{"id":26693,"date":"2022-05-11T11:21:56","date_gmt":"2022-05-11T09:21:56","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=26693"},"modified":"2022-05-11T11:21:56","modified_gmt":"2022-05-11T09:21:56","slug":"trojans-subscribers-2022","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/trojans-subscribers-2022\/26693\/","title":{"rendered":"I trojan affamati di abbonamenti"},"content":{"rendered":"

L\u2019obiettivo di questo tipo di trojan \u00e8 quello di \u201ciscrivere\u201d le loro vittime a servizi premium e abbonamenti a pagamento. Ci\u00f2 costituisce un metodo tradizionale per sottrarre agli utenti Android il denaro da loro duramente guadagnato. Si infiltrano in uno smartphone sotto le sembianze di app utili e si iscrivono di nascosto a servizi a pagamento. Il pi\u00f9 delle volte, l\u2019abbonamento al servizio \u00e8 reale, solo che l\u2019utente molto probabilmente non ha bisogno di tale servizio.<\/p>\n

I creatori di tali Trojan guadagnano soldi tramite le commissioni; cio\u00e8, ricevono una determinata percentuale in base a quello che l\u2019utente spende. In questo caso, i soldi vengono di solito detratti dall\u2019account del telefono cellulare, ma possono anche essere addebitati direttamente tramite carta di credito. Ecco i trojan e i casi pi\u00f9 significativi che gli esperti di Kaspersky hanno osservato nell\u2019ultimo anno<\/a>.<\/p>\n

Iscrizioni a servizi a pagamento e codici di conferma nei messaggi di testo<\/h2>\n

I trojan della famiglia Jocker di solito vengono diffusi attraverso Google Play. I criminali informatici modificano le app utili e popolari aggiungendo un codice dannoso e caricandole nello store con un nome diverso. Queste potrebbero essere, per esempio, app per i messaggi di testo, il monitoraggio della pressione sanguigna o la scansione di documenti. I moderatori di Google Play lavorano costantemente per identificare tali app, ma ne spuntano sempre di nuove, e lo fanno pi\u00f9 velocemente di quanto possano rimuovere quelle gi\u00e0 trovate.<\/p>\n

\u00a0<\/p>\n

\"Alcune

Alcune delle app di Google Play che sono state infettate dal trojan Jocker<\/p><\/div>\n

\u00a0<\/p>\n

Ora analizziamo come funziona questa famiglia di trojan. In una situazione normale, per sottoscriversi a un servizio, un utente deve andare sul sito del fornitore di contenuti e cliccare o toccare il pulsante Iscriviti<\/em>. Per contrastare i tentativi automatici di sottoscrizione, i fornitori del servizi chiedono all\u2019utente di confermare la sua richiesta inserendo un codice inviato in un messaggio di\u00a0 testo. Per\u00f2 il malware della famiglia Jocker pu\u00f2 aggirare questo metodo di protezione.<\/p>\n

Dopo che l\u2019app infetta entra nel dispositivo, in molti casi richiede all\u2019utente l\u2019accesso ai messaggi di testo. In seguito, in una finestra invisibile, il trojan apre la pagina di iscrizione a servizi premium, simula il tocco del pulsante di iscrizione, ruba il codice di conferma dal messaggio di testo e si abbona in maniera automatica.<\/p>\n

Nei casi in cui l\u2019app non richieda l\u2019accesso agli SMS (perch\u00e9 dare questo accesso a un\u2019app per scannerizzare documenti, per esempio?), i trojan della famiglia Jocker richiedono l\u2019accesso alle notifiche. Questo rende possibile rubare il codice di conferma come prima, ma questa volta dalle notifiche pop-up sui messaggi in arrivo.<\/p>\n

Come i Trojan MobOk aggirano i CAPTCHA<\/h2>\n

I trojan della famiglia MobOk sono un po\u2019 pi\u00f9 sofisticati. Non solo rubano i codici di conferma dai messaggi di testi o dalle notifiche, ma aggirano i CAPTCHA<\/a>, un\u2019altra misura di protezione contro le sottoscrizioni automatiche. Per riconoscere il codice nell\u2019immagine, il trojan lo invia a un servizio speciale; l\u2019anno scorso abbiamo realizzato una ricerca<\/a> sul funzionamento delle click farm<\/em> che forniscono servizi di riconoscimento CAPTCHA.<\/p>\n

