lab odkryli kilka podobieństw między tym trojanem a szkodnikiem Ztorg, o którym Kaspersky Lab informował niedawno. Podobnie jak Ztorg, Xafekopy pochodzi z krajów chińskojęzycznych.

Niektóre rodziny trojanów, takie jak Autosus oraz Podec, wykorzystują przywileje administratora urządzenia, utrudniając wykrycie i usunięcie szkodliwego kodu. Co więcej, niektóre trojany potrafią obchodzić mechanizm CAPTACHA, który ma na celu wyeliminowanie logowania się w serwisach online przez automatyczne skrypty. Przykładem może być aktywny od 2015 r. Podec. Według badania przeprowadzonego przez Kaspersky Lab był on trzecim pod względem popularności trojanem w czerwcu 2017 r. wśród szkodników wykorzystujących mechanizm WAP Billing i nadal jest aktywny głównie w Rosji.

"Przez jakiś czas nie widywaliśmy tego rodzaju trojanów, a ich popularność w ostatnim okresie może świadczyć o tym, że cyberprzestępcy zaczęli wracać do sprawdzonych technik, takich jak WAP Billing, w celu atakowania użytkowników. Na chwilę obecną trudno jednak wyrokować, czy ten trend będzie się nasilał" - powiedział Roman Unuchek, ekspert ds. cyberbezpieczeństwa, Kaspersky Lab.

Aby zapobiegać wszelkim szkodliwym działaniom i zachować bezpieczeństwo, radzi się użytkownikom, aby zwracali uwagę na aplikacje instalowane na swoich urządzeniach, unikali instalowania programów pochodzących z nieznanych źródeł i pilnowali, aby ich urządzenie posiadało uaktualnioną ochronę. Użytkownicy, którzy obawiają się nieautoryzowanego wykorzystania usług WAP Billing na swoich urządzeniach mobilnych, mogą zablokować otrzymywanie i wysyłanie wiadomości premium na swoim koncie u operatora telefonii komórkowej. Zwykle jest to bezpłatne i wymaga jedynie wysłania SMS-a o określonej treści.