Microsoft เตือนผู้ใช้โทรศัพท์ Android เกี่ยวกับแอปพลิเคชั่นมัลแวร์ Toll Fraud ที่กำลังพัฒนา

If you’re an Android phone user, Microsoft warns you: to watch out for toll fraud malware apps. These apps have become more complex and harder to detect, intending to steal your money by charging you hidden subscription fees. Microsoft has outlined the steps of this malicious attack in a blog post so that you can be aware of the dangers and protect yourself.

Toll fraud, also known as “freemium virus” or “trapware,” is a billing fraud in which unsuspecting people are lured into paying for premium content without their knowledge or consent. It’s different from other fleeceware dangers in that the harmful features are only activated when a hacker links a gadget to one of its target network operators.

นอกจากนี้ ตามที่ วาลซามาราส และ ชิน จุง of the Microsoft 365 Defender Research Team, it has been discovered that by default, it connects to the cellular network for activities even if a Wi-Fi connection is accessible. “It does so by default,” they stated.

หลังจากนั้น มันจะสร้างการสมัครสมาชิกปลอมและยืนยันอีกครั้งหลังจากสร้างการเชื่อมโยงกับเครือข่ายเฉพาะ.

เวอร์ชันใหม่ล่าสุดของแพลตฟอร์ม Magento ใช้โซลูชันความปลอดภัยจากบุคคลที่สามและภายในองค์กรหลากหลายรูปแบบเพื่อป้องกันการฉ้อโกงออนไลน์โดยใช้วิธีการหลายอย่าง รวมถึง:

Toll fraud occurs when consumers use a legitimate paid service provided by a WAP-enabled website to obtain items or services that the vendor does not authorize. Customers’ mobile phone bills are automatically charged, rather than being required to create a credit or debit card or supply a username and password.

ตาม แคสเปอร์สกี้, hackers can determine the IP address of a WAP billing trojan if the user connects to the internet using mobile data. “Users are only charged if they are correctly identified, which happens with ease,” says a 2017 study by Kaspersky on WAP billing trojans.

บางบริษัทอาจขอ OTP เป็นระดับการยืนยันที่สองก่อนที่จะเปิดใช้บริการ.

มัลแวร์จะดำเนินการสมัครสมาชิกในนามของผู้ใช้อย่างดูเหมือนจริง มัลแวร์จะสื่อสารกับเซิร์ฟเวอร์ [command-and-control] เพื่อรับรายการบริการที่มีอยู่.

The malware downloads several files from the compromised website, including AdNab.exe and rundll32.exe. It then uses JavaScript to covertly subscribe to the service and receive and send the OTP code (if any are required). Programmers designed the JavaScript code to use a programmatic approach to start the subscription by controlling HTML elements containing keywords such as “confirm,” “click,” or “continue.”

มัลแวร์อาจลบข้อความที่เข้ามาซึ่งมีข้อมูลเกี่ยวกับบริการที่สมัครจากผู้ให้บริการเครือข่ายมือถือหากการสมัครสมาชิกฉ้อโกงสำเร็จ.

Android’s dynamic code loading capability, which allows applications to download additional modules from a remote server during runtime, makes it easy for shady individuals to take advantage of the system.

ผู้เขียนมัลแวร์สามารถสร้างแอปพลิเคชันที่มีพฤติกรรมไม่ดีได้ แต่พฤติกรรมไม่ดีจะเกิดขึ้นก็ต่อเมื่อมีสถานการณ์เฉพาะเกิดขึ้น ดังนั้นจะยากที่จะพบพฤติกรรมไม่ดีนี้โดยใช้การตรวจสอบโค้ดแบบสถิตในด้านความปลอดภัย.

มัลแวร์ประตูหลังเป็นซอฟต์แวร์ที่เป็นอันตรายที่ติดตั้งผ่านแอปและสร้างโค้ดที่สร้างขึ้นแบบไดนามิกเพื่อดักจับข้อความ ตามที่ระบุไว้ใน Google’s developer documentation สำหรับแอปพลิเคชันที่อาจเป็นอันตราย (PHAs).

การเก็บค่าผ่านทางได้กลายเป็นธุรกิจที่ทำกำไรให้กับแฮกเกอร์ โดยแอปพลิเคชันฉ้อโกงอ้างสิทธิ์ 34.8 เปอร์เซ็นต์ของ PHAs ทั้งหมดที่ก่อตั้งขึ้นผ่านตลาดแอป Android ในช่วงสามเดือนแรกของปี 2022 โดยอยู่ในอันดับที่สองรองจากสปายแวร์ การติดตั้งส่วนใหญ่เกิดขึ้นในอินเดีย รัสเซีย เม็กซิโก อินโดนีเซีย และตุรกี.

หากคุณต้องการหลีกเลี่ยงการเป็นเหยื่อของมัลแวร์ฉ้อโกงค่าผ่านทาง ให้ปฏิบัติตามคำแนะนำที่ระบุไว้ในบทความบล็อกนี้ ผู้ใช้ควรดาวน์โหลดแอปพลิเคชันจาก Google Play Store หรือแหล่งที่เชื่อถือได้อื่น ๆ เท่านั้น ควรจำกัดสิทธิ์ของแอปและพิจารณาเปลี่ยนโทรศัพท์หากไม่ได้รับการอัปเดต.