{"id":19392,"date":"2022-05-11T15:05:18","date_gmt":"2022-05-11T18:05:18","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=19392"},"modified":"2022-05-11T15:05:18","modified_gmt":"2022-05-11T18:05:18","slug":"trojans-subscribers-2022","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/trojans-subscribers-2022\/19392\/","title":{"rendered":"Trojans de assinaturas loucos para fazer inscri\u00e7\u00f5es"},"content":{"rendered":"

Os Trojans de assinatura tornaram-se um m\u00e9todo comum para desviar dinheiro honesto dos usu\u00e1rios de Android. O modus operandi<\/em> \u00e9 se infiltrar em um smartphone sob o pretexto de aplica\u00e7\u00f5es \u00fateis e assinar servi\u00e7os pagos sem que o usu\u00e1rio saiba. Na maioria das vezes, a assinatura em si \u00e9 real, s\u00f3 que o usu\u00e1rio provavelmente n\u00e3o precisa desse servi\u00e7o.<\/p>\n

Os desenvolvedores desse tipo de Trojans ganham dinheiro com base em comiss\u00f5es, ou seja, recebem uma certa porcentagem do que o usu\u00e1rio gasta com esses movimentos involunt\u00e1rios. Normalmente, os pagamentos s\u00e3o deduzidos da conta do celular, embora em alguns casos possam ser cobrados diretamente de um cart\u00e3o banc\u00e1rio. Estes s\u00e3o os exemplos mais relevantes deste tipo de golpe envolvendo assinaturas mobile por meio de Trojans que os especialistas da Kaspersky detectaram no \u00faltimo ano.<\/a>.<\/p>\n

Assinaturas de pagamento e c\u00f3digos de confirma\u00e7\u00e3o por mensagens de texto<\/h2>\n

Trojans do tipo Jocker geralmente s\u00e3o difundidos pelo Google Play. Os cibercriminosos modificam aplicativos conhecidos o adicionando via c\u00f3digo e enviando-os para a loja com um nome diferente. Eles s\u00e3o encontrados em qualquer tipo de aplicativo, desde aplicativos de mensagens instant\u00e2neas, aplicativos de controle de press\u00e3o arterial\u2026 apps de digitaliza\u00e7\u00e3o de documentos. Os moderadores do Google Play tentam identificar esses tipos de aplicativos, mas novos geralmente aparecem antes de poderem excluir aqueles j\u00e1 encontrados.<\/p>\n

\"Alguns

Alguns dos aplicativos no Google Play que foram afetados com o Trojan de assinatura Jocker<\/p><\/div>\n

Vamos ver agora como esses Trojans realmente funcionam. \u00a0Normalmente, para assinar um servi\u00e7o, o usu\u00e1rio tem que ir ao site do provedor de conte\u00fado e clicar ou selecionar o bot\u00e3o de assinatura. Para combater as tentativas autom\u00e1ticas de assinatura, esses provedores pedem ao usu\u00e1rio que confirme sua decis\u00e3o inserindo um c\u00f3digo enviado via mensagem de texto. Mas o malware da fam\u00edlia Jocker <\/em>pode burlar esse m\u00e9todo de prote\u00e7\u00e3o.<\/p>\n

Uma vez que o aplicativo em quest\u00e3o se infiltra no dispositivo, em muitos casos ele pede ao usu\u00e1rio acesso a mensagens de texto. Em seguida, abre a p\u00e1gina de assinatura em uma janela invis\u00edvel, simula pressionar o bot\u00e3o de assinatura, rouba o c\u00f3digo de confirma\u00e7\u00e3o do SMS e assina sem que o usu\u00e1rio perceba.<\/p>\n

Nos casos em que o aplicativo n\u00e3o precisa de acesso \u00e0s mensagens de texto (porque um aplicativo de digitaliza\u00e7\u00e3o de documentos precisaria acessar seu SMS?), eles solicitam acesso \u00e0s notifica\u00e7\u00f5es. Isso permite exatamente a \u00a0mesma l\u00f3gica de invas\u00e3o: roubar o c\u00f3digo de confirma\u00e7\u00e3o, mas, desta vez, a partir das notifica\u00e7\u00f5es pop-up.<\/p>\n

