Annuncio del 10. novembre 2017

Repetita “non” iuvant: WAP-billing in malware Android di nuova generazione

Xafecopy si maschera da app per migliorare le prestazioni della batteria

Chi è stato indotto ad acquistare un servizio in abbonamento tramite il proprio dispositivo mobile sa quanto sia frustrante, costoso e tedioso liberarsene. Un malware scoperto di recente è in grado di sottoscrivere dozzine di abbonamenti senza che l’utente lo sappia o dia il proprio consenso. Ben amara la sorpresa, quando arriva la bolletta mensile.

Il WAP-billing non è una novità

Questo modello di abbonamento è stato per decenni un business diffuso e lucrativo, a volte anche pubblicizzato in modo molto aggressivo su canali televisivi musicali. Inviando un messaggio contenente una parola specifica ad un numero telefonico, si ricevevano suonerie telefoniche, wallpaper oroscopi e similari ad un canone settimanale addebitato in fattura. Ciò ha causato forti critiche da parte delle associazioni dei consumatori, dato che non era sempre chiaro ai fruitori che così facendo, avrebbero sottoscritto un abbonamento.

Questo metodo chiamato “WAP-billing” è ancora in uso al giorno d’oggi come forma di pagamento per servizi o donazioni. È possibile sia inviare un messaggio con una parola chiave ad un numero preciso sia inserire il proprio numero su un sito web.

Che cosa significa esattamente WAP?

WAP è l’acronimo di Wireless Access Protocol (protocollo di accesso senza fili) e indica una categoria di tecnologie che sono la base di partenza dell’odierno Internet mobile. Nei tardi anni novanta erano disponibili dispositivi mobili che potevano accedere ad Internet via WAP, anche l’invio di MMS aveva luogo tramite WAP. Il traffico dati era addebitato ad ogni click. Inoltre WAP poteva essere utilizzato per servizi a pagamento spesso con gran dispiacere degli interessati. Nel frattempo gli operatori si sono evoluti, qualora l’utente acceda ad un servizio WAP a pagamento, dirottano dapprima la pagina per informarlo che il servizio non è gratuito.

Abusi attraverso il malware

Entrambe le modalità di fatturazione sono sfruttate da un nuovo malware Android nascosto in una app che dovrebbe “ottimizzare” la batteria del dispositivo. In realtà la app accede in background a vari siti web attivando automaticamente abbonamenti di cui l’utente sarà a conoscenza solo una volta ricevuta la fattura. Ovviamente i fornitori di servizi a pagamento sono obbligati ad implementare misure di sicurezza per evitare tali illeciti.

Infatti solitamente all’attivazione di servizi simili, l’utente deve a risolvere un CAPTCHA o inserire un codice di conferma ricevuto via SMS. Si tratta di misure che il malware Xafecopy elude simulando la pressione sui tasti e trasmettendola in background. In questo modo la app malevola può sottoscrivere un numero potenzialmente illimitato di abbonamenti.

Chiari indizi indicano l’Asia come fonte del malware. 

Come proteggersi

  1. Controllare i diritti di accesso richiesti dalla app e domandarsi se siano coerenti con il compito che deve svolgere la app. Perché una app di ottimizzazione della batteria dovrebbe poter inviare messaggi a numeri a pagamento? Sebbene nelle più recenti versioni di Android sia possibile revocare determinate autorizzazioni anche dopo l’installazione, sarebbe più sicuro porsi delle domande installare l’applicazione.
  2. Chiedere al proprio operatore di bloccare l’accesso ai servizi premium. In questo modo è impossibile effettuare sottoscrizioni a servizi tramite WAP, impedendo quindi al malware di prosciugare il conto bancario della vittima mediante abbonamenti indesiderati.
  3. Installare una protezione anti-malware efficace sul proprio smartphone.

Ulteriori informazioni

Per disporre di tutti i dettagli tecnici su Xafecopy basta consultare l’analisi completa del ricercatore G DATA Nathan Stern, disponibile di seguito (testo in inglese).

 

Annuncio del 10. novembre 2017

Contact

G DATA Software Italia Srl
Via Persicetana Vecchia, 26
I-40132 Bologna

Telefono: 051 64 15 813
E-Mail: press@remove-this.gdata.it