Les applications de fraude à la facturation peuvent désactiver le Wi-Fi Android et intercepter les messages texte

Les développeurs de logiciels malveillants Android intensifient leur jeu de fraude à la facturation avec des purposes qui désactivent les connexions Wi-Fi, abonnent subrepticement les utilisateurs à des providers sans fil coûteux et interceptent les messages texte, le tout dans le but de percevoir des frais élevés auprès d’utilisateurs sans méfiance, a déclaré Microsoft vendredi.

Cette classe de menaces est une réalité sur la plate-forme Android depuis des années, comme en témoigne une famille de logiciels malveillants connue sous le nom de Joker, qui a infecté des millions de téléphones depuis 2016. Malgré la prise de conscience du problème, peu d’attention a été accordée aux approaches. qu’utilisent ces logiciels malveillants de “fraude à l’interurbain”. Entrez Microsoft, qui a publié un plongée procedure approfondie sur la issue.

Le mécanisme de facturation abusé dans ce sort de fraude est le WAP, abréviation de protocole d’application sans fil, qui fournit un moyen d’accéder aux informations sur un réseau mobile. Les utilisateurs de téléphones portables peuvent s’abonner à ces providers en visitant la webpage World wide web d’un fournisseur de expert services pendant que leurs appareils sont connectés au support cellulaire, puis en cliquant sur un bouton. Dans certains cas, l’opérateur répondra en envoyant un mot de passe à use special (OTP) au téléphone et en demandant à l’utilisateur de le renvoyer afin de vérifier la demande d’abonnement. Le processus ressemble à ceci :

Le but des apps malveillantes est d’abonner automatiquement les téléphones infectés à ces products and services WAP, sans préavis ni consentement du propriétaire. Microsoft a déclaré que les purposes Android malveillantes que ses chercheurs ont analysées atteignent cet objectif en suivant ces étapes :

1. Désactivez la connexion Wi-Fi ou attendez que l’utilisateur bascule sur un réseau cellular
2. Accédez silencieusement à la web page d’abonnement
3. Cliquez automatiquement sur le bouton d’abonnement
4. Intercepter l’OTP (le cas échéant)
5. Envoyer l’OTP au fournisseur de solutions (le cas échéant)
6. Annuler les notifications par SMS (le cas échéant)

Les développeurs de logiciels malveillants ont plusieurs façons de forcer un téléphone à utiliser une connexion cellulaire même lorsqu’il est connecté au Wi-Fi. Sur les appareils exécutant Android 9 ou une variation antérieure, les développeurs peuvent appeler le setWifiEnabled méthode de la WifiManager classer. Pour les variations 10 et supérieures, les développeurs peuvent utiliser le requestNetwork fonction de la ConnectivityManager classer. Finalement, les téléphones chargeront les données exclusivement sur le réseau cellulaire, comme le montre cette image :

Une fois qu’un téléphone utilise le réseau cellulaire pour la transmission de données, l’application malveillante ouvre subrepticement un navigateur en arrière-prepare, accède à la page d’abonnement WAP et clique sur un bouton d’abonnement. La affirmation de l’abonnement peut être délicate auto les invites de affirmation peuvent provenir des protocoles SMS, HTTP ou USSD. Microsoft suggest des méthodes spécifiques que les développeurs de logiciels malveillants peuvent utiliser pour contourner chaque type de confirmation. Le information de Microsoft explique ensuite remark le logiciel malveillant supprime les messages périodiques que le provider d’abonnement peut envoyer à l’utilisateur pour lui rappeler son abonnement.

“En abonnant les utilisateurs à des services premium, ce logiciel malveillant peut entraîner des frais de facturation importants pour les victimes”, ont écrit les chercheurs de Microsoft. “Les appareils concernés présentent également un risque accru automobile cette menace parvient à échapper à la détection et peut atteindre un nombre élevé d’installations avant un seul. la variante est supprimée.”

Google interdit activement les apps de son marché Enjoy lorsqu’il détecte des signes de fraude ou de malveillance, ou lorsqu’il reçoit des rapports d’applications malveillantes de tiers. Bien que Google ne supprime souvent les apps malveillantes qu’après avoir infecté des millions d’utilisateurs, les apps téléchargées depuis Participate in sont généralement considérées comme furthermore fiables que les applications de marchés tiers.