Компания Microsoft подробно описала развивающиеся возможности вредоносных Android-приложений со скрытыми платными подписками, указав на их «сложную многоступенчатую цепочку атак» и усовершенствованный механизм обхода анализа безопасности.
Данная мошенническая схема относится к категории афер при выставлении счетов, когда вредоносные мобильные приложения содержат скрытую абонентскую плату, подписывая ничего не подозревающих пользователей на премиум-контент без их ведома или согласия.
Она отличается от других fleeceware-угроз тем, что вредоносные функции выполняются только при подключении скомпрометированного устройства к одному из целевых мобильных операторов.
«Кроме того, по умолчанию приложения используют для своей деятельности сотовую связь и заставляют устройства подключаться к мобильной сети, даже если доступно подключение Wi-Fi» - отметили в своем исчерпывающем анализе Димитриос Валсамарас и Санг Шин Джунг из исследовательской группы Microsoft 365 Defender.
«После подтверждения подключения к целевой сети приложение незаметно инициирует мошенническую подписку и подтверждает ее без согласия пользователя, в некоторых случаях даже перехватывая для этого одноразовый пароль».
Известно, что такие приложения также подавляют отображение SMS-уведомлений, связанных с подпиской, чтобы жертвы не узнали о мошеннической операции и не отписались от услуги.
По своей сути, мошенничество с подписками использует метод оплаты, который позволяет клиентам подписываться на платные сервисы с веб-сайтов, поддерживающих WAP-протокол. Абонентская плата списывается непосредственно с мобильных счетов пользователей, что избавляет их от необходимости заводить кредитную или дебетовую карту или вводить имя пользователя и пароль.
«Если пользователь подключается к Интернету через мобильную сеть, оператор сети может идентифицировать его по IP-адресу» - отметили специалисты Лаборатории Касперского в отчете о троянах-кликерах WAP-биллинга в 2017 году. «Операторы мобильных сетей взимают плату с пользователей только в случае успешной идентификации».
Как вариант, некоторые провайдеры могут также требовать ввод одноразового пароля в качестве второго уровня подтверждения подписки перед активацией услуги.
«В случае мошенничества с платными подписками вредоносная программа осуществляет подписку от имени пользователя таким образом, что весь процесс человеком никак не воспринимается» - сообщают исследователи. «Вредонос связывается с командно-контрольным сервером для получения списка предлагаемых сервисов».
Для этого он сначала отключает Wi-Fi и включает мобильный интернет, затем использует JavaScript для незаметной подписки на сервис, перехватывает и отправляет код (если применимо) для завершения процесса.
Код JavaScript, в свою очередь, предназначен для нажатия на элементы HTML, содержащие такие ключевые слова, как «подтвердить», «нажать» и «продолжить», чтобы программно инициировать подписку.
После успешной подписки вредонос либо скрывает сообщения с уведомлением о подписке, либо злоупотребляет правами на SMS, чтобы удалить входящие текстовые сообщения, содержащие информацию о подключенной услуге от оператора мобильной сети.
Известно, что вредоносные программы для мошенничества с подписками также маскируют свое вредоносное поведение с помощью динамической загрузки кода - функции в Android, которая позволяет приложениям извлекать дополнительные модули с удаленного сервера во время выполнения, что делает ее подходящей для злоупотреблений со стороны злоумышленников.
С точки зрения безопасности, это также означает, что автор вредоносного ПО может создать приложение таким образом, что мошенническая функциональность будет загружаться только при выполнении определенных предварительных условий, эффективно преодолевая проверки статического анализа кода.
«Если приложение позволяет динамическую загрузку кода и динамически загруженный код извлекает текстовые сообщения, оно будет классифицировано как вредоносный бэкдор» - сообщается в документации Google для разработчиков о потенциально опасных приложениях.
С частотой установки 0,022%, приложения с мошенническими подписками составили 34,8% от всех установленных на рынке приложений для Android в первом квартале 2022 года, заняв второе место после шпионских программ. Большинство приложений было установлено из Индии, России, Мексики, Индонезии и Турции.
Для снижения угрозы пользователям рекомендуется устанавливать приложения только из Google Play Store или других надежных источников, избегать предоставления чрезмерных разрешений приложениям и рассмотреть возможность перехода на новое устройство, если оно перестало получать обновления программного обеспечения.
Источник: https://thehackernews.com