Ερευνητές ασφαλείας της Check Point ανακάλυψαν ένα νέο Android malware, που χρησιμοποιείται σε επιθέσεις εναντίον χρηστών στη Νοτιοανατολική Ασία (κυρίως). Το νέο malware ονομάζεται WAPDropper και αυτή τη στιγμή διανέμεται μέσω κακόβουλων εφαρμογών που φιλοξενούνται σε καταστήματα εφαρμογών τρίτων.
Η Check Point είπε ότι όταν το WAPDropper malware μολύνει έναν χρήστη, αρχίζει να τον εγγράφει για premium αριθμούς τηλεφώνου που δημιουργούν μεγάλες χρεώσεις για διάφορους τύπους υπηρεσιών.
Το αποτέλεσμα είναι ότι οι μολυσμένοι χρήστες λαμβάνουν μεγάλους λογαριασμούς τηλεφώνου κάθε μήνα μέχρι να διαγραφούν από τις premium υπηρεσίες ή να αναφέρουν το ζήτημα στον πάροχο κινητής τηλεφωνίας τους.
Αυτή η επίθεση είναι γνωστή ως “απάτη WAP” και ήταν πολύ δημοφιλής στα τέλη της δεκαετίας του 2000 και στις αρχές του 2010. Εξαφανίστηκε με την άνοδο των smartphone, αλλά επέστρεψε ξανά όταν οι δημιουργοί malware συνειδητοποίησαν ότι πολλά σύγχρονα τηλέφωνα και τηλεπικοινωνίες υποστηρίζουν το παλαιότερο WAP standard.
Η συμμορία WAPDropper έχει πιθανότητα τη βάση της στην Ασία
Η Check Point αναφέρει ότι με βάση τους premium αριθμούς που χρησιμοποιούνται σε αυτές τις επιθέσεις, η συμμορία πίσω από το WAPDropper malware πιθανότατα έχει τη βάση της ή συνεργάζεται με κάποιον στην Ταϊλάνδη ή τη Μαλαισία.
“Είναι απλώς ένα παιχνίδι αριθμών: όσες περισσότερες κλήσεις πραγματοποιούνται με τις υπηρεσίες premium, τόσα περισσότερα έσοδα δημιουργούνται για όσους βρίσκονται πίσω από τις υπηρεσίες. Όλοι κερδίζουν, εκτός από τα θύματα της απάτης“.
Όσον αφορά το ίδιο το κακόβουλο λογισμικό, η Check Point λέει ότι το WAPDropper λειτουργεί με δύο διαφορετικά modules. Το πρώτο είναι ένα dropper, ενώ το δεύτερο είναι το βασικό component που πραγματοποιεί την απάτη WAP.
Μετά τη λήψη και την εγκατάσταση των κακόβουλων εφαρμογών σε μια συσκευή, το dropper κατεβάζει το δεύτερο component. Έτσι, αρχίζει η απάτη.
Οι ερευνητές της Check Point προειδοποιούν ότι το malware μπορεί να χρησιμοποιηθεί αργότερα και για την εγκατάσταση άλλων malware.
“Αυτός ο τύπος “dropper” πολλαπλών λειτουργιών, ο οποίος εγκαθίσταται κρυφά στο τηλέφωνο ενός χρήστη και, στη συνέχεια, κατεβάζει άλλα malware, αποτελούσε βασική τάση μόλυνσης το 2020. Αυτά τα “dropper” trojans αντιπροσώπευαν σχεδόν τις μισές mobile malware επιθέσεις που πραγματοποιήθηκαν μεταξύ Ιανουαρίου και Ιουλίου 2020″, είπε ο Aviran Hazum, ερευνητής της Check Point.
“Αναμένω ότι η τάση θα συνεχιστεί και το νέο έτος“, είπε ακόμα και τόνισε ότι οι χρήστες θα πρέπει να κατεβάζουν εφαρμογές μόνο από το επίσημο Google Play Store.
Η ερευνητική ομάδα της Check Point είπε ότι προς το παρόν έχουν βρει το WAPDropper malware σε εφαρμογές με τα ονόματα: “af,” “dolok”, μια εφαρμογή email που ονομάζεται “Email” και ένα παιδικό παιχνίδι με το όνομα “Awesome Polar Fishing”. Οι χρήστες που έχουν κατεβάσει αυτές τις εφαρμογές από καταστήματα εκτός του Play Store, πρέπει να τις αφαιρέσουν από τις συσκευές τους το συντομότερο δυνατό.
Πηγή: ZDNet