Skadelige mobilapplikasjoner kommer i mange kategorier, og en av de nyere variantene er de som lurer til seg penger ved å gjøre brukere til ufrivillige abonnenter på tjenester man aldri har bedt om. Nå er det oppdaget en ny skadevare i denne kategorien, melder Android Police.
Sikkerhetsselskapet Evina publiserte nylig en rapport som omtaler en ondsinnet programvare døpt «Autolycos». Programvaren skal ha ligget skjult i et knippe applikasjoner på Google Play, som til sammen har blitt lastet ned over 3 millioner ganger.
DCB-tjenester
Autolycos har ulike typer funksjonalitet, men hovedformålet med skadevaren skal være å stjele penger ved å starte abonnementer på såkalte DCB-tjenester (direct carrier billing) i det skjulte.
DCB er en løsning som lar brukere betale for produkter og tjenester gjennom den vanlige mobilregningen, og er spesielt utbredt i blant annet den nordiske regionen.
Digi.no har rapportert om DCB-skadevare som har rammet Norge ved tidligere anledninger. Autolycos-programvaren retter seg primært mot mobiloperatører i det afrikanske landet Nigeria, men skadevaren har ifølge Evina også infisert apper i europeiske land – deriblant Spania, Østerrike, Polen og Tyskland.
Det er dermed ikke utenkelig at den også vil kunne ramme norske brukere.
Ifølge sikkerhetsselskapet fungerer skadevaren ved å åpne en nettleser i det skjulte, og deretter besøke en nettside som drives av bakmennene. Herfra navigerer skadevaren seg videre inn på abonnementstjenester ved å klikke på en annonse, og deretter klikker skadevaren på knappen som starter abonnementet.
Den infiserte enheten mottar så en bekreftelses-SMS med en verifikasjonskode som avskjæres og leses av skadevaren. Denne SMS-meldingen ses aldri av brukeren.
Indirekte svindel
Leverandøren av tjenesten som brukeren nå abonnerer på, uvitende, betaler annonsenettverket en pengesum for det som antas å være en legitim, ny kunde. Annonsenettverket betaler så provisjon til nettsiden hvor transaksjonen fant sted, som driftes av bakmennene.
På denne måten tjener bakmennene penger på abonnementet, forklarer Evina.
I tilfellene som er avdekket av sikkerhetsselskapet dreier det seg om abonnenter til en pris på 13 dollar i måneden, hvorav bakmennene stakk av med 5 dollar – altså en ganske vesentlig andel av summen.
I noen tilfeller utfører skadevaren HTTP-forespørsler uten å bruke en nettleser, sier sikkerhetsselskapet, noe som bidrar til å gjøre skadevaren vanskeligere å oppdage. Dette er grunnen til at Autolycos tok lang tid å oppdage, sier Evina.
Appene som ble brukt til å spre skadevaren ble aktivt promotert på blant annet Facebook og Instagram. Dette gjorde at appene ble lastet ned å store antall på kort tid, som gjorde at appene fikk øy rangering på Google Play. De aktuelle applikasjonene er nå fjernet fra butikken.
Flere detaljer finner du i sikkerhetsselskapets egen rapport.
