Oggi vi spieghiamo come gli utenti Android cadono vittime dei trojan Jocker, MobOk, Vesub e GriftHorse.
Lโobiettivo di questo tipo di trojan รจ quello di โiscrivereโ le loro vittime a servizi premium e abbonamenti a pagamento. Ciรฒ costituisce un metodo tradizionale per sottrarre agli utenti Android il denaro da loro duramente guadagnato. Si infiltrano in uno smartphone sotto le sembianze di app utili e si iscrivono di nascosto a servizi a pagamento. Il piรน delle volte, lโabbonamento al servizio รจ reale, solo che lโutente molto probabilmente non ha bisogno di tale servizio.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
I creatori di tali Trojan guadagnano soldi tramite le commissioni; cioรจ, ricevono una determinata percentuale in base a quello che lโutente spende. In questo caso, i soldi vengono di solito detratti dallโaccount del telefono cellulare, ma possono anche essere addebitati direttamente tramite carta di credito. Ecco i trojan e i casi piรน significativi che gli esperti di Kasperskyย hanno osservato nellโultimo anno.
Iscrizioni a servizi a pagamento e codici di conferma nei messaggi di testo
I trojan della famiglia Jocker di solito vengono diffusi attraverso Google Play. I criminali informatici modificano le app utili e popolari aggiungendo un codice dannoso e caricandole nello store con un nome diverso. Queste potrebbero essere, per esempio, app per i messaggi di testo, il monitoraggio della pressione sanguigna o la scansione di documenti. I moderatori di Google Play lavorano costantemente per identificare tali app, ma ne spuntano sempre di nuove, e lo fanno piรน velocemente di quanto possano rimuovere quelle giร trovate.
Alcune delle app di Google Play che sono state infettate dal trojan Jocker
Ora analizziamo come funziona questa famiglia di trojan. In una situazione normale, per sottoscriversi a un servizio, un utente deve andare sul sito del fornitore di contenuti e cliccare o toccare il pulsanteย Iscriviti. Per contrastare i tentativi automatici di sottoscrizione, i fornitori del servizi chiedono allโutente di confermare la sua richiesta inserendo un codice inviato in un messaggio diย testo. Perรฒ il malware della famiglia Jocker puรฒ aggirare questo metodo di protezione.
Dopo che lโapp infetta entra nel dispositivo, in molti casi richiede allโutente lโaccesso ai messaggi di testo. In seguito, in una finestra invisibile, il trojan apre la pagina di iscrizione a servizi premium, simula il tocco del pulsante di iscrizione, ruba il codice di conferma dal messaggio di testo e si abbona in maniera automatica.
Nei casi in cui lโapp non richieda lโaccesso agli SMS (perchรฉ dare questo accesso a unโapp per scannerizzare documenti, per esempio?), i trojan della famiglia Jocker richiedono lโaccesso alle notifiche. Questo rende possibile rubare il codice di conferma come prima, ma questa volta dalle notifiche pop-up sui messaggi in arrivo.
Come i Trojan MobOk aggirano i CAPTCHA
I trojan della famiglia MobOk sono un poโ piรน sofisticati. Non solo rubano i codici di conferma dai messaggi di testi o dalle notifiche, ma aggirano iย CAPTCHA, unโaltra misura di protezione contro le sottoscrizioni automatiche. Per riconoscere il codice nellโimmagine, il trojan lo invia a un servizio speciale; lโanno scorsoย abbiamo realizzato una ricercaย sul funzionamento delleย click farmย che forniscono servizi di riconoscimento CAPTCHA.
Intermezzo promozionale ... continua la lettura dopo il box:
Per il resto, questo trojan opera in modo simile ai trojan della famiglia Jocker. In diversi casi, MobOk รจ stato diffuso come payload del trojan Triada, il piรน delle volte attraverso app preinstallate su alcuni modelli di smartphone,ย modificheย non ufficiali diย WhatsAppย o lo store alternativo diย app APKPure. A volte รจ possibile trovare app infettate da MobOk anche su Google Play.
