Contamos como os usuários de Android são vítimas de trojans de assinatura como Jocker, MobOk, Vesub e GriftHorse.
Os Trojans de assinatura tornaram-se um método comum para desviar dinheiro honesto dos usuários de Android. O modus operandi é se infiltrar em um smartphone sob o pretexto de aplicações úteis e assinar serviços pagos sem que o usuário saiba. Na maioria das vezes, a assinatura em si é real, só que o usuário provavelmente não precisa desse serviço.
Os desenvolvedores desse tipo de Trojans ganham dinheiro com base em comissões, ou seja, recebem uma certa porcentagem do que o usuário gasta com esses movimentos involuntários. Normalmente, os pagamentos são deduzidos da conta do celular, embora em alguns casos possam ser cobrados diretamente de um cartão bancário. Estes são os exemplos mais relevantes deste tipo de golpe envolvendo assinaturas mobile por meio de Trojans que os especialistas da Kaspersky detectaram no último ano.
Assinaturas de pagamento e códigos de confirmação por mensagens de texto
Trojans do tipo Jocker geralmente são difundidos pelo Google Play. Os cibercriminosos modificam aplicativos conhecidos o adicionando via código e enviando-os para a loja com um nome diferente. Eles são encontrados em qualquer tipo de aplicativo, desde aplicativos de mensagens instantâneas, aplicativos de controle de pressão arterial… apps de digitalização de documentos. Os moderadores do Google Play tentam identificar esses tipos de aplicativos, mas novos geralmente aparecem antes de poderem excluir aqueles já encontrados.
Vamos ver agora como esses Trojans realmente funcionam. Normalmente, para assinar um serviço, o usuário tem que ir ao site do provedor de conteúdo e clicar ou selecionar o botão de assinatura. Para combater as tentativas automáticas de assinatura, esses provedores pedem ao usuário que confirme sua decisão inserindo um código enviado via mensagem de texto. Mas o malware da família Jocker pode burlar esse método de proteção.
Uma vez que o aplicativo em questão se infiltra no dispositivo, em muitos casos ele pede ao usuário acesso a mensagens de texto. Em seguida, abre a página de assinatura em uma janela invisível, simula pressionar o botão de assinatura, rouba o código de confirmação do SMS e assina sem que o usuário perceba.
Nos casos em que o aplicativo não precisa de acesso às mensagens de texto (porque um aplicativo de digitalização de documentos precisaria acessar seu SMS?), eles solicitam acesso às notificações. Isso permite exatamente a mesma lógica de invasão: roubar o código de confirmação, mas, desta vez, a partir das notificações pop-up.
Como eles burlam o CAPTCHA?
Os Trojan da família MobOk são um pouco mais complexos. Eles não apenas roubam códigos de confirmação de mensagens de texto ou notificações, mas também contornam o CAPTCHA, o famoso método de proteção contra assinaturas automáticas. Para reconhecer o código de imagem, o Trojan o envia para um serviço especial – no ano passado, investigamos o funcionamento de fazendas de cliques que fornecem serviços de reconhecimento CAPTCHA.
Em alguns aspectos, funciona de forma semelhante aos Trojans da família Jocker. Em outros, o MobOk se espalhou como uma carga de Trojan Triada, na maioria das vezes por aplicativos pré-instalados em alguns modelos de smartphones, atualizações não oficiais do WhatsApp ou na loja de aplicativos alternativa APKPure. Ocasionalmente, aplicativos infectados por MobOk também podem ser encontrados no Google Play.
Trojans de assinaturas de fontes não oficiais
O malware da família Vesub também é distribuído por meio de fontes “paralelas”sob o pretexto de aplicativos que, por uma razão ou outra, foram banidos dos serviços oficiais. Por exemplo, eles muitas vezes se colocam como aplicativos para baixar conteúdo do YouTube ou outros serviços de streaming, como Tubemate ou Vidmate; ou como uma versão não oficial do Android de GTA5. Além disso, eles podem aparecer nestas mesmas plataformas de versões gratuitas de aplicativos populares que têm preços altos, como no caso do Minecraft.
Ao contrário do malware das famílias MobOk e Jocker, os aplicativos infectados pelo Vesub normalmente não têm uso para o usuário. Assim que a instalação ocorre, eles compram uma assinatura não solicitada e ocultam as janelas relevantes do usuário enquanto exibem uma janela de carregamento de aplicativo na tela. Em alguns casos, podemos encontrar algo útil dentro do aplicativo infectado com o MobOk.
Inicio de sessão por telefone
O Trojan GriftHorse.ae não é tão elegante. Quando executado pela primeira vez, ele pede diretamente ao usuário para digitar seu número de telefone “para fazer login”. A assinatura é feita assim que o usuário entra e pressiona o botão de login e o dinheiro é cobrado em sua conta mobile. Esse malware geralmente se apresenta como um aplicativo para recuperar arquivos excluídos, editar fotos ou vídeos, piscar a lanterna em chamadas recebidas, navegar, digitalizar documentos, traduzir, etc, mas na realidade essas aplicações infectadas também não oferecem nenhum utilidade de fato.
Inscrições com pagamento automático
Embora possa parecer semelhante, as assinaturas do GriftHorse.ae usam um método diferente: eles empregam inscrições com pagamentos recorrentes. Oficialmente, isso acontece com o consentimento direto do usuário, mas as vítimas podem não perceber que estão fazendo pagamentos automáticos regulares. Outro truque é tornar o primeiro pagamento insignificante e os encargos subsequentes visivelmente mais altos.
Já analisamos um modelo semelhante, com sites falsos oferecendo assinaturas de cursos de treinamento. Neste caso, a mecânica é mais ou menos a mesma, mas implementada dentro do aplicativo. O Trojan é amplamente distribuído pela Google Play e o dinheiro é cobrado diretamente em um cartão bancário, pedindo informações de pagamento para acessar o conteúdo.
Como não cair na armadilha?
Descobrir como cancelar uma assinatura paga indesejada pode ser muito complicado. Então, como sempre, é melhor prevenir do que remediar. Aqui está o que recomendamos para se proteger desses Trojans de assinatura:
– Em primeiro lugar, não instale aplicativos fora de lojas não oficiais. Isso melhorará muito a segurança do seu dispositivo.
– As fontes oficiais são muito melhores, mas infelizmente também não estão 100% seguras. Antes de baixar um aplicativo do Google Play ou de outra loja, certifique-se sempre de verificar avaliações e depoimentos.
– Veja também a data de aparição do aplicativo na plataforma. As lojas constantemente removem aplicativos suspeitos, mas os golpistas não param de criar versões de aplicativos infectados. Então, se um aplicativo que você quer está disponível há pouco tempo, tenha cuidado com ele.
– Dê aos aplicativos acesso mínimo ao seu dispositivo. Antes de permitir que um aplicativo leia suas mensagens ou notificações, pergunte a si mesmo se é realmente necessário.
– Instale um antivírus mobile confiável: isso protegerá seu telefone de todas as ameaças digitais, incluindo Trojans de assinatura.
Fonte: Kaspersky