Cibersegurança: cresce número de mobile Trojans que roubam dinheiro a utilizadores Android

A Wireless Application Protocol (WAP) billing tem sido utilizada por operadores de redes móveis para pagamentos e subscrições há vários anos. Esta forma de pagamento móvel cobra os gastos diretamente na conta de telemóvel do utilizador, não sendo necessária inscrição ou registo do cartão de crédito. O utilizador é, por norma, direcionado para uma nova página web onde lhe são apresentados vários serviços adicionais. Ao clicar, ativa uma subscrição que é cobrada diretamente na conta do telemóvel. No atual panorama de ameaças, qualquer uma destas ações pode ser infetada por um Trojan que atua em segredo e que clica sozinho em todas as páginas. Para além disso, basta registar um domínio no sistema de faturação da operadora móvel para os hackers associarem o seu website ao serviço de pagamento. Resultado: o dinheiro é transferido diretamente da conta da vítima para a conta dos hackers.

A Kaspersky Lab detetou várias famílias de Trojan, já conhecidas no “TOP 20 de programas de malware móvel”, que utilizam serviços de WAP-billing. Para operar através da internet móvel, todas as versões de Trojan conseguem desligar o Wi-Fi e ligar os dados-móveis. O Trojan mais popular, pertencente à família de malware Trojan-Clicker.AndroidOS.Ubsod, e é conhecido por abrir os URLs que recebe do servidor de controlo. De acordo com as estatísticas da KSN, este Trojan atacou cerca de 8 mil utilizadores em 82 países no mês de julho deste ano.

Outro malware móvel bastante popular nestes cenários de roubo utiliza ficheiros Java Script para clicar em ofertas de WAP-billing. Por exemplo, o Trojan Xafekopy, difundido entre anúncios e camuflado em aplicações simples como otimizadores de baterias, consegue subscrever os utilizadores em diferentes serviços e roubar o dinheiro dos mesmos. Os especialistas da Kaspersky Lab descobriram que este Trojan é semelhante ao malware Ztorg, recentemente reportado também pela Kaspersky Lab. Tal como o Ztorg, o Xafekopy é de origem chinesa.
 
Algumas famílias de Trojans, como a Autosus e a Podec, tiram partido das propriedades de Administrador do Dispositivo, tornando mais difícil a eliminação do Trojan. Para além disso, ao utilizar ficheiros JS, os Trojans conseguem evitar as CAPTCHA, do qual é exemplo o Trojan Podec, ativo desde 2015. De acordo com a investigação da Kaspersky Lab, foi o terceiro Trojan de WAP-billing mais utilizado em junho deste ano, e continua ativo na Rússia.

“Não encontrávamos estes tipos de Trojans há algum tempo. O facto de se terem tornado tão populares recentemente pode significar a utilização de outras técnicas, por parte dos hackers, para explorar os utilizadores. Para além disso, um Trojan SMS de melhor qualidade é mais difícil de desenvolver. É também interessante verificar que o malware atacou principalmente a Rússia e a Índia, o que pode estar relacionado com o estado do seu mercado de telecomunicações local e interno. No entanto, também detetámos Trojans na África do Sul e no Egipto”, avança Roman Unuchek, especialista de segurança na Kaspersky Lab.

Para prevenir qualquer ação maliciosa e para se manter protegido, a Kaspersky Lab aconselha os utilizadores a prestarem especial atenção às aplicações instaladas nos seus dispositivos, evitando os de fontes desconhecidas e mantendo atualizadas as soluções de segurança.