Trojan diffusi tramite fonti non ufficiali
I malware della famiglia Vesub vengono diffusi anche attraverso fonti dubbie sotto le sembianze di app in genere bandite dagli store ufficiali per vari motivi come, ad esempio, fingendosi app per scaricare contenuti da YouTube o da altri servizi di streaming come Tubemate o Vidmate, o come una versione Android non ufficiale di GTA5. Inoltre, รจ possibile trovarli in queste stesse fonti facendosi spacciare per versioni gratuite di app popolari e costose, come Minecraft.
Trojan Vesub facendosi passare per Tubemate, Vidmate, GTA5, Minecraft o il misterioso GameBeyond
A differenza dei malware della famiglia MobOk e Jocker, le app infettate da Vesub spesso non apportano nulla allโutente. Subito dopo essere installate, realizzano lโiscrizione a un abbonamento non richiesto e nascondono allโutente le finestre pertinenti, mostrando in superficie una finestra di caricamento dellโapp. In alcuni casi, le app infettate da MobOk possono offrire qualche servizio utile, ma sono solo rare eccezioni.
Login tramite numero di telefono
I trojan GriftHorse.ae sono ancora meno elaborati. Quando vengono lanciati per la prima volta, chiedono allโutente di inserire il proprio numero di telefono, apparentemente per realizzare il login. La sottoscrizione allโabbonamento scatta non appena lโutente lo inserisce: quando clicca sul pulsanteย Login, gli viene automaticamente prelevato il costo dellโabbonamento dal suo account. Questo malware di solito si presenta come unโapp per recuperare file cancellati, modificare foto o video, far lampeggiare la torcia sulle chiamate in arrivo, app di navigazione, scansione di documenti, traduzione e cosรฌ via. In realtร le app infette non offrono nulla di utile.
Abbonamenti Autopay
Nonostante il nome simile, i trojan GriftHorse.l usano uno schema diverso: realizzano iscrizioni ad abbonamenti con pagamenti ricorrenti. Ufficialmente questo avviene con il consenso diretto dellโutente, ma le vittime potrebbero non rendersi conto che si stanno sottoscrivendo a un abbonamento con pagamenti automatici periodici. Il secondo trucco รจ che il primo addebito รจ irrisorio, mentre gli addebiti successivi sono notevolmente piรน corposi.
In passato, abbiamo analizzato strategie simili come quelle adottate da siti falsi che offrono abbonamenti aย corsi di formazione. In questo caso la meccanica รจ piรน o meno la stessa, maย implementata allโinterno dellโapp. Il trojan viene diffuso in gran parte attraverso Google Play e il denaro viene addebitato direttamente su una carta di credito, con le informazioni di pagamento richieste per accedere al contenuto.
Come non cadere vittima dei truffatori
Capire come cancellare una sottoscrizione a pagamento indesiderata puรฒ essere molto complicato. Quindi, come sempre, prevenire รจ meglio che curare. Ecco alcuni consigli per difendersi dai trojan che sottoscrivono abbonamenti!
- Prima di tutto, non installate app da fonti non ufficiali. Questo migliorerร notevolmente la sicurezza del vostro dispositivo.
- ร sempre bene acquistare app da fonti ufficiali; purtroppo, perรฒ, anche le fonti ufficiali non sono mai sicure al 100%. Pertanto, prima di scaricare unโapp da Google Play o da un altro store, assicuratevi di controllare le recensioni e le valutazioni.
- Osservate anche la data in cui lโapp รจ apparsa sulla piattaforma. Gli store rimuovono constantemente le app false e pericolose, quindi i truffatori creano sempre nuove versioni di app infette. Perciรฒ, se unโapp che vi interessa รจ apparsa nello store solo di recente, diffidate.
- Date alle app unย accesso minimo al vostro dispositivo. Prima di permettere ad unโapp di leggere i vostri SMS o notifiche, chiedetevi se ne ha davvero bisogno.
- Infine, installate unย antivirus per smartphone affidabile come Kaspersky; vi aiuterร a proteggere il vostro telefono da tutte le minacce digitali, compresi i trojan.
Fonte : https://www.kaspersky.it/
