Investigadores da Check Point, empresa especializada em soluções de cibersegurança a nível global, descobriram, recentemente, uma campanha de malware que assenta na subscrição não consentida de utilizadores Android a serviços telefónicos pagos providenciados. Este malware que nunca antes tinha sido visto envolve fornecedores legítimos de telecomunicações na Tailândia e Malásia. A técnica de ataque é conhecida por International Revenue Share Fraud (IRSF), e pode gerar, por ano, entre 4 a 6 mil milhões de dólares.
O novo malware, a que os investigadores designam por WAPDropper, é multifuncional, já que não só subscreve as vítimas a serviços pagos, e tem também a capacidade de descarregar e executar outros malware nos dispositivos Android já infetados. Neste tipo de ataques, é comum os hackers e os donos dos números pagos cooperarem ou estarem inseridos no mesmo grupo de pessoas. A lógica é simples: quantas mais chamadas forem realizadas, maior será a receita gerada.
Como funciona o WAPDropper
A infeção começa pela instalação, por parte do utilizador, de uma aplicação maliciosa através de um fornecedor de aplicações não oficial. Após o download, o WAPDropper comunica com o seu servidor de controlo, descarregando um módulo através do qual são realizados os contactos aos serviços premium oferecidos por empresas de telecomunicação legítimas. A seguir, é concluída a subscrição que vai levar a largos encargos para o subscritor, ou seja, para o proprietário do equipamento.
Quando as empresas de telecomunicação legítimas, em alguns casos, para finalizar o processo é pedida a realização de um teste de autenticação, o chamado CAPTCHA (um sistema que permite distinguir um humano de uma máquina). O WAPDropper supera estes testes utilizando uma solução da Super Eagle, uma empresa chinesa que fornece soluções de machine learning para reconhecimento de imagens.
“O WAPDropper é mesmo multifuncional. O malware começa por subscrever serviços telefónicos pagos, mas, no futuro, este payload é suscetível a qualquer mudança pretendida pelo atacante. Este tipo de ‘dropper’ multifunções que sub-repticiamente se instala no telemóvel de um utilizador, fazendo depois o download de outros malware, tem sido uma tendência chave em 2020 no que respeitam as infeções de dispositivos móveis”, explicou Aviram Hazum, Manager of Mobile Research na Check Point.
O investigador acrescentou que isto “representa quase metade de todos os ataques de malware a dispositivos móveis entre janeiro e julho deste ano, com centenas de milhões de infeções combinadas. É esperado que esta tendência continue no próximo ano, pelo que recomendo todos os utilizadores a fazerem downloads partindo apenas de fontes confiáveis, como a Google Play”.
Para se proteger os investigadores recomendam:
■ Utilize apenas fornecedores oficiais de aplicações. Para fazer downloads de aplicações, recorra apenas a fornecedores credíveis e oficiais, de que são exemplo a Google Play Store ou a AppStore.
■ Mantenha-se a par dos seus gastos. Verifique regularmente as suas contas para ver se tem algum serviço subscrito do qual não tem conhecimento.
■ Cancele a subscrição e apague. Se notar alguma atividade suspeita ou pouco usual, cancele as subscrições e apague imediatamente quaisquer aplicações que lhe pareçam questionáveis.
■ Invista na proteção. Instale soluções de segurança que previnam futuras infeções, como a SandBlast Mobile da Check Point.