I trojan affamati di abbonamenti

Oggi vi spieghiamo come gli utenti Android cadono vittime dei trojan Jocker, MobOk, Vesub e GriftHorse.

L’obiettivo di questo tipo di trojan è quello di “iscrivere” le loro vittime a servizi premium e abbonamenti a pagamento. Ciò costituisce un metodo tradizionale per sottrarre agli utenti Android il denaro da loro duramente guadagnato. Si infiltrano in uno smartphone sotto le sembianze di app utili e si iscrivono di nascosto a servizi a pagamento. Il più delle volte, l’abbonamento al servizio è reale, solo che l’utente molto probabilmente non ha bisogno di tale servizio.

I creatori di tali Trojan guadagnano soldi tramite le commissioni; cioè, ricevono una determinata percentuale in base a quello che l’utente spende. In questo caso, i soldi vengono di solito detratti dall’account del telefono cellulare, ma possono anche essere addebitati direttamente tramite carta di credito. Ecco i trojan e i casi più significativi che gli esperti di Kaspersky hanno osservato nell’ultimo anno.

Iscrizioni a servizi a pagamento e codici di conferma nei messaggi di testo

I trojan della famiglia Jocker di solito vengono diffusi attraverso Google Play. I criminali informatici modificano le app utili e popolari aggiungendo un codice dannoso e caricandole nello store con un nome diverso. Queste potrebbero essere, per esempio, app per i messaggi di testo, il monitoraggio della pressione sanguigna o la scansione di documenti. I moderatori di Google Play lavorano costantemente per identificare tali app, ma ne spuntano sempre di nuove, e lo fanno più velocemente di quanto possano rimuovere quelle già trovate.

 

Alcune delle app di Google Play che sono state infettate dal trojan Jocker

Alcune delle app di Google Play che sono state infettate dal trojan Jocker

 

Ora analizziamo come funziona questa famiglia di trojan. In una situazione normale, per sottoscriversi a un servizio, un utente deve andare sul sito del fornitore di contenuti e cliccare o toccare il pulsante Iscriviti. Per contrastare i tentativi automatici di sottoscrizione, i fornitori del servizi chiedono all’utente di confermare la sua richiesta inserendo un codice inviato in un messaggio di  testo. Però il malware della famiglia Jocker può aggirare questo metodo di protezione.

Dopo che l’app infetta entra nel dispositivo, in molti casi richiede all’utente l’accesso ai messaggi di testo. In seguito, in una finestra invisibile, il trojan apre la pagina di iscrizione a servizi premium, simula il tocco del pulsante di iscrizione, ruba il codice di conferma dal messaggio di testo e si abbona in maniera automatica.

Nei casi in cui l’app non richieda l’accesso agli SMS (perché dare questo accesso a un’app per scannerizzare documenti, per esempio?), i trojan della famiglia Jocker richiedono l’accesso alle notifiche. Questo rende possibile rubare il codice di conferma come prima, ma questa volta dalle notifiche pop-up sui messaggi in arrivo.

Come i Trojan MobOk aggirano i CAPTCHA

I trojan della famiglia MobOk sono un po’ più sofisticati. Non solo rubano i codici di conferma dai messaggi di testi o dalle notifiche, ma aggirano i CAPTCHA, un’altra misura di protezione contro le sottoscrizioni automatiche. Per riconoscere il codice nell’immagine, il trojan lo invia a un servizio speciale; l’anno scorso abbiamo realizzato una ricerca sul funzionamento delle click farm che forniscono servizi di riconoscimento CAPTCHA.

Per il resto, questo trojan opera in modo simile ai trojan della famiglia Jocker. In diversi casi, MobOk è stato diffuso come payload del trojan Triada, il più delle volte attraverso app preinstallate su alcuni modelli di smartphone, modifiche non ufficiali di WhatsApp o lo store alternativo di app APKPure. A volte è possibile trovare app infettate da MobOk anche su Google Play.