Como eles burlam o CAPTCHA?<\/h2>\n

Os Trojan da fam\u00edlia MobOk s\u00e3o um pouco mais complexos. Eles n\u00e3o apenas roubam c\u00f3digos de confirma\u00e7\u00e3o de mensagens de texto ou notifica\u00e7\u00f5es, mas tamb\u00e9m contornam o \u00a0CAPTCHA<\/a>, o famoso m\u00e9todo de prote\u00e7\u00e3o contra assinaturas autom\u00e1ticas. Para reconhecer o c\u00f3digo de imagem, o Trojan o envia para um servi\u00e7o especial \u2013 no ano passado, investigamos<\/a> o funcionamento de fazendas de cliques que fornecem servi\u00e7os de reconhecimento CAPTCHA.<\/p>\n

Em alguns aspectos, funciona de forma semelhante aos Trojans da fam\u00edlia Jocker. Em outros, o MobOk se espalhou como uma carga de Trojan Triada, na maioria das vezes por aplicativos pr\u00e9-instalados em alguns modelos de smartphones, atualiza\u00e7\u00f5es n\u00e3o oficiais do WhatsApp ou na loja de aplicativos alternativa APKPure.\u00a0 Ocasionalmente, aplicativos infectados por MobOk tamb\u00e9m podem ser encontrados no Google Play.<\/p>\n

Trojans de assinaturas de fontes n\u00e3o oficiais<\/strong><\/h2>\n

\u00a0<\/em>O malware da fam\u00edlia Vesub tamb\u00e9m \u00e9 distribu\u00eddo por meio de fontes \u201cparalelas\u201dsob o pretexto de aplicativos que, por uma raz\u00e3o ou outra, foram banidos dos servi\u00e7os\u00a0 oficiais. Por exemplo, eles muitas vezes se colocam como aplicativos para baixar conte\u00fado do YouTube ou outros\u00a0 servi\u00e7os de streaming <\/em>, como Tubemate ou Vidmate;\u00a0 ou como uma vers\u00e3o n\u00e3o oficial do Android de GTA5. Al\u00e9m disso, eles podem aparecer nestas mesmas plataformas como vers\u00f5es gratuitas de aplicativos populares que t\u00eam pre\u00e7os altos, como\u00a0 no caso do Minecraft.<\/p>\n

\"O

O \u00a0Trojan de assinatura Vesub camuflado como Tubemate, Vidmate, GTA5, Minecraft ou o misterioso GameBeyond<\/p><\/div>\n

Ao contr\u00e1rio do malware <\/em>das fam\u00edlias MobOk e Jocker, os aplicativos infectados pelo Vesub normalmente n\u00e3o t\u00eam uso para o usu\u00e1rio.\u00a0 Assim que a instala\u00e7\u00e3o ocorre, eles compram uma assinatura n\u00e3o solicitada e ocultam as janelas relevantes do usu\u00e1rio enquanto exibem uma janela de carregamento de aplicativo na tela.\u00a0 Em alguns casos, podemos encontrar algo \u00fatil dentro do aplicativo infectado com o MobOk.<\/p>\n

\u00cdnicio de sess\u00e3o por telefone<\/h2>\n

O Trojan GriftHorse.ae n\u00e3o \u00e9 t\u00e3o elegante. Quando executado pela primeira vez, ele\u00a0 pede diretamente\u00a0 ao usu\u00e1rio para digitar seu n\u00famero de telefone \u201cpara fazer login\u201d. A assinatura \u00e9 feita assim que o usu\u00e1rio entra e pressiona o bot\u00e3o de login e o dinheiro \u00e9 cobrado em sua conta mobile. Esse malware <\/em>geralmente se apresenta como um aplicativo para recuperar arquivos exclu\u00eddos, editar fotos ou v\u00eddeos, piscar a lanterna em chamadas recebidas, navegar, digitalizar documentos, traduzir, etc. , mas na realidade essas aplica\u00e7\u00f5es infectadas tamb\u00e9m n\u00e3o oferecem nenhum utilidade de fato.<\/p>\n