Per il resto, questo trojan opera in modo simile ai trojan della famiglia Jocker. In diversi casi, MobOk \u00e8 stato diffuso come payload del trojan Triada, il pi\u00f9 delle volte attraverso app preinstallate su alcuni modelli di smartphone, modifiche<\/a> non ufficiali di WhatsApp<\/a> o lo store alternativo di app APKPure<\/a>. A volte \u00e8 possibile trovare app infettate da MobOk anche su Google Play.<\/p>\n

Trojan diffusi tramite fonti non ufficiali<\/h2>\n

I malware della famiglia Vesub vengono diffusi anche attraverso fonti dubbie sotto le sembianze di app in genere bandite dagli store ufficiali per vari motivi come, ad esempio, fingendosi app per scaricare contenuti da YouTube o da altri servizi di streaming come Tubemate o Vidmate, o come una versione Android non ufficiale di GTA5. Inoltre, \u00e8 possibile trovarli in queste stesse fonti facendosi spacciare per versioni gratuite di app popolari e costose, come Minecraft.<\/p>\n

\"Trojan

Trojan Vesub facendosi passare per Tubemate, Vidmate, GTA5, Minecraft o il misterioso GameBeyond<\/p><\/div>\n

\u00a0<\/p>\n

A differenza dei malware della famiglia MobOk e Jocker, le app infettate da Vesub spesso non apportano nulla all\u2019utente. Subito dopo essere installate, realizzano l\u2019iscrizione a un abbonamento non richiesto e nascondono all\u2019utente le finestre pertinenti, mostrando in superficie una finestra di caricamento dell\u2019app. In alcuni casi, le app infettate da MobOk possono offrire qualche servizio utile, ma sono solo rare eccezioni.<\/p>\n

Login tramite numero di telefono<\/h2>\n

I trojan GriftHorse.ae sono ancora meno elaborati. Quando vengono lanciati per la prima volta, chiedono all\u2019utente di inserire il proprio numero di telefono, apparentemente per realizzare il login. La sottoscrizione all\u2019abbonamento scatta non appena l\u2019utente lo inserisce: quando clicca sul pulsante Login<\/em>, gli viene automaticamente prelevato il costo dell\u2019abbonamento dal suo account. Questo malware di solito si presenta come un\u2019app per recuperare file cancellati, modificare foto o video, far lampeggiare la torcia sulle chiamate in arrivo, app di navigazione, scansione di documenti, traduzione e cos\u00ec via. In realt\u00e0 le app infette non offrono nulla di utile.<\/p>\n

Abbonamenti Autopay<\/h2>\n

Nonostante il nome simile, i trojan GriftHorse.l usano uno schema diverso: realizzano iscrizioni ad abbonamenti con pagamenti ricorrenti. Ufficialmente questo avviene con il consenso diretto dell\u2019utente, ma le vittime potrebbero non rendersi conto che si stanno sottoscrivendo a un abbonamento con pagamenti automatici periodici. Il secondo trucco \u00e8 che il primo addebito \u00e8 irrisorio, mentre gli addebiti successivi sono notevolmente pi\u00f9 corposi.<\/p>\n

In passato, abbiamo analizzato strategie simili come quelle adottate da siti falsi che offrono abbonamenti a corsi di formazione<\/a>. In questo caso la meccanica \u00e8 pi\u00f9 o meno la stessa, ma implementata all\u2019interno dell\u2019app<\/a>. Il trojan viene diffuso in gran parte attraverso Google Play e il denaro viene addebitato direttamente su una carta di credito, con le informazioni di pagamento richieste per accedere al contenuto.<\/p>\n

Come non cadere vittima dei truffatori<\/h2>\n

Capire come cancellare una sottoscrizione a pagamento indesiderata pu\u00f2 essere molto complicato. Quindi, come sempre, prevenire \u00e8 meglio che curare. Ecco alcuni consigli per difendersi dai trojan che sottoscrivono abbonamenti!<\/p>\n