28/08/2017

Trojany wykorzystują subskrypcję WAP do kradzieży pieniędzy

Zagrożenia

Czy pamiętasz WAP? Jest to dość prymitywny odpowiednik internetu mobilnego. Na maleńkich stronach wyświetlany był przeważnie sam tekst, a były one popularne, gdy telefony dopiero uczyły się przesyłać dane.

Mimo że WAP praktycznie poszedł w zapomnienie, technologia ta wciąż jest obsługiwana przez operatorów komórkowych. Na przykład niektórzy z nich nadal obsługują WAP billing, który umożliwia użytkownikom dokonywanie płatności na stronie bezpośrednio z konta mobilnego.

WAP billing jako źródło dochodu dla cyberprzestępców

WAP billing ma kilka minusów. Po pierwsze, nie jest dość przezroczysty dla kupującego. Teoretycznie strona zawierająca technologię WAP billing powinna wyświetlać, co dokładnie kupujesz i ile za to zapłacisz. W praktyce jednak bywa różnie.

Po drugie, w transakcjach takich uczestniczą równocześnie trzy podmioty (oprócz kupującego): operator mobilny, dostawca usługi płatności i dostawca treści (nawiasem mówiąc, taka sytuacja może komplikować dokonywanie zwrotów).

Co istotniejsze, w płatnościach tych nie są używane karty bankowe. W wielu innych oszustwach ofiara musi zostać podstępnie nakłoniona do wprowadzenia swoich informacji bankowych, tymczasem w oszustwie WAP nie musi ona mieć nawet konta bankowego, choć zwykle ma konto mobilne.

Głównym problemem, o którym chciałem dziś wspomnieć, jest wysyłanie wiadomości tekstowych typu premium. Co więcej, szkodliwy program wykorzystujący WAP billing jest mniej skomplikowany niż trojany wysyłające wiadomości premium. Cyberprzestępcy nie muszą zatem uczyć swoich szkodliwych programów, jak uzyskać możliwość wysyłania wiadomości SMS — jest to zadanie trojana, który dodatkowo może pozostać niewykryty i nie żąda żadnych specjalnych uprawnień, takich jak dostęp do funkcji opcji Dostępność.

Trojany, które nauczyły się wykorzystywać WAP billing

Udogodnienia stwarzane przez technologię WAP billing są aktywnie nadużywane przez cyberprzestępców, którzy zaczęli dodawać do swoich szkodliwych programów możliwość otwierania stron internetowych, które oferują WAP billing, i klikania przycisków, które inicjują płatności. Użytkownik oczywiście niczego nie podejrzewa. Badacz z Kaspersky Lab, Roman Unuchek, odkrył, że w drugim kwartale 2017 roku trojany te zaczęły pojawiać się częściej niż zwykle.

Jednym z głównych przykładów takich trojanów jest rodzina Ubsod. Ta odmiana szkodliwego programu, wykrywana jako Trojan-Clicker-AndroidOS.Ubsod, działa w następujący sposób: trojan otrzymuje z serwera poleceń adresy stron zawierających przyciski. Następnie trojan odwiedza te strony i klika przyciski, zapisując użytkowników do różnych niechcianych usług płatnych.

Ponieważ operatorzy mobilni zazwyczaj wysyłają wiadomości SMS z powiadomieniami o subskrypcji, trojan ma za zadanie przechwycić i usunąć wszystkie wiadomości SMS, które zawierają ciąg liter „ubscri” lub „одпи”, będących fragmentem wyrazów „subscription” i „подписка” (ros. subskrypcja). Wyłącza on również sieć Wi-Fi na rzecz danych komórkowych. Ogólnie WAP billing działa tylko wtedy, gdy użytkownik łączy się z internetem przy użyciu danych komórkowych — jednak w tym przypadku subskrypcja będzie możliwa poprzez połączenie z siecią Wi-Fi.

Inny trojan, wykrywany przez nasze produkty jako Trojan-Dropper.AndroidOS.Ubsod, działa tak samo, ale dodatkowo może również rozpakować pobrane wraz z nim pliki i uruchomić je. Trzeci trojan, Trojan-Banker.AndroidOS.Ubsod, oprócz wspomnianych wyżej działań stosuje metody typowe dla trojanów bankowych: na przykład nakłada na aplikacje bankowe okna phishingowe, wykonuje polecenia, wyświetla reklamy czy wysyła wiadomości SMS.

Inny popularny szkodliwy program, Trojan-Clicker.AndroidOS.Xafekopy, udaje przydatną aplikację, przeważnie optymalizator zużycia baterii w smartfonach. Wygląda dosyć przekonująco; żaden element jego interfejsu nie ujawnia jego szkodliwej natury. Jednak klika on strony zawierające WAP-billing oraz znajdujące się na nich reklamy — autorzy trojanów często stosują w swoich programach różne metody umożliwiające im łatwy zarobek.

O tym, że na urządzeniu mobilnym znajduje się trojan clicker wykorzystujący technologię WAP billing, można się dowiedzieć jedynie po zauważeniu zniknięcia pieniędzy z konta. Ewentualnie może też wykryć go produkt zabezpieczający.

Jak chronić swoje urządzenie przed trojanami wykorzystującymi WAP billing

  1. Zablokuj instalację aplikacji z nieznanych źródeł. Takie trojany mogą znajdować się w reklamach, więc wspomniana blokada uniemożliwi ich instalację. Aby zablokować instalację z nieznanych źródeł, przejdź do opcji Ustawienia –> Bezpieczeństwo i usuń zaznaczenie pola Nieznane źródła. Więcej informacji na temat przydatnych funkcji w bezpieczeństwie platformy Android znajdziesz w tym artykule.
  2. Wielu operatorów sieci mobilnych oferuje strony, na których można dowiedzieć się o aktywowanych usługach, w tym bieżących subskrypcjach WAP. Jeśli na Twoim koncie mobilnym podejrzanie szybko znikają pieniądze, odwiedź taką stronę i sprawdź swoje subskrypcje. Niektórzy operatorzy mobilni umożliwiają swoim klientom całkowite wyłączenie możliwości korzystania z usług WAP-billing. 
  3. Zainstaluj na swoim urządzeniu mobilnym porządny produkt zabezpieczający. Na przykład Kaspersky Internet Security for Android wykrywa i neutralizuje wszystkie wspomniane wyżej szkodliwe programy. Wersja darmowa wymaga ręcznego uruchomienia skanowania, tymczasem wersja płatna przeprowadza skanowanie automatycznie, także nowo zainstalowanych aplikacji.