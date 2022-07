Un nuovo tipo di malware iscrive gli utenti a servizi premium a loro insaputa o senza il loro consenso, è uno dei tipi più diffusi di malware Android e continua ad evolversi.

Rispetto ad alcuni malware che frodano tramite SMS e chiamate, i virus che colpiscono gli utenti tramite falsi abbonamenti sono diventati più complessi negli ultimi anni.

Sono state rilevate nuove funzionalità relative al modo in cui questa minaccia prende di mira gli utenti di operatori di rete specifici. Esegue le routine solo se il dispositivo è abbonato a uno dei suoi operatori di rete di destinazione. Inoltre, per impostazione predefinita, utilizza la connessione cellulare per le proprie attività e forza i dispositivi a connettersi alla rete mobile anche se è disponibile una connessione Wi-Fi.

Una volta confermata la connessione ad una rete, avvia di nascosto un abbonamento fraudolento e lo conferma senza il consenso dell’utente, in alcuni casi anche intercettando la password monouso (OTP). Nasconde quindi le notifiche SMS relative all’abbonamento per impedire all’utente di venire a conoscenza della transazione fraudolenta e di annullare l’iscrizione al servizio.

Impossibile da riconoscere

Un altro comportamento unico del malware è l’uso del caricamento dinamico del codice, che rende difficile per le soluzioni di sicurezza rilevare le minacce attraverso l’analisi statica, poiché parti del codice vengono scaricate sul dispositivo in determinati momenti. Nonostante questa tecnica di evasione, Windows ha identificato le caratteristiche che possono essere utilizzate per filtrare e rilevare questa minaccia.

Sono state analizzate anche modifiche alle restrizioni dell’API Android e alle norme di pubblicazione di Google Play Store che possono aiutare a mitigare questa minaccia.

La frode ha attirato l’attenzione dei media da quando Joker, la sua prima grande famiglia di malware, è arrivata sul Google Play Store nel 2017. Nonostante questa attenzione, non c’è molto materiale pubblicato su come questo tipo di malware svolga le sue attività fraudolente.