Приложения для мошенничества с выставлением счетов могут отключать Android Wi-Fi и перехватывать текстовые сообщения

Microsoft заявила в пятницу, что разработчики вредоносных программ для Android активизируют свою мошенническую игру с выставлением счетов с помощью приложений, которые отключают соединения Wi-Fi, тайно подписывают пользователей на дорогие беспроводные услуги и перехватывают текстовые сообщения, и все это в попытке взимать огромные сборы с ничего не подозревающих пользователей.

Этот класс угроз был фактом жизни на платформе Android в течение многих лет, о чем свидетельствует семейство вредоносных программ, известных как Джокер, который заразил миллионы телефонов с 2016 года. Несмотря на осведомленность о проблеме, мало внимания уделяется методам, которые использует такое вредоносное ПО для «мошенничества с телефонными линиями». Войдите в Microsoft, которая опубликовала техническое погружение в проблему.

Механизмом выставления счетов, используемым в этом типе мошенничества, является WAP, сокращение от протокола беспроводных приложений, который предоставляет средства доступа к информации через мобильную сеть. Пользователи мобильных телефонов могут подписаться на такие услуги, посетив веб-страницу поставщика услуг, когда их устройства подключены к сотовой сети, а затем нажав кнопку. В некоторых случаях оператор отвечает, отправляя одноразовый пароль (OTP) на телефон и требуя от пользователя отправить его обратно, чтобы подтвердить запрос на подписку. Процесс выглядит следующим образом:

Целью вредоносных приложений является автоматическая подписка зараженных телефонов на эти WAP-сервисы без уведомления или согласия владельца. Microsoft заявила, что вредоносные приложения для Android, проанализированные ее исследователями, достигают этой цели, выполнив следующие действия:

1. Отключите соединение Wi-Fi или подождите, пока пользователь переключится на мобильную сеть.
2. Тихо перейдите на страницу подписки
3. Автоматическое нажатие кнопки подписки
4. Перехват OTP (если применимо)
5. Отправьте одноразовый пароль поставщику услуг (если применимо).
6. Отмените SMS-уведомления (если применимо)

У разработчиков вредоносных программ есть различные способы заставить телефон использовать сотовую связь, даже если он подключен к Wi-Fi. На устройствах под управлением Android 9 или более ранней версии разработчики могут вызывать setWifiEnabled метод WifiManager учебный класс. Для версий 10 и выше разработчики могут использовать requestNetwork функция ConnectivityManager учебный класс. Со временем телефоны будут загружать данные исключительно через сотовую сеть, как показано на этом изображении:

Как только телефон использует сотовую сеть для передачи данных, вредоносное приложение тайно открывает браузер в фоновом режиме, переходит на страницу подписки WAP и нажимает кнопку подписки. Подтверждение подписки может быть сложным, поскольку запросы на подтверждение могут приходить по протоколам SMS, HTTP или USSD. Microsoft предлагает конкретные методы, которые разработчики вредоносных программ могут использовать для обхода каждого типа подтверждения. Затем в сообщении Microsoft объясняется, как вредоносное ПО подавляет периодические сообщения, которые служба подписки может отправлять пользователю, чтобы напомнить ему об их подписке.

«Подписывая пользователей на премиум-услуги, это вредоносное ПО может привести к тому, что жертвы получат значительные расходы на оплату счетов за мобильную связь, — пишут исследователи Microsoft. вариант удаляется.”

Google активно блокирует приложения на своем Play Market, когда обнаруживает признаки мошенничества или злого умысла или когда получает сообщения о вредоносных приложениях от третьих лиц. Хотя Google часто не удаляет вредоносные приложения до тех пор, пока они не заразят миллионы пользователей, приложения, загруженные из Play, обычно считаются более надежными, чем приложения со сторонних рынков.