Microsoft ha scoperto un nuovo tipo di malware per Android che disattiva la connessione WiFi ed effettua la sottoscrizione automatica a servizi SMS premium all’insaputa dell’utente. Il malware può anche intercettare eventuali codici OTP inviati per confermare l’abbonamento e può nascondere le notifiche relative alla transazione. Questa categoria di minaccia può essere rilavata da Microsoft Defender for Endpoint e altre soluzioni di sicurezza.
Malware Android attiva servizi SMS premium
L’attacco “toll fraud” sfrutta il meccanismo di pagamento tramite WAP (Wireless Application Protocol) che gli utenti possono usare per sottoscrivere contenuti premium e addebitare la spesa sulla fattura. La procedura prevede esplicite conferme per la sottoscrizione dell’abbonamento e l’inserimento del codice OTP (One-Time-Password), se presente. Tutti passi necessari vengono eseguiti automaticamente dal malware.
Dopo aver disattivato la connessione WiFi o atteso lo switch manuale alla connessione mobile, il malware apre la pagina del sito fraudolento, clicca sul pulsante di abbonamento, invia il codice OTP di conferma e cancella le notifiche SMS. Alcune varianti possono forzare automaticamente l’uso della connessione mobile senza l’intervento dell’utente. L’apertura della pagina avviene in background, quindi non compare nulla sullo schermo dello smartphone.
Alcuni service provider chiedono una conferma tramite codice OTP via SMS. Il malware intercetta il codice e conferma la sottoscrizione dell’abbonamento. Il provider invia un SMS per informare l’utente del pagamento e per indicare le modalità di cancellazione dell’abbonamento. Il malware intercetta anche questi SMS, quindi l’utente non si accorgerà di nulla.
Questo tipo di frode è piuttosto frequente. Microsoft consiglia di non installare app tramite sideloading da fonti diverse dal Google Play Store. Si dovrebbe inoltre evitare di concedere il permesso di accesso agli SMS. Ovviamente è sempre meglio installare un antivirus e gli aggiornamenti di sicurezza.