25 августа 2017

Трояны используют WAP-подписки, чтобы воровать деньги

Угрозы

Помните, что такое WAP? Да-да, то самое жалкое подобие мобильного интернета с микроскопическими, преимущественно текстовыми сайтами, которым мы пользовались, когда телефоны только-только научились передавать данные.

Несмотря на то, что сегодня эта странноватая технология уже практически канула в Лету, некоторые ее кусочки до сих пор поддерживаются мобильными операторами. Например, WAP billing — возможность оплачивать что-либо прямо на сайте и прямо с абонентского счета.

WAP billing как источник дохода преступников

У WAP-биллинга есть несколько проблем. Во-первых, он не очень-то прозрачен для покупателя. В теории на странице должно быть написано, что именно вы покупаете и сколько это будет стоить, но на практике это может быть не совсем так.

Во-вторых, в транзакции через WAP-биллинг, помимо покупателя, принимает участие сразу три стороны — мобильный оператор, провайдер платежной платформы и собственно продавец контента. Большое количество участников может усложнять процедуру возврата денег.

Ну и самое главное: для оплаты не используются банковские карты, поэтому нет необходимости хитрить, чтобы каким-то образом заставить потенциальную жертву ввести заветный номер карты. Собственно, у жертвы может вообще не быть карты — а вот абонентский счет есть у всех.

В сущности, это примерно то же самое, что и SMS на всякие интересные номера. Но есть важный нюанс: зловреды, использующие WAP-биллинг, устроены проще, чем похожие на них трояны, отправляющие SMS на платные номера. Здесь даже не обязательно учить свое зловредное творение получать доступ к отправке сообщений. Получается, что такие трояны могут зарабатывать своему создателю деньги абсолютно незаметно для пользователя, не требуя при этом никаких специальных разрешений вроде доступа к «Специальным возможностям».

Трояны, научившиеся использовать WAP billing

Собственно, этими прелестями WAP-биллинга активно пользуются киберпреступники, добавляя в своих троянов возможность незаметно открывать страницы с WAP-биллингом и кликать по кнопкам, инициирующим платеж. Исследователь Роман Унучек из «Лаборатории Касперского» обратил внимание на то, что во втором квартале 2017 года таких троянов стало особенно много.

Например, один из ярких примеров троянов такого рода — семейство Ubsod. Разновидность этого зловреда, детектируемая как Trojan-Clicker.AndroidOS.Ubsod, работает так: троян получает от центра управления URL-адреса сайтов с кнопками, ходит по ним и кликает, подписывая пользователя на всякие ненужные ему платные сервисы. Ну а поскольку операторы обязаны присылать SMS с оповещением о подписке, троян надрессирован удалять все SMS, содержащие текст «ubscri» или «одпи», то есть части слов «subscription» и «подписка». Также он умеет выключать Wi-Fi и переключаться на мобильный интернет — WAP-биллинг работает только при подключении через сотовую сеть, через Wi-Fi подписаться не получится.

Другой троян, который наши продукты детектируют как Trojan-Dropper.AndroidOS.Ubsod, делает все то же самое, но в придачу к этому умеет распаковывать скачанные вместе с ним файлы и запускать их. Третий, Trojan-Banker.AndroidOS.Ubsod, помимо всего вышеперечисленного, научен стандартным фокусам банковских троянов — показывать фишинговые окна поверх интерфейсов банковских приложений, исполнять команды, показывать рекламу и отправлять смски.

Еще один довольно популярный зловред, Trojan-Clicker.AndroidOS.Xafekopy, прикидывается полезным приложением. Чаще всего — каким-нибудь оптимизатором для увеличения времени работы смартфона от батареи. Выглядит вполне убедительно, визуально ничем не выдает свою зловредную природу, но при этом так же кликает по ссылкам, привязанным к WAP-биллингу, а заодно и по рекламным ссылкам — создатели троянов часто интегрируют в них сразу несколько способов заработка денег.

Понять, что на вашем мобильном устройстве поселился троян, пользующийся WAP-биллингом, можно только по тому, что с вашего абонентского счета куда-то вдруг делись все деньги. Ну или по тому, что ваше защитное решение обнаружило зловреда и уведомило вас о нем.

Как защититься от троянов, использующих WAP-биллинг

  1. В настройках смартфона запретите установку приложений из сторонних источников. Часто трояны такого рода распространяются через рекламу, и такая настройка просто не позволит их установить. Для этого достаточно убрать галочку напротив пункта Настройки -> Безопасность -> Неизвестные источники. Подробнее о полезных настройках безопасности Android читайте здесь.
  2. У вашего сотового оператора наверняка есть что-то вроде личного кабинета, где можно отследить все подключенные услуги, в том числе и WAP-подписки. Если деньги со счета убегают подозрительно быстро, зайдите в этот личный кабинет и посмотрите, не подписаны ли вы на что-нибудь платное и ненужное. Некоторые операторы позволяют вовсе отключить саму возможность подписки через WAP-биллинг.
  1. Установите на свое мобильное устройство надежное защитное решение. Например, Kaspersky Internet Security для Android умеет обнаруживать и обезвреживать весь вышеупомянутый зоопарк зловредов. В бесплатной версии сканирование надо запускать вручную, а платная делает это автоматически, в том числе и при попытке установить любое новое приложение.