Microsoft telah merinci kemampuan yang berkembang dari aplikasi malware penipuan tol di Android, menunjukkan “alur serangan multi-langkah yang kompleks” dan mekanisme yang ditingkatkan untuk menghindari analisis keamanan.
Penipuan pulsa termasuk dalam kategori penipuan penagihan di mana aplikasi seluler berbahaya datang dengan biaya berlangganan tersembunyi, mengikat pengguna yang tidak curiga ke konten premium tanpa sepengetahuan atau persetujuan mereka.
Ini juga berbeda dari ancaman fleeceware lainnya karena fungsi berbahaya hanya dilakukan ketika perangkat yang disusupi terhubung ke salah satu operator jaringan targetnya.
“Itu juga, secara default, menggunakan koneksi seluler untuk aktivitasnya dan memaksa perangkat untuk terhubung ke jaringan seluler bahkan jika koneksi Wi-Fi tersedia,” kata Dimitrios Valsamaras dan Sang Shin Jung dari Tim Riset Pertahanan Microsoft 365 dalam penjelasan lengkapnya. analisis.
“Setelah koneksi ke jaringan target dikonfirmasi, itu diam-diam memulai langganan penipuan dan mengonfirmasinya tanpa persetujuan pengguna, dalam beberapa kasus bahkan mencegat kata sandi satu kali (OTP) untuk melakukannya.”
Aplikasi semacam itu juga diketahui menekan notifikasi SMS terkait langganan untuk mencegah korban mengetahui transaksi penipuan dan berhenti berlangganan layanan.
Pada intinya, penipuan tol memanfaatkan metode pembayaran yang memungkinkan konsumen berlangganan layanan berbayar dari situs web yang mendukung Wireless Application Protocol (WAP). Biaya berlangganan ini dibebankan langsung ke tagihan telepon seluler pengguna, sehingga tidak perlu menyiapkan kartu kredit atau debit atau memasukkan nama pengguna dan kata sandi.
“Jika pengguna terhubung ke internet melalui data seluler, operator jaringan seluler dapat mengidentifikasinya berdasarkan alamat IP,” kata Kaspersky dalam laporan tahun 2017 tentang trojan clickers WAP billing. “Operator jaringan seluler menagih pengguna hanya jika mereka berhasil diidentifikasi.”
Secara opsional, beberapa penyedia juga dapat meminta OTP sebagai lapisan kedua konfirmasi langganan sebelum mengaktifkan layanan.
“Dalam kasus penipuan tol, malware melakukan langganan atas nama pengguna dengan cara yang proses keseluruhannya tidak terlihat,” kata para peneliti. “Malware akan berkomunikasi dengan [command-and-control] server untuk mengambil daftar layanan yang ditawarkan.”
Ini dicapai dengan terlebih dahulu mematikan Wi-Fi dan mengaktifkan data seluler, diikuti dengan menggunakan JavaScript untuk berlangganan layanan secara diam-diam, dan mencegat dan mengirim kode OTP (jika berlaku) untuk menyelesaikan proses.
Kode JavaScript, pada bagiannya, dirancang untuk mengklik elemen HTML yang berisi kata kunci seperti “konfirmasi”, “klik”, dan “lanjutkan” untuk memulai langganan secara terprogram.
Setelah langganan penipuan berhasil, malware menyembunyikan pesan pemberitahuan berlangganan atau menyalahgunakan izin SMS untuk menghapus pesan SMS masuk yang berisi informasi tentang layanan berlangganan dari operator jaringan seluler.
Malware penipuan pulsa juga diketahui menutupi perilaku jahatnya melalui pemuatan kode dinamis, sebuah fitur di Android yang memungkinkan aplikasi menarik modul tambahan dari server jarak jauh selama runtime, membuatnya siap untuk disalahgunakan oleh aktor jahat.
Dari sudut pandang keamanan, ini juga berarti bahwa pembuat malware dapat membuat aplikasi sedemikian rupa sehingga fungsionalitas jahat hanya dimuat ketika prasyarat tertentu terpenuhi, secara efektif mengalahkan pemeriksaan analisis kode statis.
“Jika sebuah aplikasi memungkinkan pemuatan kode dinamis dan kode yang dimuat secara dinamis mengekstrak pesan teks, itu akan diklasifikasikan sebagai malware backdoor,” Google menjelaskan dalam dokumentasi pengembang tentang aplikasi yang berpotensi berbahaya (PHA).
Dengan tingkat pemasangan 0,022%, aplikasi penipuan pulsa menyumbang 34,8% dari semua PHA yang dipasang dari pasar aplikasi Android pada kuartal pertama 2022, peringkat di bawah spyware. Sebagian besar instalasi berasal dari India, Rusia, Meksiko, Indonesia, dan Turki.
Untuk mengurangi ancaman malware penipuan pulsa, sebaiknya pengguna menginstal aplikasi hanya dari Google Play Store atau sumber tepercaya lainnya, menghindari pemberian izin yang berlebihan ke aplikasi, dan mempertimbangkan untuk meningkatkan ke perangkat baru jika berhenti menerima pembaruan perangkat lunak.
