El malware de "fraude de llamadas" desactiva su WiFi para forzar suscripciones

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft advierte que el malware de fraude telefónico es una de las amenazas más frecuentes en Android y que está evolucionando con funciones que permiten la suscripción automática a servicios premium.

El fraude telefónico es un subconjunto del fraude de facturación, en el que el actor de amenazas engaña a las víctimas para que llamen o envíen un SMS a un número premium.

La diferencia es que el fraude telefónico no funciona en WiFi y obliga a los dispositivos a conectarse a la red del operador móvil.

Descripción general del fraude de llamadas

En un informe de hoy, Microsoft comparte detalles técnicos sobre cómo funciona el malware de fraude telefónico y cómo se puede prevenir en Android.

El fraude de llamadas funciona sobre el Protocolo de aplicación inalámbrica (WAP), que permite a los consumidores suscribirse a contenido pago y agregar el cargo a su factura telefónica.

Esto requiere una conexión a través de la red móvil y que el cliente haga clic en un botón de suscripción. Algunos servicios envían una contraseña de un solo uso (OTP) para que los clientes confirmen su elección.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El malware que permite el fraude telefónico hace todo esto automáticamente al iniciar la suscripción fraudulenta, interceptar las OTP y suprimir las notificaciones que podrían alertar a la víctima.

Microsoft identificó varios pasos en el proceso que normalmente ocurre sin que los usuarios se den cuenta:

    Deshabilite la conexión Wi-Fi o espere a que el usuario cambie a una red móvil
    Navegue silenciosamente a la página de suscripción
    Haga clic automáticamente en el botón de suscripción
    Interceptar la OTP (si corresponde)
    Enviar la OTP al proveedor de servicios (si corresponde)
    Cancelar las notificaciones por SMS (si corresponde)

Deshabilitar la conexión WiFi

El malware comienza recopilando datos sobre el país y la red móvil del suscriptor, para lo cual Android no requiere permiso del usuario.

Un paso clave es deshabilitar la conexión WiFi y obligar al dispositivo a usar la red del operador. En Android 9 (nivel de API 28) o inferior, esto es posible con un nivel de permiso de protección normal.

El malware de fraude de llamadas luego usa 'NetworkCallbak' para monitorear el estado de la red y obtener la variable 'networktype' para vincular el proceso a una red específica, lo que obliga al dispositivo a ignorar una conexión WiFi disponible y usar la del operador móvil.

La única forma en que el usuario puede evitar esto es deshabilitar manualmente los datos móviles.

Si el operador de telefonía móvil de la víctima está en la lista de objetivos, el malware procede a buscar una lista de sitios web que brindan servicios premium e intenta suscribirse a ellos automáticamente.

Si bien existen múltiples escenarios de suscripción, los usuarios normalmente hacen clic en un elemento HTML y luego envían un código de verificación al servidor.

"Para que el malware haga esto automáticamente, observa el progreso de carga de la página e inyecta código JavaScript diseñado para hacer clic en los elementos HTML que inician la suscripción. Como el usuario solo puede suscribirse una vez a un servicio, el código también marca la página HTML mediante una cookie para evitar suscripciones duplicadas" - Microsoft

Microsoft señala que a veces se puede requerir una verificación adicional. Las muestras de malware de fraude telefónico que analizó la compañía también tienen métodos para lograrlo.

Algunos operadores finalizan la suscripción solo después de verificar que el usuario lo autorizó a través de un código OTP entregado a través de SMS, HTTP o USSD (Datos de servicio complementarios no estructurados), siendo los dos primeros los más populares.

El malware de Android que roba datos de SMS no es nada especial y recopila los mensajes recibidos a través del protocolo HTML, el código debe analizarse en busca de cadenas que indiquen un token de verificación.

Una vez que el actor de amenazas obtiene el código de autorización, puede completar la suscripción al servicio premium seleccionado.

Sin embargo, esto no es suficiente, ya que las víctimas pueden recibir notificaciones sobre la suscripción, por lo que deben suprimirse.

"Desde el nivel 18 de la API, una aplicación que amplía el NotificationListenerService está autorizada para suprimir las notificaciones activadas desde otras aplicaciones" - Microsoft

Los desarrolladores de malware tienen un subconjunto de tres llamadas API de las que pueden abusar para silenciar las notificaciones por SMS de otras aplicaciones:

    cancelAllNotifications() para informar al administrador de notificaciones que descarte todas las notificaciones
    cancelNotification (clave de cadena) para informar al administrador de notificaciones que descarte una sola notificación
    cancelNotifications(String [] teclas) para informar al administrador de notificaciones que descarte varias notificaciones a la vez

Los desarrolladores de malware de fraude telefónico también implementan mecanismos para mantener el comportamiento malicioso lo más discreto posible. Una forma es mantener el malware inerte si la red móvil del dispositivo infectado no está en la lista.

Otro método es utilizar la carga dinámica de código, que permite que cierto código se cargue solo si se cumplen condiciones específicas. Esto dificulta la detección del malware, especialmente en el análisis estático.

Mantener el malware de fraude telefónico fuera de su dispositivo se reduce a verificar que la fuente para descargar su fuente de Android sea confiable, como Play Store de Google/

Además, mirar los permisos solicitados durante la instalación es una buena manera de reducir el riesgo de que el malware se propague en su dispositivo, así como de proteger su privacidad.

Microsoft también recomienda a los usuarios que eviten permitir que las aplicaciones lean o envíen SMS, accedan a notificaciones o accedan a menos que estos permisos sean necesarios para el funcionamiento normal.

Para un nivel de API más alto, existe la función 'requestNetwork' que se incluye en el permiso CHANGE_NETWORK_STATE, que también viene con un nivel de protección normal.

Microsoft mostró esto en un código de muestra del malware Joker que se ha abierto paso constantemente en la Play Store de Google durante más de media década.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta