Android.Trojan.MKero.A | Malware κάνει εγγραφές σε Ρremium SMS Services – – Τα θύματά του ίσως έρθουν αντιμέτωπα μ’ έναν τεράστιο λογαριασμό τηλεφώνου τον επόμενο μήνα.
Το Android.Trojan.MKero.A malware κάνει το comeback του στην ‘χώρα του Android’, και αυτή την φορά, οι hackers βρήκαν μια μέθοδο να το συνδέσουν με τις νόμιμες εφαρμογές, ικανό να παρακάμψει το Bouncer app scanning system της Google.
Ενώ το κακόβουλο λογισμικό εντοπίστηκε για πρώτη φορά το 2014 και κυρίως μοιραζόταν στους χρήστες κατά την διάρκεια εγκατάστασης εφαρμογών Android από ανεπιβεβαίωτες πηγές, αναφέρεται τώρα σε αρκετές περιπτώσεις όπου το εν λόγω trojan διανέμεται μέσω του επίσημου Google Play Store.
Αυτή τη φορά, το malware είναι ‘πακεταρισμένο’ μέσα σε διάφορα παιχνίδια Android, και αφού μολυνθούν οι χρήστες τους εγγράφει κρυφά σε premium υπηρεσίες SMS, και όλα αυτά χωρίς ο χρήστης να χρειάζεται να κάνει οποιαδήποτε ενέργεια.
Χρησιμοποιούν ανθρώπους για να παρακάμψουν τα φίλτρα CAPTCHA
Σύμφωνα με τους ερευνητές της BitDefender, το κακόβουλο λογισμικό χρησιμοποιεί έναν έξυπνο και περίπλοκο σύνολο διαδικασιών που του επιτρέπει να παρακάμψει διάφορους μηχανισμούς ασφάλειας που έχουν τεθεί σε εφαρμογή από τις premium SMS υπηρεσίες για προληπτικούς λόγους.
Κατ ‘αρχάς, εφόσον μολυνθεί η συσκευή, το κακόβουλο λογισμικό ξεκινά την επικοινωνία με έναν C&C server, απ’ όπου η διεύθυνση URL ενός premium subscription website φορτώνεται.
Το Android.Trojan.MKero.A ενεργοποιείται στη συνέχεια για να εξαγάγει την εικόνα CAPTCHA από τη φόρμα εγγραφής, την οποία στη συνέχεια την στέλνει στο antigate.com, μια Web service που βασίζεται σε ανθρώπους για να λύσουν το ‘γρίφο’ image-to-text CAPTCHAs.
Μετά την παραλαβή της λύσης του CAPTCHA από το antigate.com, το κακόβουλο λογισμικό εγγράφει το χρήστη στην υπηρεσία, και μετά την παραλαβή, την ανάλυση και την εξαγωγή του κωδικού επιβεβαίωσης από ένα μήνυμα SMS, εισέρχεται στον κώδικα στην ιστοσελίδα -στόχο, εγγράφοντας αποτελεσματικά τον χρήστη στην premium service.
Οι επιτιθέμενοι είναι πιθανότατα μέλη διαφόρων affiliate programs
Ο σκοπός της μόλυνσης των χρηστών με το Android.Trojan.MKero.A και, στη συνέχεια, η εγγραφή τους σε αυτό το είδος των υπηρεσιών είναι απλός. Ο εισβολέας πιθανόν να συμμετέχει σε διάφορα affiliates programs σε σχέση με τις υπηρεσίες αυτές, και έχει χρηματικά κέρδη από κάθε χρήστη που φέρνει.
Να ελέγχεται τους λογαριασμούς σας σε τακτά χρονικά διαστήματα είναι μια καλή ιδέα, δεδομένου ότι το αυξημένο κόστος που ήρθε από το πουθενά μπορεί να είναι ένα σημάδι μιας προσβολής από το κακόβουλο λογισμικο.
Το προσωπικό της BitDefender εντόπισε 7 μολυσμένα gaming apps στο Play Store της Google, τα οποία εντωμεταξύ έχουν αφαιρεθεί ήδη.
Android.Trojan.MKero.A attack timeline
