Todas las semanas se ha vuelto común el descubrimiento de nuevos tipos de malware. Han sido muchas las empresas afectadas por las nuevas herramientas maliciosas y en esta oportunidad Android no ha sido la excepción. Más de una vez la empresa de tecnología ha sido víctima de ataques cibernéticos que con el tiempo se han ido intensificando.
Recientemente el hallazgo de un nuevo malware está bajo la mirada de todos, ya que se trata de un juego que esconde un fraude de facturación con aplicaciones que al desactivar la conexión Wi-Fi, suscribe de manera oculta a los usuarios a servicios inalámbricos caros, además, tiene la habilidad de interceptar los mensajes de texto, todo ello en un intento de cobrar fuertes tarifas a los usuarios desprevenidos. Esta información fue brindada directamente por Microsoft el pasado viernes.
No hace mucho también salió a la luz el malware denominado ZuoRAT el cual va dirigido a routers con la intención de tomar el control total de los dispositivos conectados que y trabajan con Windows, MacOS y Linux. Se reveló que al menos 80 objetivos habían sido infectados por ZuoRAT.
Ahora bien, continuando con el malware recién descubierto, se ha determinado que este tipo de amenaza ha afectado la plataforma Android durante años, como lo ejemplifica una familia de malware conocida como Joker, que ha infectado a millones de teléfonos desde 2016. A pesar de la conciencia del problema, se ha prestado poca atención a las técnicas que utiliza este malware.
El mecanismo de facturación del que se abusa en este tipo de fraude es el WAP, que proporciona un medio de acceso a la información a través de una red móvil. Los usuarios de teléfonos móviles pueden suscribirse a este tipo de servicios visitando la página web de un proveedor de servicios mientras sus dispositivos están conectados al servicio celular y luego pulsando un botón. En algunos casos, el proveedor responderá enviando un mensaje de texto con una contraseña de un solo uso (OTP) al teléfono y solicitando al usuario que la devuelva para verificar la solicitud de suscripción.
El objetivo de las aplicaciones maliciosas es suscribir los teléfonos infectados a estos servicios WAP de forma automática, sin aviso ni consentimiento del propietario. Microsoft asegura que las aplicaciones maliciosas para Android que sus investigadores han analizado logran su meta mediante los siguientes pasos:
Desactivar la conexión Wi-Fi o esperar a que el usuario cambie a una red móvil
Navegar silenciosamente a la página de suscripción
Hacer clic automáticamente en el botón de suscripción
Interceptar la OTP (si procede)
Enviar la OTP al proveedor de servicios (si procede)
Cancelar las notificaciones por SMS (si procede).
Los desarrolladores de malware tienen varias formas de forzar a un teléfono a usar una conexión celular incluso cuando está conectado a Wi-Fi. En los dispositivos con Android 9 o anterior, los desarrolladores pueden invocar el método setWifiEnabled de la clase WifiManager. Para las versiones 10 y superiores, los desarrolladores pueden utilizar la función requestNetwork de la clase ConnectivityManager. Eventualmente, los teléfonos cargarán datos exclusivamente a través de la red celular
Una vez que un teléfono utiliza la red celular para la transmisión de datos, la aplicación maliciosa abre subrepticiamente un navegador en segundo plano, navega a la página de suscripción WAP y hace clic en un botón de suscripción. La confirmación de la suscripción puede ser complicada, ya que los avisos de confirmación pueden llegar a través de los protocolos SMS, HTTP o USSD. Microsoft expone métodos específicos que los desarrolladores de malware pueden utilizar para eludir cada tipo de confirmación. La publicación de Microsoft continúa explicando cómo el malware suprime los mensajes periódicos que el servicio de suscripción puede enviar al usuario para recordarle su suscripción.
"Al suscribir a los usuarios a servicios premium, este malware puede hacer que las víctimas reciban importantes cargos en la factura del móvil", escribieron los investigadores de Microsoft. "Los dispositivos afectados también tienen un mayor riesgo porque esta amenaza logra evadir la detección y puede lograr un alto número de instalaciones antes de que una sola variante sea eliminada".
Para concluir, algunos expertos en el área han recomendado no instalar ningún tipo de aplicación con procedencia dudosa u otorgarle permiso, ya que, es muy probable que se trate de una trampa. Hay que ser muy precavidos hoy en día, cada vez son más actores maliciosos creando malware para vulnerar sistemas y ejecutar sus ataques.