25 Ago 2017

Troyanos explotan suscripciones WAP para robar dinero

Amenazas

¿Recuerdas lo que era WAP? ¡No lo creo! El WAP (protocolo de aplicaciones inalámbricas, en español), es una excusa algo primitiva para Internet móvil. Los pequeños sitios web a los que puede acceder muestran, mayormente texto, y solíamos visitarlos cuando los teléfonos estaban aprendiendo a transmitir datos.

A pesar del hecho de que WAP, prácticamente, ha pasado al olvido, algunas partes de esta tecnología continúan siendo soportadas por otros operadores. Por ejemplo, algunos aún soportan el pago por WAP, el cual permite a los usuarios hacer pagos en sitios web directamente desde sus cuentas de móvil.

El pago por WAP es una fuente de ingresos para los cibercriminales

El pago por WAP tiene diferentes problemas. En primer lugar, no es una interfaz transparente para el comprador. En teoría, una página de pago por WAP debería mostrar exactamente lo que estás comprando y la cantidad a pagar; aunque, en la práctica tu consumo puede variar.

En segundo lugar, 3 partes participan de forma simultánea en las transacciones de pago por WAP, además del comprador, se encuentran el operador móvil, el proveedor del servicio de pago, y finalmente, el proveedor de contenido.  (El tener varias partes puede complicar los reintegros, pero esto ya es adelantarse a los hechos).

Y lo más importante, las tarjetas bancarias no son utilizadas para estos pagos. Como en muchas otras estafas, las víctimas son engañadas para acceder a su información bancaria. Con una estafa WAP, las víctimas ni siquiera necesitan tener una cuenta bancaria, pero seguramente todas tienen acceso a una cuenta de móvil.

Esto que estamos viendo es lo mismo que enviar mensajes de texto premium. Aunque, tiene un pequeño detalle añadido: el malware que explota el pago por WAP es menos complicado que los Troyanos que envían mensajes de texto premium. Los cibercriminales ni siquiera tienen que enseñar a su malware a ganar el acceso que necesitan para enviar mensajes de texto; estos Troyanos son capaz de mantenerse fuera del radar sin necesidad de solicitar permisos especiales para acceder a las funciones de Accesibilidad.

Los Troyanos que han aprendido a explotar el pago por WAP

Las comodidades del pago por WAP han sido explotadas por cibercriminales, que han empezado a añadir a su malware la habilidad de abrir sitios web que tienen pago por WAP y hacer clic en botones que dan inicio al pago mientras que el usuario no sospecha nada. Roman Unuchek, un investigador de Kaspersky Lab, descubrió que estos troyanos empezaron a aparecer con mayor frecuencia durante el segundo trimestre de 2017.

Un ejemplo perfecto de este tipo de troyanos es el Ubsod. Esta variedad de malware, que se detecta como Trojan-Clicker-AndroidOS.Ubsod, funciona de la siguiente forma: el Troyano recibe las URLs de los sitios web con botones desde un servidor de comando y control; después de eso, el Troyano visita los sitios web y hace clic en los botones de suscripción del usuario a diferentes servicios de pago.

Y debido a que los operadores móviles suelen enviar mensajes de texto con notificaciones de suscripción, el troyano está entrenado para interceptarlos y eliminar cualquier mensaje que contenga el texto “ubscri” o “одпи”, que son fragmentos de las palabras “suscripción” y “подписка” (“suscripción” en Rusia), respectivamente. También puede desactivar el WiFi, activando el consumo de datos del móvil. Después de todo, el pago por WAP solo funciona cuando un usuario se conecta a Internet utilizando sus datos móviles, en este caso, una conexión WiFi no funcionaría para las suscripciones.

Otro troyano nuestros productos detectan es el Trojan-Dropper.AndroidOS.Ubsod, que hace lo mismo, pero además puede descargar archivos con el troyano incluido y ejecutarlos. Y un tercero es el Trojan.Banker.AndroidOS.Ubsod, que además de todo lo mencionado anteriormente, sabe algunos trucos típicos de los Troyanos bancarios: cómo superponer ventanas de phishing sobre las aplicaciones bancarias, ejecutar comandos, mostrar anuncios y enviar mensajes de texto.

Otro malware popular es el Trojan-Clicker.AndroidOS.Xafekopy, el cual se hace pasar por una aplicación útil, normalmente en una app de optimización de batería para smartphones. Parece bastante convincente; nada dentro de su interfaz revela su naturaleza maliciosa. Pero esta hace clic a través de URLs, tanto publicitarias, como las que soportan el pago WAP. Los autores de Troyanos suelen implementar varios métodos para obtener un beneficio de su malware.

Es probable que solo te des cuenta de que tienes un Trojan-clicker en tu móvil al ver que ya no tienes dinero en tu cuenta del móvil. La alternativa es tener una solución de seguridad que lo detecte y te notifique sobre el malware.

Cómo proteger tu dispositivo de los Troyanos por pago WAP

  1. No permitas la instalación de aplicaciones de fuentes desconocidas. Este tipo de Troyano puede ser distribuido a través de anuncios, y al evitar su instalación, simplemente impedirás su instalación. Para bloquear la instalación desde fuentes desconocidas, haz clic en las siguientes opciones de tu móvil: Configuración –> Seguridad y desactiva la casilla de fuentes desconocidas. En este enlace podrás encontrar más información útil sobre la configuración de seguridad de Android.2. Probablemente tu operador de red móvil tenga algún tipo de portal de servicios donde puedes encontrar los servicios activos, incluyendo suscripciones WAP actuales. Si tu cuenta de móvil se está quedando sin dinero de forma rápida y sospechosa, entonces abre la página de servicios de tu operador y verifica si estás suscrito a algún servicio de pago innecesario. Algunos operadores permiten a los suscriptores desactivar por completo los servicios de pago por WAP.
  2. Instala una solución de seguridad de confianza en tu dispositivo móvil. Por ejemplo, Kaspersky Internet Security for Android es capaz de detectar y neutralizar la variedad de malware mencionado anteriormente. La versión gratuita requiere que el usuario ejecute un escaneo de forma manual, a diferencia de la versión de pago, que lo hace automáticamente, incluso cuando se instala una nueva aplicación.