Trojan sfruttano gli abbonamenti WAP per rubare denaro

Come i Troyan mobile sfruttano i pagamenti via WAP per rubare denaro e come proteggervi.

Vi ricordate del WAP? Secondo noi no! Il WAP è una sorta di antenato dell’Internet mobile. Può accedere a piccoli siti che mostrano per lo più testo, e ci navigavamo quando i telefoni avevano appena appreso a trasmettere dati.

Sebbene il WAP sia praticamente caduto nel dimenticatoio, parti di questa tecnologia sono tuttora supportate dagli operatori telefonici. Per esempio, alcuni supportano ancora il pagamento tramite WAP su un sito, scalando l’importo dal saldo telefonico.

Pagamenti via WAP come fonte di reddito per i cybercriminali

Il pagamento via WAP presenta varie problematiche. Prima di tutto, non è un sistema molto trasparente per il compratore. In teoria, una pagina con il pagamento via WAP dovrebbe mostrare cosa state esattamente comprando e quanto pagherete; in pratica, tuttavia, il vostro consumo può variare.

In secondo luogo, nelle transazioni via WAP partecipano tre attori simultaneamente, oltre al consumatore: l’operatore mobile, il fornitore del servizio di pagamento e, infine, il fornitore dei contenuti (il fatto che ci siano così tante parti coinvolte potrebbe complicare i rimborsi, ma questo è già andare oltre).

E soprattutto, le carte di credito non vengono usate per questi pagamenti. Per quanto riguarda le altre truffe, s’ingannano le vittime per far sì che inseriscano i propri dati bancari. In una truffa via WAP, non serve nemmeno che le vittime abbiano un conto bancario, ma potete scommetterci che tutti hanno accesso al saldo.

Essenzialmente, il sistema utilizzato ricorda l’invio di messaggi a pagamento. Ma c’è un piccolo dettaglio aggiuntivo: il malware che sfrutta i pagamenti via WAP è meno complicato dei Trojan che inviano SMS a pagamento. Ai cybercriminali non serve in realtà nemmeno far apprendere ai propri malware come ottenere l’accesso per inviare gli SMS; i Trojan sono in grado di rimanere nell’ombra e non necessitano di chiedere alcuna autorizzazione speciale, come quella di poter entrare nelle funzionalità di accesso.

I Trojan hanno appreso a sfruttare i pagamenti via WAP

I cybercriminali hanno attinto a piene mani dai pagamenti via WAP e hanno anche aggiunto ai propri malware la possibilità di aprire pagine Web con opzioni di pagamento via WAP e di cliccare su tasti che avviano pagamenti senza che l’utente se ne accorga. Una ricerca condotta da Roman Unucheck di Kaspersky Lab ha rivelato che questi Trojan hanno iniziato ad apparire più frequentemente del solito nel secondo trimestre del 2017.

Uno degli esempi più importanti di questo tipo di Trojan è la famiglia degli Ubsod. Questa varietà di malware, che viene rilevato come un Trojan-clicker-AndroidOS.Ubsod, funziona in questo modo: da un server command-and-control, il Trojan riceve gli indirizzi URL dei siti con relativi tasti su cui cliccare; il Trojan visita il sito e abbona gli utenti a vari servizi a pagamento indesiderati.

E, siccome gli operatori dei servizi mobili generalmente inviano messaggi con le notifiche degli abbonamenti, il Troyan è addestrato ad intercettare e cancellare qualunque SMS che contenga il testo “Ubscri” o “одпи”, che sono rispettivamente parte delle parole “subscription” (“sottoscrizione” in inglese) e “подписка” (“sottoscrizione” in russo). Può persino disattivare la connessione Wi-Fi e attivare i dati sullo smartphone. Il pagamento via WAP, infatti, funziona solo quando un utente si connette a Internet attraverso i dati mobile, in questo caso una connessione Wi-Fi non serve per gli abbonamenti ai servizi.

Un altro Trojan, che il nostro prodotto rileva come Trojan-Dropper.AndroidOS.Ubsod, agisce allo stesso modo, ma può persino aprire i file scaricati ed eseguirli. E un terzo, Trojan-Banker.AndroidOS.Ubsod, oltre a quanto menzionato, conosce alcuni trucchetti tipici dei Trojan bancari: sovrappone alle applicazioni finestre di phishing, esegue comandi, mostra pubblicità e invia messaggi SMS.

Un altro malware piuttosto popolare, Trojan-Clicker.AndroidOS.Xafekopy finge di essere un’applicazione utile, spesso una di quelle che aiuta a ottimizzare l’uso della batteria di uno smartphone. Ed è anche abbastanza convincente, perché niente nell’interfaccia rivela la sua natura dannosa. E invece clicca su URL per il pagamento via WAP, così come su URL di pubblicità (i creatori dei Trojan spesso implementano vari metodi per ottenere profitti attraverso i propri malware.)

Come proteggere il vostro dispositivo dai Trojan che sfruttano i pagamenti via WAP

  1. Impedite l’installazione di applicazioni da fonti sconosciute. Questo tipo di Trojan può essere distribuito attraverso pubblicità e, con questo divieto attivato, semplicemente non potrete installarli. Per bloccare l’installazione da fonti sconosciute, andate su Impostazioni > Sicurezza del vostro smartphone e deselezionate l’opzione Fonti Sconosciute. In questo articolo potete saperne di più sulle impostazioni di sicurezza dei dispositivi Android;
  2. Il vostro operatore telefonico avrà probabilmente qualche tipo di portale “self-service” in cui potrete trovare tutti i servizi attivi, incluso l’abbonamento a servizi via WAP. Se il vostro saldo telefonico scende a vista d’occhio in maniera sospetta, allora vi consigliamo di consultare il portale del vostro operatore e verificare se siete abbonati a servizi non richiesti. Alcuni operatori permettono ai propri abbonati di disabilitare completamente i pagamenti via WAP;
  3. Installate una soluzione sicura e affidabile sul vostro dispositivo mobile. Per esempio, Kaspersky Internet Security for per Android è in grado di riconoscere e neutralizzare tutti i malware che abbiamo descritto finora. La versione gratuita richiede all’utente di avviare manualmente l’analisi, mentre la versione a pagamento effettua automaticamente la scansione, incluso ogni volta che viene installata una nuova applicazione.

 

Consigli