WAPDropper, il malware mobile che truffa gli utenti abbonandoli a servizi premium: i dettagli - Cyber Security 360

L'ANALISI TECNICA

WAPDropper, il malware mobile che truffa gli utenti abbonandoli a servizi premium: i dettagli

Attenti a WAPDropper, il nuovo malware mobile che ha riportato in auge la truffa degli abbonamenti a servizi a pagamento per rubare denaro alle vittime. Ecco tutti i dettagli e i consigli per proteggersi

27 Nov 2020
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Si chiama WAPDropper il nuovo malware che infetta i dispositivi mobili e abbona le vittime, a loro insaputa, a servizi a pagamento.

La caratteristica principale di WAPDropper è la sua capacità di bypassare la verifica di sicurezza mediante codici CAPTCHA che di solito è richiesta per abbonarsi a questi servizi grazie all’utilizzo di algoritmi di machine learning sviluppati da una società cinese chiamata “Super Eagle”.

Il malware WAPDropper è attualmente diffuso mediante una nuova campagna IRSF (International Revenue Share Fraud) scoperta dagli analisti Check Point.

WAPDropper: i dettagli della frode telefonica IRSF

L’IRSF è un tipo di frode telefonica con la quale i criminal hacker, utilizzando ad esempio telefoni violati, schede SIM rubate o dei Private Branch Exchange (PBX) aziendali compromessi, effettuano chiamate non autorizzate a carico dell’ignara vittima, indirizzandola verso delle linee dedicate allo scopo di convogliare, a scopo di lucro, un gran volume di chiamate su servizi a pagamento.

A prescindere dalle tecniche impiegate, l’International Revenue Share Fraud è una categoria di truffa che risulta difficile da contrastare a causa della complessità intrinseca della rete mobile e del coinvolgimento molto spesso di più operatori, e che genera, secondo i ricercatori Check Point, un business con profitti illeciti che vanno dai 4 ai 6 miliardi di dollari all’anno.

Come funziona il nuovo malware WAPDropper

Analizzando i campioni di WAPDropper, i ricercatori Check Point hanno scoperto che il malware è costituito fondamentalmente da due diversi moduli:

  • un modulo dropper deputato al download del malware di seconda fase;
  • un modulo dialer premium che si occupa delle registrazioni delle vittime ad abbonamenti premium e offerti da fornitori di servizi di telecomunicazione legittimi (nella fattispecie trattasi di operatori del sud-est asiatico operanti in Thailandia e Malesia).

Questi tipi di dropper multifunzione e le peculiarità tipiche dei trojan, che si installano furtivamente sui telefoni target allo scopo di scaricare ulteriori codici malevoli, fanno parte di una famiglia di malware mobile che, secondo i ricercatori, sono stati molto attivi e comuni nel corso del 2020.

A tal proposito, il rapporto di metà anno sulle tendenze degli attacchi informatici (“Cyber Attack Trends: 2020 Mid-Year Report” – Check Point Research) ha evidenziato come quasi la metà di tutti gli attacchi nel settore “malware mobile”, tra gennaio e luglio di quest’anno a livello globale, sono stati perpetrati con centinaia di milioni d’infezioni del genere.

WHITEPAPER
Gli step per costruire una percorso efficace di Cyber Security Awareness
Sicurezza

Lo scenario tipico di attacco rilevato prevede che la catena infettiva inizi con il download di un’app infetta effettuato sul dispositivo mobile da uno store non ufficiale.

A questo punto, avvenuta l’installazione del payload, il modulo dropper procede a dialogare con un server di comando e controllo (C2 Hard-Coded) per scaricare il secondo modulo dialer che, con una piccola schermata web, tenta di iscrivere il malcapitato utente ai servizi premium offerti da determinate società di telecomunicazioni legittime.

Qualora fosse necessaria una verifica CAPTCHA per finalizzare l’abbonamento, WAPDropper è in grado anche di superare tale test utilizzando una soluzione di machine learning per il riconoscimento delle immagini ovvero il progetto “Super Eagle” prodotto da un’azienda cinese.

Flusso dello scenario di attacco del malware mobile WAPDropper.

Come proteggersi da questa nuova minaccia

Per evitare di essere colpiti da malware come WAPDropper, una delle principali regole che gli utenti dovrebbero seguire è quella di scaricare app solo dagli store ufficiali (App Store di Apple e Google Play Store), anche se purtroppo questa misura può non risultare sempre sicura, come dimostrano le varie e famigerate campagne d’infezione malware Cerberus e Alien che nei mesi scorsi hanno dato non pochi grattacapi ai team di sicurezza.

In ogni caso, downloader e installer di terze parti abusive dovrebbero essere banditi in quanto l’impiego di strumenti di cracking oltre a essere potenzialmente dannoso è sempre e comunque una pratica illegale (qualsiasi tipo di software deve essere aggiornato tramite funzioni implementate o strumenti progettati da sviluppatori ufficiali).

Qualora si sospetti di aver installato un’applicazione infetta sul proprio dispositivo, è bene intervenire installando una soluzione di sicurezza adeguata anche per prevenire future infezioni, e correre quanto prima ai ripari:

  • disinstallando immediatamente l’app presumibilmente infetta;
  • controllando fatture e liste movimento di carte di credito per vedere se ci siano in corso eventuali abbonamenti arbitrari e, se possibile, annullarli.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5