Новая малварь WAPDropper подключает к жертвы премиальным телекоммуникационным услугам

Недавно обнаруженный вирус регистрирует жертв на премиальные услуги, предоставляемые законными телекоммуникационными компаниями.

Фото: Pixabay

Вредоносная программа под названием WAPDropper загружает и сбрасывает программу дозвона беспроводного приложения (WAP) премиум-класса. В результате пользователь оказывается подписан на премиальные услуги связи в Таиланде и Малайзии без своего ведома или согласия.

Малварь состоит из двух отдельных модулей. Модуль-дроппер отвечает за загрузку вредоносного ПО второго уровня. Модуль дозвона премиум-класса отвечает за элемент подписки.

Схема нацелена на звонки на номера с повышенным тарифом. Это приносит прибыль киберпреступникам, которые сотрудничают с владельцами этих конкретных телефонных номеров.

После первой установки приложения на устройство из сторонних магазинов приложений, WAPDropper связывается с сервером управления и контроля и получает полезные данные для выполнения. Эта первая полезная нагрузка - модуль дозвона премиум-класса, который открывает крошечное веб-окно и связывается с премиальными службами.

Как только WAPDropper откроет целевые страницы, он попытается подписать жертву на эти службы. Вызывает тревогу то, что этот процесс может обойти требование безопасности CAPTCHA , которое необходимо преодолеть для завершения транзакции, сообщает ITPro.

Именно на этом этапе операторы развёртывают услуги Super Eagle, китайской фирмы, которая предлагает инструмент машинного обучения для распознавания изображений. Когда вредоносная программа отправляет изображение кода проверки в службу, платформа возвращает координаты положения результата распознавания в изображении, а затем анализирует посадку имитации координат.

Вредоносная программа также пытается избежать обнаружения, скрывая свой значок, чтобы пользователи не могли обнаружить его на своём устройстве и удалить приложение. Вредоносная программа также выполняет проверки, чтобы определить, использует ли жертва прокси-сервер или виртуальную частную сеть (VPN).

Как писал Startpack, на днях исследователи обнаружили ещё один новый вирус. Он создаёт мошеннические интернет-магазины на взломанных сайтах WordPress.