WAPDropper, un logiciel malveillant mobile qui abonnent des utilisateurs à des services surtaxés

A LA UNE

« My life in loyalism ». Acteur majeur des Accords du Vendredi Saint, Billy Hutchinson évoque son engagement unioniste/loyaliste en Irlande du Nord [Interview]

Les éditions britanniques Merrion Press ont sorti récemment un livre intitulé « My life in loyalism » signé Billy Hutchinson. Si les...

Yves Chauvel (La Bretagne en héritage) : « L’argent de la Région doit aller en priorité voire intégralement aux associations qui promeuvent la Bretagne...

Alors que Le Télégramme publiait récemment les résultats d'un sondage sur les élections régionales à venir, nous n'y avons...

Thierry Burlot (Nous la Bretagne) : « Les Bretonnes et Bretons furent probablement celles et ceux qui furent les plus migrants il y a...

Alors qu'un sondage Odoxa-Le Télégramme donne la liste Nous la Bretagne de Thierry Burlot, investit par LREM, en tête...

Renaud Camus : « Il n’y a d’issue sérieuse que la remigration, la décolonisation, le retour chez lui, contractuel ou forcé, de l’occupant »...

Notre quotidien occidental en est la preuve : Le Grand Remplacement n’est ni une théorie ni un complot. C’est...

Loi Molac : Jean-Michel Blanquer est un mauvais perdant

Il faut se méfier de ce que raconte Jean-Michel Blanquer. En paroles, il est favorable à la langue bretonne....

Aucun d’entre nous n’aime recevoir une facture beaucoup plus importante que ce à quoi il s’attendait – surtout lorsque nous ne savons pas comment les frais supplémentaires ont été engagés.  Imaginez donc ce que vous ressentiriez si vous découvriez que vous avez été abonné à des services téléphoniques à tarif majoré sans le savoir ou sans votre consentement. En plus du « choc de la facture », vous auriez la migraine d’essayer de faire supprimer ces frais de votre compte. Comment prouver à votre fournisseur de services que vous n’avez jamais eu l’intention d’utiliser ces services ou de passer ces appels ?

Ce type d’escroquerie est connu sous le nom de fraude au partage des recettes internationales (IRSF) et c’est une grosse affaire, qui génère environ 4 à 6 milliards de dollars par an pour les fraudeurs.  Check Point Research a récemment découvert une nouvelle campagne de l’IRSF qui utilise une nouvelle variante insidieuse de logiciel malveillant mobile pour inscrire discrètement les utilisateurs à des services surtaxés.

Le nouveau logiciel malveillant, appelé WAPDropper, a la capacité de télécharger et d’exécuter des logiciels malveillants supplémentaires sur l’appareil infecté. Ce type de « dropper » multifonctionnel qui s’installe furtivement sur le téléphone d’un utilisateur et télécharge ensuite d’autres logiciels malveillants est le type d’infection mobile le plus courant observé en 2020 : le rapport Check Point « Tendances des cyberattaques : rapport semestriel 2020 » a montré que ces chevaux de Troie « dropper » représentaient près de la moitié de toutes les attaques de logiciels malveillants mobiles entre janvier et juillet, avec des infections combinées se chiffrant à des centaines de millions dans le monde.

WAPDropper se compose de deux modules différents : le module dropper, qui est responsable du téléchargement du logiciel malveillant de deuxième niveau, et un module d’appel premium qui permet aux victimes de s’abonner à des services premium offerts par des sources légitimes – dans ce cas, les fournisseurs de services de télécommunication de deux pays d’Asie du Sud-Est – la Thaïlande et la Malaisie.

Dans ce système et dans d’autres systèmes similaires, les pirates informatiques et les propriétaires des numéros surtaxés coopèrent ou pourraient même être le même groupe de personnes. Il s’agit simplement d’un jeu de chiffres : plus les appels passés par le biais des services à taux majoré sont nombreux, plus les personnes à l’origine de ces services en tirent des revenus.  Tout le monde y gagne, sauf les malheureuses victimes de l’escroquerie.