Inscri\u00e7\u00f5es com pagamento autom\u00e1tico<\/h2>\n

Embora possa parecer semelhante, as assinaturas do GriftHorse.ae usam um m\u00e9todo diferente: eles empregam inscri\u00e7\u00f5es com pagamentos recorrentes. Oficialmente, isso acontece com o consentimento direto do usu\u00e1rio, mas as v\u00edtimas podem n\u00e3o perceber que est\u00e3o fazendo pagamentos autom\u00e1ticos regulares. Outro truque \u00e9 tornar o primeiro pagamento insignificante e os encargos subsequentes visivelmente mais altos.<\/p>\n

J\u00e1 analisamos um modelo semelhante, com sites falsos oferecendo assinaturas de cursos de treinamento<\/a>. Neste caso, a mec\u00e2nica \u00e9 mais ou menos a mesma, mas implementada dentro <\/a>\u00a0do aplicativo<\/a>. O Trojan \u00e9 amplamente distribu\u00eddo pela Google Play e o dinheiro \u00e9 cobrado diretamente em um cart\u00e3o banc\u00e1rio, pedindo informa\u00e7\u00f5es de pagamento para acessar o conte\u00fado.<\/p>\n

Como n\u00e3o cair na armadilha?<\/h2>\n

Descobrir como cancelar uma assinatura paga indesejada pode ser muito complicado. Ent\u00e3o, como sempre, \u00e9 melhor prevenir do que remediar. Aqui est\u00e1 o que recomendamos para se proteger desses Trojans de assinatura:<\/p>\n

\u2013 Em primeiro lugar, n\u00e3o instale aplicativos fora de lojas n\u00e3o oficiais. Isso melhorar\u00e1 muito a seguran\u00e7a do seu dispositivo.<\/p>\n

\u2013 As fontes oficiais s\u00e3o muito melhores, mas infelizmente tamb\u00e9m n\u00e3o est\u00e3o 100% seguras.\u00a0 Antes de baixar um aplicativo do Google Play ou de outra loja, certifique-se sempre de verificar avalia\u00e7\u00f5es e depoimentos.<\/p>\n

\u2013 Veja tamb\u00e9m a data de apari\u00e7\u00e3o do aplicativo na plataforma. As lojas constantemente removem aplicativos suspeitos, mas os golpistas n\u00e3o param de criar vers\u00f5es de aplicativos infectados. Ent\u00e3o, se um aplicativo que voc\u00ea quer est\u00e1 dispon\u00edvel h\u00e1 pouco tempo, tenha cuidado com ele.<\/p>\n

\u2013 D\u00ea aos aplicativos acesso<\/a> m\u00ednimo ao seu dispositivo. Antes de permitir que um aplicativo leia suas mensagens ou notifica\u00e7\u00f5es, pergunte a si mesmo se \u00e9 realmente necess\u00e1rio.<\/p>\n

\u2013 Instale um antiv\u00edrus mobile confi\u00e1vel<\/a>: isso proteger\u00e1 seu telefone de todas as amea\u00e7as digitais, incluindo Trojans de assinatura.<\/p>\n

\"Protect<\/a><\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Contamos como os usu\u00e1rios de Android s\u00e3o v\u00edtimas de trojans de assinatura como Jocker, MobOk, Vesub e GriftHorse.<\/p>\n","protected":false},"author":2684,"featured_media":19393,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260],"tags":[34,2037,1025,807],"class_list":{"0":"post-19392","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-android","9":"tag-assinaturas-pagas","10":"tag-google-play","11":"tag-trojans"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/trojans-subscribers-2022\/19392\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/trojans-subscribers-2022\/24138\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/trojans-subscribers-2022\/19621\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/trojans-subscribers-2022\/9907\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/trojans-subscribers-2022\/26460\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/trojans-subscribers-2022\/24406\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/trojans-subscribers-2022\/24768\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/trojans-subscribers-2022\/27146\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/trojans-subscribers-2022\/26693\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/trojans-subscribers-2022\/33145\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/trojans-subscribers-2022\/10669\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/trojans-subscribers-2022\/44288\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/trojans-subscribers-2022\/18875\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/trojans-subscribers-2022\/28534\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/trojans-subscribers-2022\/28263\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/trojans-subscribers-2022\/25004\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/trojans-subscribers-2022\/30499\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/trojans-subscribers-2022\/30252\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/android\/","name":"Android"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19392","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2684"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=19392"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19392\/revisions"}],"predecessor-version":[{"id":19398,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19392\/revisions\/19398"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/19393"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=19392"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=19392"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=19392"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}