Des chevaux de Troie exploitent les abonnements du protocole WAP pour détourner de l’argent

Menaces

Est-ce que vous vous souvenez de ce qu’est un protocole WAP ? Ça m’étonnerait ! Le protocole WAP est une excuse plutôt primitive de l’Internet mobile. Les petits sites web auxquels il peut avoir accès montrent principalement du texte, et nous y allions lorsque les téléphones venaient tout juste d’apprendre à transmettre des données.

En dépit du fait que le protocole WAP est pratiquement tombé dans l’oubli, les ficelles de la technologie sont encore tirées par les opérateurs de téléphonie mobile. Par exemple, certains prennent encore en charge la facturation du protocole WAP, qui permet aux utilisateurs d’effectuer un achat sur un site directement depuis leurs comptes mobiles.

La facturation du protocole WAP comme une source de revenue pour les cybercriminels

La facturation du protocole WAP comporte plusieurs problèmes. Premièrement, elle n’est pas assez transparente pour l’acheteur. En théorie, une page qui contient de la facturation du protocole WAP devrait afficher ce que vous êtes exactement en train d’acheter et combien vous allez payer. Dans la pratique cependant, votre kilométrage peut varier.

Deuxièmement, trois parties participent aux transactions de facturation du protocole WAP simultanément (en plus de l’acheteur), l’opérateur mobile, le fournisseur de services de paiement, et finalement, le fournisseur de contenu. (Le fait d’avoir tant de parties peut compliquer les remboursements).

Et le plus important, les cartes bancaires ne sont pas utilisées pour ces paiements. Avec toutes les arnaques qui existent, les victimes pourraient être piégées en saisissant leurs informations bancaires. Avec une arnaque au protocole WAP, les victimes n’ont même pas besoin d’avoir un compte en banque, mais on peut parier qu’elles ont toutes accès à un compte mobile.

Sur le fond, ce que nous étudions relève du même domaine que celui d’envoyer des messages SMS surtaxés. Il y a toutefois un petit détail supplémentaire : le malware qui exploite la facturation du protocole WAP est moins compliqué que les chevaux de Troie qui envoient des messages SMS surtaxés. Les cybercriminels n’ont même pas vraiment besoin d’enseigner leurs créations de malwares pour obtenir l’accès dont ils ont besoin pour renvoyer des messages SMS ; ces chevaux de Troie sont capables d’échapper au radar et de ne pas demander d’autorisations spéciales telles que l’accès aux fonctionnalités d’Accessibilité.

Les chevaux de Troie qui ont appris à exploiter la facturation du protocole WAP

Les services de la facturation du protocole WAP ont été activement exploités par les cybercriminels, qui ont ajouté à leurs malwares la capacité d’ouvrir des pages web contenant la facturation du protocole WAP et qui cliquent sur des boutons effectuant les paiements alors que l’utilisateur ne se doute de rien. Un chercheur de Kaspersky Lab, Roman Unucheck, a découvert que ces chevaux de Troie apparaissaient plus souvent que d’habitude au second trimestre 2017.

Un des principaux exemples de tels chevaux de Troie est la famille Ubsod. Cette variété de malware, qui est détectée comme Trojan-Clicker-AndroidOS.Ubsod fonctionne de la sorte : depuis un serveur de commande et contrôle, le cheval de Troie reçoit les adresses URL des sites web avec des boutons ; après ça, le cheval de Troie se rend sur les sites web et clique sur des boutons pour inscrire les utilisateurs à de nombreux services payants indésirables.

Et parce que les opérateurs mobiles envoient généralement des messages SMS avec des notifications d’abonnement, le cheval de Troie est formé pour intercepter et supprimer n’importe quel message qui contient le texte  « ubscri » ou « одпи », qui font partie des mots « subscription » and « подписка » (« abonnement » en Russe), respectivement. Il peut également désactiver le Wi-Fi et activer les données mobiles sur un smartphone. Après tout, la facturation du protocole WAP ne fonctionne que lorsqu’un utilisateur se connecte à Internet via des données mobiles, une connexion Wi-Fi ne fonctionnera pas pour des abonnements dans ce cas.

Un autre cheval de Troie, que nos produits détectent comme le Trojan-Dropper.AndroidOS.Ubsod, fait la même chose, mais il peut aussi décompresser des fichiers téléchargés et les démarrer. Et le troisième, le Trojan-Banker.AndroidOS.Ubsod, en plus de tout ce qui a été mentionné précédemment, connaît quelques astuces typiques des chevaux de Troie : comment recouvrir des applications bancaires avec des fenêtres d’hameçonnage, exécuter des commandes, montrer des publicités et envoyer des messages SMS.

Une autre pièce populaire de malware, Trojan-Clicker.AndroidOS.Xafekopy prétend être une application utile, le plus souvent un optimisateur de batterie pour les smartphones. Cela semble plutôt convaincant ; rien dans son interface utilisateur ne laisse présager sa nature malveillante. En revanche, il clique sur des URL de facturation du protocole WAP ainsi que sur des URL publicitaires, les auteurs du Cheval de Troie mettent souvent en place plusieurs méthodes pour obtenir des bénéfices grâce à leurs malwares.

Vous vous rendrez sans doute compte qu’il y a un cheval de Troie à facturation du protocole WAP qui réside sur votre appareil mobile seulement après avoir découvert la disparition de tout l’argent sur votre mobile. Néanmoins, votre solution de sécurité peut détecter le malware et vous le signaler.

Comment protéger votre appareil des chevaux de Troie à facturation du protocole WAP

  1. Interdisez l’installation d’applications provenant de sources inconnues. Ce type de cheval de Troie peut être distribué via des publicités, mais si vous activez cette interdiction, vous ne serez tout simplement pas autorisé à les installer. Pour bloquer l’installation provenant de sources inconnues, rendez-vous dans Paramètres -> Sécurité sur votre smartphone et décochez Sources inconnues. Vous en apprendrez davantage sur les paramètres utiles d’Android dans cet article.

Featured image

  1. Votre opérateur de réseau mobile dispose sans doute d’un portail libre-service où vous trouverez tous les services actifs, y compris vos abonnements récents au protocole WAP. Si votre compte mobile se vide rapidement, ouvrez alors la page web de votre opérateur et vérifiez si vous êtes abonné à quelque chose de payant et d’indésirable. Certains opérateurs mobiles laissent les abonnés désactiver totalement les services de facturation du protocole WAP.
  2. Installez une solution de sécurité fiable sur votre appareil mobile. Par exemple, Kaspersky Internet Security for Android est capable de détecter et neutraliser les malwares cités précédemment. La version gratuite requiert que l’utilisateur lance l’analyse manuellement alors que la version payante fait une analyse automatique, y compris lors de l’installation de n’importe quelle application.