Microsoft, “karmaşık çok adımlı saldırı akışına” ve güvenlik analizinden kaçmak için geliştirilmiş bir mekanizmaya işaret ederek, Android’deki ücretli dolandırıcılık kötü amaçlı yazılım uygulamalarının gelişen yeteneklerini ayrıntılı olarak açıkladı.
Ücretli dolandırıcılık, kötü niyetli mobil uygulamaların gizli abonelik ücretleri ile birlikte geldiği, şüpheli olmayan kullanıcıları bilgisi veya rızası olmadan premium içeriğe yönlendirdiği bir fatura sahtekarlığı kategorisine aittir.
Ayrıca, kötü amaçlı işlevlerin yalnızca güvenliği ihlal edilmiş bir cihaz hedef ağ operatörlerinden birine bağlandığında gerçekleştirilmesi bakımından diğer polar yazılım tehditlerinden farklıdır.
Microsoft 365 Defender Araştırma Ekibinden Dimitrios Valsamaras ve Sang Shin Jung, “Ayrıca, varsayılan olarak etkinlikleri için hücresel bağlantı kullanır ve cihazları bir Wi-Fi bağlantısı olsa bile mobil ağa bağlanmaya zorlar.” söz konusu kapsamlı bir analizde.
“Bir hedef ağa bağlantı onaylandıktan sonra, gizlice sahte bir abonelik başlatır ve kullanıcının izni olmadan, hatta bazı durumlarda bunu yapmak için tek seferlik şifreyi (OTP) arayarak onaylar.”
Bu tür uygulamaların, mağdurların sahte işlemden haberdar olmalarını ve hizmetten çıkmalarını önlemek için abonelikle ilgili SMS bildirimlerini bastırdığı da bilinmektedir.
Özünde, ücretli dolandırıcılık, tüketicilerin Kablosuz Uygulama Protokolünü (WAP) destekleyen web sitelerinden ücretli hizmetlere abone olmalarını sağlayan ödeme yönteminden yararlanır. Bu abonelik ücreti doğrudan kullanıcıların cep telefonu faturalarına yansıtılarak kredi kartı veya banka kartı oluşturma veya kullanıcı adı ve şifre girme ihtiyacı ortadan kalkar.
Kaspersky, “Kullanıcı internete mobil veriler aracılığıyla bağlanırsa, mobil ağ operatörü onu IP adresiyle tanımlayabilir” dedi. 2017 raporu WAP faturalandırma truva atı tıklayıcıları hakkında. “Mobil ağ operatörleri, kullanıcıları yalnızca başarılı bir şekilde tanımlanmaları durumunda ücretlendirir.”
İsteğe bağlı olarak, bazı sağlayıcılar hizmeti etkinleştirmeden önce aboneliğin ikinci bir onay katmanı olarak OTP’leri de isteyebilir.
Araştırmacılar, “Ücretli dolandırıcılık durumunda, kötü amaçlı yazılım, aboneliği kullanıcı adına genel süreç algılanmayacak şekilde gerçekleştirir” dedi. “Kötü amaçlı yazılım, bir [command-and-control] sunucu, sunulan hizmetlerin bir listesini almak için.”
Bunu, önce Wi-Fi’yi kapatıp mobil verileri açarak, ardından hizmete gizlice abone olmak için JavaScript’i kullanarak ve işlemi tamamlamak için OTP kodunu (varsa) yakalayıp göndererek başarır.
JavaScript kodu, kendi adına, aboneliği programlı olarak başlatmak için “onayla”, “tıkla” ve “devam et” gibi anahtar sözcükleri içeren HTML öğelerine tıklamak üzere tasarlanmıştır.
Başarılı bir sahte abonelik üzerine, kötü amaçlı yazılım ya abonelik bildirim mesajlarını gizler ya da abone olunan hizmet hakkında bilgi içeren gelen SMS mesajlarını mobil şebeke operatöründen silmek için SMS izinlerini kötüye kullanır.
Ücretli dolandırıcılık kötü amaçlı yazılımının, Android’de uygulamaların çalışma zamanı sırasında uzak bir sunucudan ek modüller çekmesine olanak tanıyan bir özellik olan dinamik kod yükleme yoluyla kötü niyetli davranışını gizlediği de bilinmektedir. suistimal için olgunlaşmış kötü niyetli aktörler tarafından.
Güvenlik açısından, bu aynı zamanda bir kötü amaçlı yazılım yazarının bir uygulamayı, hileli işlevsellik yalnızca belirli ön koşullar karşılandığında yüklenecek ve statik kod analizi denetimlerini etkin bir şekilde yenecek şekilde biçimlendirebileceği anlamına gelir.
Google, “Bir uygulama dinamik kod yüklemeye izin veriyorsa ve dinamik olarak yüklenen kod metin mesajlarını ayıklıyorsa, arka kapı kötü amaçlı yazılımı olarak sınıflandırılacaktır.” ortaya koymak potansiyel olarak zararlı uygulamalar (PHA’lar) hakkında geliştirici belgelerinde.
%0,022 yükleme oranıyla dolandırıcılık uygulamaları hesaplı 2022’nin ilk çeyreğinde Android uygulama pazarından yüklenen tüm PHA’ların %34,8’i için casus yazılımların altında yer alıyor. Kurulumların çoğu Hindistan, Rusya, Meksika, Endonezya ve Türkiye’den geldi.
Ücretli dolandırıcılık kötü amaçlı yazılım tehdidini azaltmak için, kullanıcıların uygulamaları yalnızca Google Play Store’dan veya diğer güvenilir kaynaklardan yüklemeleri, uygulamalara aşırı izin vermekten kaçınmaları ve yazılım güncellemelerini almayı durdurması durumunda yeni bir cihaza geçmeyi düşünmeleri önerilir.