Le logiciel malveillant mobile, WAPDropper

Avez-vous déjà reçu une facture télécom beaucoup plus importante que prévu ? Vous êtes abonné à des services téléphoniques à tarif majoré sans le savoir ou sans votre consentement.

Ce type d’escroquerie est connu sous le nom de fraude au partage des recettes internationales qui existe depuis deux décennies (IRSF – International Revenue Share Fraud) et c’est même « un marché » qui génère environ 4 à 6 milliards de dollars par an pour les fraudeurs. Les fraudeurs abusent de l’infrastructure de l’opérateur de télécommunications pour gonfler artificiellement le trafic vers des destinations internationales à haut risque avec l’intention de non-paiement. Au démarrage dans les années 2000, la plupart des méthodes de fraude consistaient à accéder aux cartes SIM et à les utiliser en itinérance pour appeler des numéros de partage de revenus internationaux.

Au fur et à mesure que la technologie progressait avec les smartphones, il y a eu la possibilité de faire 6 appels simultanés en utilisant la fonction de conférence téléphonique sur le mobile. Vous pouvez appeler un numéro, le mettre en attente, puis appeler un deuxième numéro, le mettre en attente, etc. Donc, si les escrocs passent 6 appels à la fois sur une carte SIM, à 5 $ la minute, c’est un assez bon revenu… Il y a également d’autres fonctionnalités comme le transfert d’appels international qui a été une autre aubaine pour les fraudeurs.

Check Point Research a récemment découvert une nouvelle campagne de l’IRSF qui utilise une nouvelle variante insidieuse de logiciel malveillant mobile pour inscrire discrètement les utilisateurs à des services surtaxés.

WAPDropper

WAPDropper a la capacité de télécharger et d’exécuter des logiciels malveillants supplémentaires sur l’appareil infecté. Ce type de « dropper » multifonctionnel qui s’installe furtivement sur le téléphone d’un utilisateur et télécharge ensuite d’autres logiciels malveillants est le type d’infection mobile le plus courant observé en 2020 : Les chevaux de Troie « dropper » représentaient près de la moitié de toutes les attaques de logiciels malveillants mobiles entre janvier et juillet, avec des infections combinées se chiffrant à des centaines de millions dans le monde.

Il se compose de deux modules différents : le module dropper, qui est responsable du téléchargement du logiciel malveillant et un module d’appel premium qui permet aux victimes de s’abonner à des services premium offerts par des sources légitimes. Dans le cas décrit par Check Point Research, ce sont les opérateurs de télécommunication de deux pays d’Asie du Sud-Est, la Thaïlande et la Malaisie.

Dans ce système et dans d’autres systèmes similaires, les pirates informatiques et les propriétaires des numéros surtaxés coopèrent ou pourraient même être le même groupe de personnes. Il s’agit simplement d’un jeu de chiffres : plus les appels passés par le biais des services à taux majoré sont nombreux, plus les personnes à l’origine de ces services en tirent des revenus. Tout le monde y gagne, sauf les malheureuses victimes de l’escroquerie.

Comment pouvez-vous être infecté(e) ?

L’infection commence lorsque l’utilisateur télécharge une application infectée sur son téléphone portable à partir d’un magasin d’applications non officiel.

Après l’installation, WAPDropper contacte son serveur de commande et de contrôle puis télécharge le module de numérotation premium, qui ouvre un minuscule écran de visualisation sur le web, et contacte les services premium proposés par les entreprises de télécommunications légitimes.

Comment éviter d’être infecté(e) ?

Pour éviter d’être victime de logiciels malveillants tels que WAPDropper, l’une des mesures les plus importantes que les utilisateurs peuvent prendre consiste à ne télécharger que des applications provenant d’app stores officiels (App Store d’Apple et Google Play). Cependant, même cette mesure n’est pas sûre à 100% : en 2019, le malware PreAMo Ad-clicker était caché dans six applications de Google Play qui ont été téléchargées plus de 90 millions de fois avant d’être supprimées.

Si vous pensez avoir une application infectée sur votre smartphone

• Désinstallez l’application infectée de l’appareil.
• Vérifiez vos factures de téléphone portable et de carte de crédit pour voir si vous avez souscrit des abonnements et si possible, désabonnez-les.
• Installer une solution de sécurité pour prévenir les infections futures.