Attention, ce malware abonne les utilisateurs d'Android à des services premium

L'une des caractéristiques de cette fraude est que ne fonctionne pas lorsque les utilisateurs sont connectés aux réseaux Wifi, par conséquent, ils obligent les utilisateurs à se connecter au réseau de l'opérateur mobile auquel ils sont abonnés.

Ainsi, lorsque l'utilisateur envoie ce SMS ou appelle le téléphone premium, le logiciel malveillant agit automatiquement et, à l'insu de l'utilisateur, désactive le réseau Wi-Fi afin que l'utilisateur se connecte au réseau mobile.

Une fois cette étape effectuée, il lance la page d'abonnement aux services Premium, interceptant les codes OTP à usage unique, supprimant les notifications et les SMS qui pourraient alerter l'utilisateur qu'il est abonné à ces services.

Comment ce malware parvient-il à désactiver le réseau Wi-Fi ?

Le logiciel malveillant utilise les fonctionnalités d'Android pour surveiller l'état du réseau et vous empêche de vous connecter au Wi-Fi, forçant l'appareil à se connecter au réseau mobile.

Sur Android 9 (niveau API 28) ou inférieur, cela est possible avec un niveau d'autorisation de protection normal. Pour un niveau d'API supérieur, il existe la fonction 'requestNetwork' qui est incluse dans l'autorisation CHANGE_NETWORK_STATE, qui est également fournie avec un niveau de protection normal.

Avec ce logiciel malveillant, les cybercriminels parviennent à s'emparer des données des victimes, comme l'opérateur auprès duquel vous êtes abonné ou le pays dans lequel vous vous trouvez.

Voici comment fonctionne ce logiciel malveillant pour téléphone

Microsoft a partagé plus de détails techniques sur ce logiciel malveillant dans un rapport soulignant qu'il fonctionne sur le protocole d'application sans fil (WAP), qui permet l'abonnement à du contenu payant facturé sur la facture de téléphone.

Selon l'entreprise, le logiciel malveillant effectue toutes ces étapes automatiquement sans que l'utilisateur ne s'en rende compte :

1. Désactivez le Wi-Fi ou attendez que l'utilisateur passe à un réseau mobile.

2. Ensuite, il accède à la page d'abonnement et clique automatiquement sur le bouton pour s'abonner en interceptant l'OTP, le code de confirmation d'abonnement et annule les notifications par SMS.

Un autre aspect intéressant est que le malware utilise 'NetworkCallbak' pour surveiller l'état du réseau et obtenir la variable 'networktype' pour lier le processus à un réseau spécifique, ce qui oblige l'appareil à ignorer une connexion Wifi disponible et à utiliser le du mobile opérateur.

La seule façon pour l'utilisateur d'empêcher cela est de désactiver manuellement les données mobiles. Si l'opérateur mobile de la victime figure sur la liste cible, le logiciel malveillant procède à la recherche d'une liste de sites Web qui fournissent des services premium et essaie de s'y abonner automatiquement.

Certains opérateurs ne résilient l'abonnement qu'après avoir vérifié que l'utilisateur l'a autorisé via un code OTP délivré par SMS, HTTP ou USSD (Unstructured Supplementary Service Data).

Recommandations pour éviter ce malware

Pour éviter d'être victime de cette nouvelle menace sur Android, il est indispensable de mettre en place une série de pratiques garantissant la cybersécurité :

- Avoir un antivirus pour votre appareil mobile est un bon début.

- Gardez les téléphones portables à jour afin que toute faille de sécurité soit résolue.

- Ne téléchargez pas de fichiers provenant d' expéditeurs non fiables.

- Ne cliquez pas sur des liens suspects.

- Évitez d'autoriser les applications à lire ou à envoyer des SMS, à accéder aux notifications ou à se connecter à moins que ces autorisations ne soient requises pour un fonctionnement normal.

CONTINUER À LIRE