Analistas de segurança encontraram um novo malware que infecta dispositivos móveis e inscreve as vítimas em assinaturas premium fornecidas por empresas de telecomunicações, e a vítima permanece alheia a isso.
A verificação CAPTCHA que normalmente é necessária para assinar esses serviços é contornada via Machine Learning usando os serviços de uma empresa chinesa chamada “Super Eagle”.
Este malware foi batizado de WAPDropper e pertence a uma nova classe de malwares que foi descoberta recentemente.
Como funciona o WAPDropper?
WAPDropper consiste em dois módulos,
- O módulo conta-gotas
- Módulo discador premium
O módulo dropper é responsável por baixar o malware de 2º estágio e o módulo discador premium inscreve as vítimas em serviços premium legítimos. Neste caso, os serviços são fornecidos por fornecedores de telecomunicações tailandeses e malaios.
O fluxo do ataque é descrito no diagrama abaixo:
WAPDropper, uma vez instalado no dispositivo da vítima, começa a coletar as informações abaixo: ID do dispositivo
- Endereço MAC
- Identificação do assinante
- Modelo do dispositivo
- Lista de todos os aplicativos instalados
- Lista de serviços em execução
- Nome do pacote de atividades mais alto
- A tela está ligada
- As notificações estão ativadas para este aplicativo?
- Este aplicativo pode desenhar sobreposições
- Quantidade de espaço de armazenamento gratuito disponível
- Quantidade total de RAM e RAM disponível
- Lista de aplicativos que não são do sistema
O WAPDropper então envia as informações coletadas para um C&C codificado, que é o servidor C&C principal, e então envia ao malware uma lista de C&Cs adicionais dos quais um URL aleatório será escolhido no futuro.
Depois de receber uma resposta do servidor C&C, o WAPDropper analisa a configuração JSON. A configuração JSON inclui instruções sobre as cargas adicionais que o módulo dropper baixa, que inclui:
- O URL de download da carga útil
- Verificação MD5 do arquivo baixado
- Nome da classe e nome do método para a chamada de reflexão
- Frequência de execução (minutos)
- Número máximo de execuções
Ao terminar o download de cada carga útil, o WAPDropper descriptografa os arquivos DEX baixados em arquivos .jar e os armazena localmente no dispositivo infectado, enquanto baixa as cargas pendentes em segundo plano.
Feito isso, o WAPDropper carrega os arquivos .jar descriptografados e os exclui do dispositivo imediatamente, para evitar deixar rastros.
WAPDropper monitora a frequência das cargas úteis e envia continuamente um relatório sobre o status atual da carga útil para um de seus servidores C&C e então o módulo discador descriptografa um arquivo DEX e o grava como um “data.jar”.
WAPDropper então envia um thread de solicitação ao servidor C&C para que o servidor envie uma oferta de anúncio.
Depois de receber uma oferta publicitária, o malware constrói uma 1×1 caixa de diálogo de pixels. Esta pequena caixa de diálogo permite que o malware carregue a biblioteca nativa previamente descompactada, responsável por remover todos os cabeçalhos HTTP “X-Requested-With” de todas as solicitações HTTP.
WAPDropper substitui todas as ocorrências da string “X-Requested-With” pela string “Accept-Encoding”, o que leva à desativação imediata da proteção contra ataques CSRF.
Depois disso, ele injeta um JavaScript malicioso na nova visualização web vulnerável.
Este JavaScript é uma interface que fornece um site remoto capaz das seguintes ações:
- Obtenha o número de telefone da vítima.
- Obtenha as informações do telefone da vítima.
- Obtenha uma lista de SMS.
- Envie SMS para um número especificado.
- Envie solicitações POST para um URL especificado.
- O malware também reconhece a capacidade CAPTCHA
- WAPDropper escolhe se deseja baixar a imagem e enviá-la ao servidor ou analisar a árvore DOM da imagem, extraí-la, codificá-la com Base64 e depois enviá-la ao servidor.
Quando o malware envia a imagem do código de verificação ao serviço, a plataforma retorna a posição coordenada do resultado do reconhecimento na imagem e, em seguida, analisa a aterrissagem da simulação de coordenadas.
Causa e efeito
O resultado deste malware é que todas as vítimas receberiam contas telefónicas enormes no final do mês, até subscreverem este serviço premium.
Esse tipo de ataque era muito comum no final dos anos 2000 e início de 2010, mas foi extinto com o advento do smartphone. Ele voltou na segunda metade da década de 2010, quando os invasores perceberam que o mais novo smartphones e as operadoras de telecomunicações apoiavam o padrão WAP mais antigo.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.
Leia também
RATicate – Grupo de hackers lançando malware para roubo de informações por meio de ferramenta de administração remota
Malware FinSpy atacando dispositivos iOS e Android para roubar informações pessoais
