Οι ερευνητές ασφαλείας προειδοποιούν για μια νέα οικογένεια κακόβουλου λογισμικού που προς το παρόν στοχεύει τους χρήστες κινητών τηλεφώνων και τους εγγράφει αθόρυβα σε νόμιμες premium υπηρεσίες.
Με το όνομα WAPDropper, το κακόβουλο λογισμικό είναι ένας dropper πολλαπλών λειτουργιών που μπορεί να προσφέρει κακόβουλο λογισμικό και χρησιμοποιεί τεχνολογία μηχανικής εκμάθησης για να παρακάμψει τις προκλήσεις CAPTCHA που χρησιμοποιούν εικόνα.
Η εταιρεία Cybersecurity Check Point εντόπισε το WAPDropper σε μια πρόσφατη καμπάνια και διαπίστωσε ότι εγγράφει τα θύματά του σε premium υπηρεσίες από νόμιμους παρόχους τηλεπικοινωνιών στη Μαλαισία και την Ταϊλάνδη.
Η ανάλυση του κακόβουλου λογισμικού αποκάλυψε ότι διαθέτει δύο λειτουργικές μονάδες, που μπορούν να κατεβάσουν και να τρέξουν άλλο κακόβουλο λογισμικό σε μια συσκευή που έχει παραβιαστεί.
Στην περίπτωση του WAPDropper, υπάρχει μια μονάδα που είναι υπεύθυνη για την ανάκτηση κακόβουλου λογισμικού σε ένα δεύτερο στάδιο από τον διακομιστή εντολών και ελέγχου και μια άλλη μονάδα για την απόκτηση του premium dialer.
Το σχέδιο για να κερδίζουν οι απατεώνες χρήματα είναι απλό: πολλές κλήσεις προς τους premium αριθμούς χρεώνουν τον λογαριασμό του θύματος.
Παράκαμψη CAPTCHA
Σύμφωνα με την Check Point, οι διαχειριστές του WAPDropper χρησιμοποιούν μια κοινή τακτική, ενσωματώνοντας το κακόβουλο λογισμικό σε εφαρμογές που διατίθεται από ανεπίσημα stores.
Μόλις βρεθεί στη συσκευή του θύματος, το κακόβουλο λογισμικό επικοινωνεί με το διακομιστή εντολών και ελέγχου (C2) για να κατεβάσει το πρόγραμμα που κάνει τις premium κλήσεις.
Σε μια τεχνική αναφορά , οι ερευνητές αναφέρουν ότι η δραστηριότητα του κακόβουλου λογισμικού ξεκινά με τη συλλογή λεπτομερειών από τη μολυσμένη συσκευή:
- Αναγνωριστικό συσκευής
- Διεύθυνση MAC
- Αναγνωριστικό συνδρομητή
- Μοντέλο συσκευής
- Λίστα όλων των εγκατεστημένων εφαρμογών
- Λίστα υπηρεσιών που εκτελούνται
- Όνομα πακέτου κορυφαίας δραστηριότητας
- Είναι ενεργοποιημένη η οθόνη
- Είναι ενεργοποιημένες οι ειδοποιήσεις για αυτήν την εφαρμογή
- Μπορεί αυτή η εφαρμογή να σχεδιάσει επικαλύψεις
- Ποσό διαθέσιμου δωρεάν αποθηκευτικού χώρου
- Συνολικό ποσό μνήμης RAM και διαθέσιμη μνήμη RAM
- Λίστα εφαρμογών εκτός συστήματος
Στη συνέχεια, ξεκινά ένα στοιχείο προβολής web για τη φόρτωση των σελίδων προορισμού για τις υπηρεσίες premium και την πραγματοποίηση μιας συνδρομής.
Εάν υπάρχει CAPTCHA που χρησιμοποιεί εικόνα, η Check Point αναφέρει ότι το WAPDropper χρησιμοποιεί τις υπηρεσίες μιας κινεζικής εταιρείας που ονομάζεται “Super Eagle”, η οποία παρέχει λύσεις αναγνώρισης εικόνας που βασίζονται σε τεχνολογία μηχανικής μάθησης.