Trojan diffusi tramite fonti non ufficiali

I malware della famiglia Vesub vengono diffusi anche attraverso fonti dubbie sotto le sembianze di app in genere bandite dagli store ufficiali per vari motivi come, ad esempio, fingendosi app per scaricare contenuti da YouTube o da altri servizi di streaming come Tubemate o Vidmate, o come una versione Android non ufficiale di GTA5. Inoltre, è possibile trovarli in queste stesse fonti facendosi spacciare per versioni gratuite di app popolari e costose, come Minecraft.

Trojan Vesub facendosi passare per Tubemate, Vidmate, GTA5, Minecraft o il misterioso GameBeyond

Trojan Vesub facendosi passare per Tubemate, Vidmate, GTA5, Minecraft o il misterioso GameBeyond

 

A differenza dei malware della famiglia MobOk e Jocker, le app infettate da Vesub spesso non apportano nulla all’utente. Subito dopo essere installate, realizzano l’iscrizione a un abbonamento non richiesto e nascondono all’utente le finestre pertinenti, mostrando in superficie una finestra di caricamento dell’app. In alcuni casi, le app infettate da MobOk possono offrire qualche servizio utile, ma sono solo rare eccezioni.

Login tramite numero di telefono

I trojan GriftHorse.ae sono ancora meno elaborati. Quando vengono lanciati per la prima volta, chiedono all’utente di inserire il proprio numero di telefono, apparentemente per realizzare il login. La sottoscrizione all’abbonamento scatta non appena l’utente lo inserisce: quando clicca sul pulsante Login, gli viene automaticamente prelevato il costo dell’abbonamento dal suo account. Questo malware di solito si presenta come un’app per recuperare file cancellati, modificare foto o video, far lampeggiare la torcia sulle chiamate in arrivo, app di navigazione, scansione di documenti, traduzione e così via. In realtà le app infette non offrono nulla di utile.

Abbonamenti Autopay

Nonostante il nome simile, i trojan GriftHorse.l usano uno schema diverso: realizzano iscrizioni ad abbonamenti con pagamenti ricorrenti. Ufficialmente questo avviene con il consenso diretto dell’utente, ma le vittime potrebbero non rendersi conto che si stanno sottoscrivendo a un abbonamento con pagamenti automatici periodici. Il secondo trucco è che il primo addebito è irrisorio, mentre gli addebiti successivi sono notevolmente più corposi.

In passato, abbiamo analizzato strategie simili come quelle adottate da siti falsi che offrono abbonamenti a corsi di formazione. In questo caso la meccanica è più o meno la stessa, ma implementata all’interno dell’app. Il trojan viene diffuso in gran parte attraverso Google Play e il denaro viene addebitato direttamente su una carta di credito, con le informazioni di pagamento richieste per accedere al contenuto.

Come non cadere vittima dei truffatori

Capire come cancellare una sottoscrizione a pagamento indesiderata può essere molto complicato. Quindi, come sempre, prevenire è meglio che curare. Ecco alcuni consigli per difendersi dai trojan che sottoscrivono abbonamenti!

  • Prima di tutto, non installate app da fonti non ufficiali. Questo migliorerà notevolmente la sicurezza del vostro dispositivo.
  • È sempre bene acquistare app da fonti ufficiali; purtroppo, però, anche le fonti ufficiali non sono mai sicure al 100%. Pertanto, prima di scaricare un’app da Google Play o da un altro store, assicuratevi di controllare le recensioni e le valutazioni.
  • Osservate anche la data in cui l’app è apparsa sulla piattaforma. Gli store rimuovono constantemente le app false e pericolose, quindi i truffatori creano sempre nuove versioni di app infette. Perciò, se un’app che vi interessa è apparsa nello store solo di recente, diffidate.
  • Date alle app un accesso minimo al vostro dispositivo. Prima di permettere ad un’app di leggere i vostri SMS o notifiche, chiedetevi se ne ha davvero bisogno.
  • Infine, installate un antivirus per smartphone affidabile; vi aiuterà a proteggere il vostro telefono da tutte le minacce digitali, compresi i trojan.
Consigli