A Microsoft figyelmezteti az Android telefonok felhasználóit a fejlődő díjcsalásos rosszindulatú alkalmazásokra

Ha Ön Android telefon használó, a Microsoft figyelmezteti: figyeljen a díjcsaló rosszindulatú alkalmazásokra. Ezek az alkalmazások egyre összetettebbé és nehezebben észlelhetővé váltak, céljuk, hogy pénzt lopjanak el Öntől rejtett előfizetési díjak felszámításával. A Microsoft egy blogbejegyzésben vázolta fel ennek a rosszindulatú támadásnak a lépéseit, hogy tisztában legyen a veszélyekkel és megvédhesse magát.

A díjcsalás, más néven “freemium vírus” vagy “csapdaware”, egy számlázási csalás, amelyben gyanútlan embereket csábítanak arra, hogy prémium tartalomért fizessenek anélkül, hogy tudnának róla vagy beleegyeznének. Ez különbözik más fleeceware veszélyektől, mivel a káros funkciók csak akkor aktiválódnak, amikor egy hacker összekapcsol egy eszközt az egyik célhálózati operátorával.

Továbbá, a Valsamaras és Shin Jung a Microsoft 365 Defender Kutatócsoportjából felfedezték, hogy alapértelmezés szerint a mobilhálózathoz csatlakozik tevékenységekhez, még akkor is, ha Wi-Fi kapcsolat elérhető. “Alapértelmezés szerint így tesz” – állították.

Ezt követően létrehoz egy hamis előfizetést, és újra megerősíti azt, miután kapcsolatot létesített egy adott hálózattal.

A Magento platform legújabb verziója különféle harmadik féltől származó és saját biztonsági megoldásokat használ az online csalások elleni védelem érdekében, több módszert alkalmazva, beleértve:

A díjcsalás akkor fordul elő, amikor a fogyasztók egy WAP-képes weboldal által nyújtott legitim fizetős szolgáltatást használnak, hogy olyan termékeket vagy szolgáltatásokat szerezzenek be, amelyeket az eladó nem engedélyez. Az ügyfelek mobiltelefon számláit automatikusan megterhelik, ahelyett, hogy hitel- vagy bankkártyát kellene létrehozniuk, vagy felhasználónevet és jelszót kellene megadniuk.

A Kaspersky, a hackerek meg tudják határozni egy WAP számlázási trójai IP-címét, ha a felhasználó mobiladatokkal csatlakozik az internethez. “A felhasználókat csak akkor terhelik meg, ha helyesen azonosítják őket, ami könnyen megtörténik” – állítja a Kaspersky 2017-es tanulmánya a WAP számlázási trójaiakról.

Néhány vállalat kérhet OTP-kódokat a szolgáltatás bekapcsolása előtt, mint második szintű ellenőrzést.

A rosszindulatú program a felhasználó nevében látszólag valódi módon futtatja az előfizetést. A rosszindulatú program egy [irányító és vezérlő] szerverrel kommunikál, hogy megszerezze az elérhető szolgáltatások listáját.

A rosszindulatú program több fájlt tölt le a kompromittált weboldalról, beleértve az AdNab.exe és a rundll32.exe fájlokat. Ezután JavaScriptet használ arra, hogy titokban előfizessen a szolgáltatásra, és fogadja és küldje az OTP-kódot (ha szükséges). A programozók úgy tervezték a JavaScript kódot, hogy programozott megközelítést alkalmazzon az előfizetés elindításához, HTML elemeket vezérelve, amelyek kulcsszavakat tartalmaznak, mint például “megerősít”, “kattintás” vagy “folytatás”.”

A rosszindulatú program törölheti a bejövő szöveges üzeneteket, amelyek a feliratkozott szolgáltatásról szóló információkat tartalmaznak a mobilhálózati operátortól, ha egy csaló előfizetés sikeres.

Az Android dinamikus kód betöltési képessége, amely lehetővé teszi az alkalmazások számára, hogy további modulokat töltsenek le egy távoli szerverről futásidőben, megkönnyíti a gyanús egyének számára a rendszer kihasználását.

A rosszindulatú program írói olyan alkalmazást hozhatnak létre, amely rossz viselkedést mutat. De a rossz viselkedés csak akkor fordul elő, ha meghatározott körülmények teljesülnek. Ezért nehéz lesz megtalálni ezt a rossz viselkedést statikus kód elemzési ellenőrzésekkel a biztonsági oldalon.

A hátsó ajtós rosszindulatú program egy alkalmazáson keresztül telepített rosszindulatú szoftver, amely dinamikusan generált kódot hoz létre szöveges üzenetek megragadására, ahogyan azt a Google fejlesztői dokumentációja a potenciálisan káros alkalmazások (PHA-k) számára.

A díjak jövedelmező üzletté váltak a hackerek számára, a csaló alkalmazások az Android alkalmazás piacon az összes PHA 34,8 százalékát tették ki 2022 első három hónapjában, közvetlenül a kémprogramok alatt a második helyen. A legtöbb telepítést Indiában, Oroszországban, Mexikóban, Indonéziában és Törökországban figyelték meg.

Ha el akarja kerülni, hogy díjcsaló rosszindulatú program áldozatává váljon, kövesse a blogcikkben vázolt utasításokat. A felhasználóknak csak a Google Play Áruházból vagy más legitim forrásokból kell alkalmazásokat beszerezniük. Korlátozniuk kell az alkalmazások jogosultságait, és fontolóra kell venniük a telefon cseréjét, ha az nem kap frissítéseket.