Chaîne d’infection

L’infection commence lorsque l’utilisateur télécharge une application infectée sur son téléphone portable à partir d’un magasin d’applications non officiel.   Après l’installation, WAPDropper contacte son serveur de commande et de contrôle (C&C), puis télécharge le module de numérotation premium, qui ouvre un minuscule écran de visualisation sur le web, et contacte les services premium proposés par les entreprises de télécommunications légitimes.

Une fois que WAPDropper a réussi à charger les pages de renvoi de la société de télécommunications qui fait la promotion des numéros surtaxés, il tente de faire souscrire l’utilisateur à ces services. Dans certains cas, une étape CAPTCHA est nécessaire pour finaliser l’abonnement. WAPDropper réussit ce test en utilisant les services de « Super Eagle », une société chinoise qui propose une solution d’apprentissage automatique pour la reconnaissance d’images.

Schéma 1 – Illustration du flux de la chaîne d’attaque

Restez à l’abri des menaces mobiles

Pour éviter d’être victime de logiciels malveillants tels que WAPDropper, l’une des mesures les plus importantes que les utilisateurs peuvent prendre consiste à ne télécharger que des applications provenant d’app stores officiels (App Store d’Apple et Google Play).  Cependant, même cette mesure n’est pas sûre à 100 % : en 2019, le malware PreAMo Ad-clicker était caché dans six applications de Google Play qui ont été téléchargées plus de 90 millions de fois avant d’être supprimées.

L’application de politiques qui empêchent les entreprises de télécharger des applications de sources non officielles était autrefois impossible pour les organisations, mais plus maintenant. Grâce à la fonction de prévention des téléchargements de SandBlast Mobile, les entreprises peuvent désormais bloquer le téléchargement d’applications sur les appareils iOS et Android en fonction de diverses caractéristiques, telles que l’URL du domaine d’où provient l’application, l’extension de fichier, les certificats et bien d’autres choses encore. Cette fonction empêche les utilisateurs de télécharger des applications à partir de sources non fiables, ce qui réduit automatiquement le risque d’installer des applications au contenu malveillant. Les administrateurs ont également la possibilité de mettre des domaines sur liste blanche.

Si vous pensez avoir une application infectée sur votre appareil, voici ce que vous devez faire :

  • Désinstallez l’application infectée de l’appareil
  • Vérifiez vos factures de téléphone portable et de carte de crédit pour voir si vous avez souscrit des abonnements et si possible, désabonnez-les
  • Installer une solution de sécurité pour prévenir les infections futures

Crédit photo : DR
[cc] Breizh-info.com, 2020, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine

.
- Je soutiens BREIZH-INFO -

L’affaire Patrick Buisson. Sommes-nous devenus des néoconservateurs américains à passeport français ?

Ci-dessous retrouvez un excellent papier de François Bousquet pour le site Eléments, au sujet de la dernière sortie de...

Carhaix (29). Une formation longue distance au Breton, de septembre 2021 à mars 2022

Pour ceux qui sont au chômage, ou qui disposent de temps devant eux (ou qui veulent se reconvertir), c'est...

Articles liés

Cybersécurité. PayPal, Spotify, Facebook, Instagram : mails frauduleux et vols de mots de passe à signaler !

PayPal, Spotify, Facebook, Apple... Entre mails frauduleux et logiciels malveillants, différentes menaces pèsent sur la cybersécurité des utilisateurs depuis plusieurs jours. Tour d'horizon. PayPal et...

Attention aux chevaux de Troie Android se faisant passer pour l’application Clubhouse

Le malware peut obtenir les identifiants de connexion de 458 applications et contourner l’authentification à deux facteurs par SMS. Les cybercriminels tentent de profiter...

Operation Spalax : une attaque ciblant le gouvernement et des entreprises de Colombie

En 2020, les chercheurs d’ESET, éditeur Européen de solutions de sécurité, ont observé plusieurs attaques visant exclusivement des entités colombiennes, qui ont été collectivement...

Sécurité informatique. Shlayer, le malware qui se répand sur MacOS

Les utilisateurs de MacOS doivent être sur leurs gardes. Un malware dénommé Shlayer frappe désormais un appareil sur dix. Shlayer, ce malware qui frappe MacOS...