Les télétravailleurs devraient se méfier d’un nouveau logiciel malveillant, appelé WAPDropper, qui les inscrit à des services surtaxés via leur smartphone. L’équipe de recherche du spécialiste en cybersécurité Check Point l’a récemment découvert.
Vous découvrez que vous avez été abonné à des services téléphoniques à tarif majoré sans le savoir. Ce type d’escroquerie est connu sous le nom de fraude au partage des recettes internationales (IRSF). Elle génèrerait environ 4 à 6 milliards de dollars par an pour les fraudeurs. Check Point Research a récemment découvert une nouvelle campagne de l’IRSF qui utilise un nouveau logiciel malveillant, appelé WAPDropper, pour inscrire discrètement les utilisateurs à des services surtaxés.
Ce malware a la capacité de télécharger et d’exécuter des logiciels malveillants supplémentaires sur l’appareil infecté. Ce type de “dropper” multifonctionnel qui s’installe furtivement sur le téléphone d’un utilisateur et télécharge ensuite d’autres logiciels malveillants est le type d’infection mobile le plus courant observé en 2020, selon le rapport Check Point “Tendances des cyberattaques : rapport semestriel 2020” selon lequel ces chevaux de Troie “dropper » représentaient près de la moitié de toutes les attaques de logiciels malveillants mobiles entre janvier et juillet.
Deux modules différents
WAPDropper se compose de deux modules différents : le module dropper, qui est responsable du téléchargement du logiciel malveillant de deuxième niveau, et un module d’appel premium qui permet aux victimes de s’abonner à des services premium offerts par des sources légitimes, dans ce cas, les fournisseurs de services de télécommunication de deux pays d’Asie du Sud-Est, la Thaïlande et la Malaisie. Dans ce système et dans d’autres systèmes similaires, les pirates informatiques et les propriétaires des numéros surtaxés coopèrent ou pourraient même être le même groupe de personnes, selon Check Point. Plus les appels passés par le biais des services à taux majoré sont nombreux, plus les personnes à l’origine de ces services en tirent des revenus.
Comment s’en protéger ?
Pour éviter d’être victime de logiciels malveillants tels que WAPDropper, l’une des mesures les plus importantes que les utilisateurs peuvent prendre consiste à ne télécharger que des applications provenant des app stores officiels. Cependant, même cette mesure n’est pas sûre à 100 %. En 2019, le malware PreAMo Ad-clicker était caché dans six applications de Google Play qui ont été téléchargées plus de 90 millions de fois avant d’être supprimées.
Avec des mobiles d’entreprises, l’application de politiques qui empêchent les utilisateurs de télécharger des applications de sources non officielles est donc recommandée. Des outils peuvent bloquer le téléchargement d’applications sur les appareils iOS et Android en fonction de diverses caractéristiques, telles que l’URL du domaine d’où provient l’application, l’extension de fichier, les certificats, etc
Comment WAPDropper vous abonne-t-il ?
Selon Check piont, l’infection commence lorsque l’utilisateur télécharge une application infectée sur son téléphone portable à partir d’un magasin d’applications non officiel. Après l’installation, WAPDropper contacte son serveur de commande et de contrôle (C&C), puis télécharge le module de numérotation premium, qui ouvre un minuscule écran de visualisation sur le web, et contacte les services premium proposés par les entreprises de télécommunications légitimes.
Une fois que WAPDropper a réussi à charger les pages de renvoi de la société de télécommunications qui fait la promotion des numéros surtaxés, il tente de faire souscrire l’utilisateur à ces services. Dans certains cas, une étape CAPTCHA est nécessaire pour finaliser l’abonnement. WAPDropper réussit ce test en utilisant les services de « Super Eagle », une société chinoise qui propose une solution d’apprentissage automatique pour la reconnaissance d’images.