I ricercatori di Check Point hanno individuato un nuovo malware denominato WAPDropper, che prende di mira gli utenti delle società di telecomunicazioni per abbonarli a servizi legittimi a tariffa premium.
WAPDropper scarica ed esegue un payload aggiuntivo. Nella campagna in corso, rilascia un dialer WAP premium che abbona le sue vittime a servizi premium a loro insaputa o senza il loro consenso.
Il malware, che appartiene a una famiglia appena scoperta, è composto da due diversi moduli: il dropper module che è responsabile del download del malware di 2° stadio, e il premium dialer module che abbona le vittime a servizi premium offerti da fonti legittime.
La catena dell’infezione è semplice: dopo che l’applicazione iniziale è stata installata sul dispositivo tramite markets di terze parti, WAPDropper contatta il server C&C (Command and Control) e riceve i payload da eseguire. Il carico utile è il modulo dialer premium, che apre una piccola visualizzazione Web e contatta i servizi premium offerti dalle società di telecomunicazioni legittime. Una volta caricate correttamente le pagine di destinazione, WAPDropper tenta di iscrivere l’utente a tali servizi.
In alcuni casi, è necessario un passaggio CAPTCHA per finalizzare l’abbonamento. Questo malware supera il test utilizzando i servizi di “Super Eagle”, un’azienda cinese che offre una soluzione ML per il riconoscimento delle immagini.
