Microsoft đã trình bày chi tiết về khả năng phát triển của các ứng dụng phần mềm độc hại gian lận cước phí trên Android, chỉ ra “quy trình tấn công nhiều bước phức tạp” và cơ chế cải tiến để tránh phân tích bảo mật.
Gian lận thu phí thuộc một loại gian lận thanh toán, trong đó các ứng dụng di động độc hại đi kèm với phí đăng ký ẩn, đưa người dùng không nghi ngờ đến nội dung cao cấp mà họ không biết hoặc không đồng ý.
Nó cũng khác với các mối đe dọa phần mềm lông cừu khác ở chỗ các chức năng độc hại chỉ được thực hiện khi một thiết bị bị xâm nhập được kết nối với một trong các nhà khai thác mạng mục tiêu của nó.
“Theo mặc định, nó cũng sử dụng kết nối di động cho các hoạt động của nó và buộc các thiết bị phải kết nối với mạng di động ngay cả khi có kết nối Wi-Fi”, Dimitrios Valsamaras và Sang Shin Jung thuộc Nhóm nghiên cứu Microsoft 365 Defender cho biết. phân tích.
“Một khi kết nối với mạng mục tiêu được xác nhận, nó sẽ lén lút bắt đầu một đăng ký gian lận và xác nhận nó mà không có sự đồng ý của người dùng, trong một số trường hợp, thậm chí có thể chặn mật khẩu dùng một lần (OTP) để làm như vậy.”
Các ứng dụng như vậy cũng được biết là ngăn chặn các thông báo SMS liên quan đến đăng ký để ngăn nạn nhân biết được giao dịch gian lận và hủy đăng ký dịch vụ.
Về cơ bản, gian lận số phí lợi dụng phương thức thanh toán cho phép người tiêu dùng đăng ký các dịch vụ trả phí từ các trang web hỗ trợ Giao thức Ứng dụng Không dây (WAP). Phí đăng ký này được tính trực tiếp vào hóa đơn điện thoại di động của người dùng, do đó loại bỏ nhu cầu thiết lập thẻ tín dụng hoặc thẻ ghi nợ hoặc nhập tên người dùng và mật khẩu.
“Nếu người dùng kết nối với Internet thông qua dữ liệu di động, nhà khai thác mạng di động có thể xác định họ bằng địa chỉ IP”, Kaspersky lưu ý trong một báo cáo năm 2017 về các trình kích trojan thanh toán WAP. “Các nhà khai thác mạng di động chỉ tính phí người dùng nếu họ được xác định thành công.”
Theo tùy chọn, một số nhà cung cấp cũng có thể yêu cầu OTP làm lớp xác nhận đăng ký thứ hai trước khi kích hoạt dịch vụ.
Các nhà nghiên cứu cho biết: “Trong trường hợp gian lận số phí, phần mềm độc hại thực hiện đăng ký thay mặt cho người dùng theo cách mà quá trình tổng thể không thể nhận ra được”. “Phần mềm độc hại sẽ giao tiếp với [command-and-control] máy chủ để truy xuất danh sách các dịch vụ được cung cấp. “
Nó đạt được điều này bằng cách đầu tiên tắt Wi-Fi và bật dữ liệu di động, tiếp theo là sử dụng JavaScript để lén lút đăng ký dịch vụ và chặn và gửi mã OTP (nếu có) để hoàn tất quá trình.
Về phần nó, mã JavaScript được thiết kế để nhấp vào các phần tử HTML có chứa các từ khóa như “xác nhận”, “nhấp” và “tiếp tục” để bắt đầu đăng ký theo chương trình.
Khi đăng ký gian lận thành công, phần mềm độc hại sẽ che giấu các tin nhắn thông báo đăng ký hoặc lạm dụng quyền SMS của nó để xóa các tin nhắn SMS đến chứa thông tin về dịch vụ đã đăng ký từ nhà khai thác mạng di động.
Phần mềm độc hại gian lận thu phí cũng được biết là che giấu hành vi độc hại của nó bằng cách tải mã động, một tính năng trong Android cho phép các ứng dụng kéo các mô-đun bổ sung từ máy chủ từ xa trong thời gian chạy, khiến nó trở nên chín muồi để bị các tác nhân độc hại lạm dụng.
Từ quan điểm bảo mật, điều này cũng có nghĩa là tác giả phần mềm độc hại có thể tạo một ứng dụng sao cho chức năng giả mạo chỉ được tải khi đáp ứng một số điều kiện tiên quyết nhất định, đánh bại hiệu quả các kiểm tra phân tích mã tĩnh.
“Nếu một ứng dụng cho phép tải mã động và mã được tải động đang trích xuất tin nhắn văn bản, thì ứng dụng đó sẽ được phân loại là phần mềm độc hại cửa sau”, Google đưa ra trong tài liệu dành cho nhà phát triển về các ứng dụng có khả năng gây hại (PHA).
Với tỷ lệ cài đặt 0,022%, các ứng dụng gian lận số phí chiếm 34,8% trong tổng số PHA được cài đặt từ chợ ứng dụng Android trong quý đầu tiên năm 2022, xếp dưới phần mềm gián điệp. Hầu hết các cài đặt có nguồn gốc từ Ấn Độ, Nga, Mexico, Indonesia và Thổ Nhĩ Kỳ.
Để giảm thiểu mối đe dọa từ phần mềm độc hại gian lận số phí, người dùng chỉ nên cài đặt các ứng dụng từ Cửa hàng Google Play hoặc các nguồn đáng tin cậy khác, tránh cấp quá nhiều quyền cho các ứng dụng và xem xét nâng cấp lên một thiết bị mới nếu thiết bị ngừng nhận các bản cập nhật phần mềm.
.
