Неожиданное списание средств за мобильные услуги, на которые не подписывался абонент, наряду с плохим качеством связи закономерно вызывает бурную реакцию пользователей и справедливый гнев в адрес операторов. Но не так давно исследователи из «Лаборатории Касперского» раскрыли нетрадиционную схему мошенничества, которая позволяла злоумышленникам подписывать абонентов на платный сервис без их ведома.

Для подписки абонентов на платные контент-услуги злоумышленники предпочитают использовать вредоносные приложения, фейковые сайты, изъяны в коде веб-страниц или ошибки в логике взаимодействия пользователя с контент-платформой. Метод, попавшийся на глаза экспертам «Лаборатории», использует уязвимость в стандартном компоненте Android — браузере AOSP, который, по данным разработчиков и ИБ-специалистов, кишит уязвимостями, из-за чего в более свежих версиях Android (5.0 и выше) в качестве штатного браузера используется Chrome. Дыра в AOSP позволяет исполнять вредоносный скрипт на легитимном сайте. Примерная площадь атаки очень велика, и в группе риска находятся до 500 млн устройств.

На данный момент известно, что кибермошенники стараются не привлекать внимания и красть понемногу, однако потенциал схемы велик — например, аналогичный сценарий осуществим в контексте онлайн-шопинга или работы с интернет-банкингом через мобильный браузер, что, например, не редкость для пользователей планшетов.

«Данную уязвимость вполне могут эксплуатировать злоумышленники для совершения покупок с карты, привязанной к аккаунту на популярном сервисе, установки программ на смартфон через веб-версию магазина приложений и даже для осуществления атак на онлайн-банкинг при работе с ним через мобильный браузер. Вероятен и вариант использования такой уязвимости в ходе атаки с применением социальной инженерии против пользователей бонусных и платежных сервисов», — уточнил Александр Ермакович, руководитель управления «Лаборатории Касперского» по предотвращению онлайн-мошенничества.

Как выяснили в «Лаборатории», при получении доступа к одной и той же подписке  браузеры AOSP и Chrome вели себя по-разному: Chrome отображал страницу с требованием подтвердить платную подписку, а в AOSP отображалось фоновое окно, и сразу приходило SMS-уведомление об успешной подписке на контент-услугу.

При живом тестировании стало ясно, что сначала Chrome и AOSP действуют одинаково: пользователь попадает с внешнего адреса на сайт-дорвей, который перенаправляет на страницу подписки. После того как пользователь кликает по ссылке, он попадает на страницу с JavaScript, а последний, в свою очередь, запускает цепочку редиректов. В результате первой переадресации загружается страница, которая направляет на сервер атаки сведения об устройстве, и, если пользователь занимается веб-серфингом через AOSP, запрос перенаправляется на страницу, где происходит эксплуатация уязвимости.

На этом этапе намечаются различия в поведении браузеров: Chrome приводит пользователя на лендинг, где указаны характеристики услуги и условия платной подписки. AOSP направляет абонента на страницу с обфусцированным скриптом, где и эксплуатируется брешь. После серии редиректов пользователь попадает на страницу платной подписки, где злоумышленники используют вредоносный код, имитирующий нажатие кнопки «Да» без ведома пользователя. В результате на сервер злоумышленников приходит POST-запрос с информацией об устройстве и копией загруженной страницы с контентом.

«В текущих реалиях недостаточно довольствоваться абстрактным «согласием пользователя», поскольку есть вероятность, что за него это делает вредоносная программа. Поэтому компании, предоставляющие финансовые онлайн-услуги, должны применять альтернативные способы идентификации пользователей на основе репутационного и поведенческого анализа», — добавил Ермакович.

Кибермошенники эксплуатируют уязвимость CVE-2014-6041 в AOSP, которой почти два года. Она предоставляет возможность обхода SOP (Same Origin Policy) и последующего проведения UXSS-атаки (Universal Cross-Site Scripting). Хотя уязвимость неприменима при наличии определенных заголовков, злоумышленники нашли способ обойти данное ограничение.

Опасность этой атаки состоит в том, что уязвимость давно является публичной, но не может быть закрыта из-за отсутствия обновлений AOSP. По актуальным данным, описанная уязвимость содержится на 30–45% всех устройств под Android. Хотя Google своевременно обновляет Android 5 и 6, во многих странах, в том числе в России, абоненты широко используют устаревшие версии устройств, до которых редко доходят обновления — или вообще никогда.

По результатам исследования МТС оперативно приняла меры к нарушителям, которые убрали вредоносный код со страницы услуги.

Категории: Аналитика, Главное, Мошенничество, Уязвимости