Les développeurs de logiciels malveillants Android intensifient leur jeu de fraude à la facturation avec des applications qui désactivent les connexions Wi-Fi, abonnent subrepticement les utilisateurs à des services sans fil coûteux et interceptent les messages texte, le tout dans le but de percevoir des frais élevés auprès d’utilisateurs sans méfiance, a déclaré Microsoft vendredi.
Cette classe de menaces fait partie de la vie sur la plate-forme Android depuis des années, comme en témoigne une famille de logiciels malveillants connue sous le nom de Joker, qui a infecté des millions de téléphones depuis 2016. Malgré la prise de conscience du problème, peu d’attention a été accordée aux techniques. qu’utilisent ces logiciels malveillants de « fraude à l’interurbain ». Entrez Microsoft, qui a publié une plongée technique approfondie sur la question.
Le mécanisme de facturation abusé dans ce type de fraude est le WAP, abréviation de protocole d’application sans fil, qui fournit un moyen d’accéder aux informations sur un réseau mobile. Les utilisateurs de téléphones portables peuvent s’abonner à ces services en visitant la page Web d’un fournisseur de services pendant que leurs appareils sont connectés au service cellulaire, puis en cliquant sur un bouton. Dans certains cas, l’opérateur répondra en envoyant un mot de passe à usage unique (OTP) au téléphone et en demandant à l’utilisateur de le renvoyer afin de vérifier la demande d’abonnement. Le processus ressemble à ceci :
Le but des applications malveillantes est d’abonner automatiquement les téléphones infectés à ces services WAP, sans préavis ni consentement du propriétaire. Microsoft a déclaré que les applications Android malveillantes que ses chercheurs ont analysées atteignent cet objectif en suivant ces étapes :
- Désactiver la connexion Wi-Fi ou attendre que l’utilisateur bascule sur un réseau mobile
- Accédez silencieusement à la page d’abonnement
- Cliquez automatiquement sur le bouton d’abonnement
- Intercepter l’OTP (le cas échéant)
- Envoyer l’OTP au fournisseur de services (le cas échéant)
- Annuler les notifications par SMS (le cas échéant)
Les développeurs de logiciels malveillants ont plusieurs façons de forcer un téléphone à utiliser une connexion cellulaire même lorsqu’il est connecté au Wi-Fi. Sur les appareils exécutant Android 9 ou une version antérieure, les développeurs peuvent appeler le setWifiEnabled
méthode de la WifiManager
classer. Pour les versions 10 et supérieures, les développeurs peuvent utiliser le requestNetwork
fonction de la ConnectivityManager
classer. Finalement, les téléphones chargeront les données exclusivement sur le réseau cellulaire, comme le montre cette image :
Une fois qu’un téléphone utilise le réseau cellulaire pour la transmission de données, l’application malveillante ouvre subrepticement un navigateur en arrière-plan, accède à la page d’abonnement WAP et clique sur un bouton d’abonnement. La confirmation de l’abonnement peut être délicate car les invites de confirmation peuvent provenir des protocoles SMS, HTTP ou USSD. Microsoft propose des méthodes spécifiques que les développeurs de logiciels malveillants peuvent utiliser pour contourner chaque type de confirmation. Le message de Microsoft explique ensuite comment le logiciel malveillant supprime les messages périodiques que le service d’abonnement peut envoyer à l’utilisateur pour lui rappeler son abonnement.
« En abonnant les utilisateurs à des services premium, ce logiciel malveillant peut entraîner des frais de facturation importants pour les victimes », ont écrit les chercheurs de Microsoft. « Les appareils concernés présentent également un risque accru car cette menace parvient à échapper à la détection et peut atteindre un nombre élevé d’installations avant un seul la variante est supprimée. »
Google interdit activement les applications de son marché Play lorsqu’il détecte des signes de fraude ou de malveillance ou lorsqu’il reçoit des rapports d’applications malveillantes de tiers. Bien que Google ne supprime souvent les applications malveillantes qu’après avoir infecté des millions d’utilisateurs, les applications téléchargées depuis Play sont généralement considérées comme plus fiables que les applications de marchés tiers.