A Microsoft alerta aos usuários Android sobre novo malware capaz de roubar dinheiro. Chamada de "Toll fraud", trata-se malware que o criminoso utiliza para enganar a vítima, fazendo com que ela ligue ou envie um SMS para um número premium.

A "Toll fraud" não funciona via Wi-Fi e força o celular Android a se conectar à rede de internet móvel da operadora. A Microsoft compartilhou no final de junho deste ano um relatório descrevendo como o golpe pode ser evitado.

Sobre o Toll fraud

O Toll Fraud é um malware de fraude que funciona utilizando o Wireless Application Protocoll (WAP), recurso que permite ao usuário assine conteúdo pago e adicione a cobrança em sua conta telefônica. Para utilizar a função, é necessário que a pessoa se conecte à internet através da rede móvel e selecione o botão de assinatura. Dependendo do serviço de assinatura, é exigido uma senha de uso único para confirmar a escolha.

O malware faz tudo de forma automática através da execução fraudulenta de inscrição, interceptando as senhas de uso único e suprimindo notificações que possam alertar a vítima.

De acordo com a Microsoft, o malware Toll Fraud segue os seguintes passos:

  • Desativa a conexão Wi-Fi ou espere o usuário mudar para uma rede móvel
  • Navega silenciosamente até a página de assinatura
  • Clica automaticamente no botão de assinatura
  • Intercepta a senha de uso único (se aplicável)
  • Envia a senha de uso único para o provedor de serviços (se aplicável)
  • Cancela as notificações por SMS (se aplicável)
Funcionamento do malware Toll fraud. Fonte: Microsoft
Funcionamento do malware "Toll fraud". Fonte: Microsoft

Como o malware desativa o Wi-Fi

Segundo a Microsoft, o malware Toll Fraud começa coletando dados do assinante e da rede móvel utilizada, informações que o Android não exige permissão de acesso. Desta forma, ele consegue desabilitar a conexão Wi-Fi e forçar o celular a usar a rede de internet móvel da operadora. No Android 9 ou versão anterior, isso é possível com um nível de permissão de proteção normal.

Se houver um nível de proteção maior, existe a função "requestNetwork" que faz parte da permissão "CHANGE_NETWORK_STATE", que também possui um nível de permissão normal. O malware utiliza o "NetworkCallbak" para monitorar o status da rede e conseguir a variável "networktype" para em seguida vincular o processo a uma rede especifica, forçando o celular a ignorar a conexão Wi-Fi e usar a internet móvel da operadora.

Como evitar o controle do malware

Para evitar que o malware controle o celular, a única solução é desabilitar manualmente os dados móveis (internet móvel). A Microsoft diz que se o Toll Fraud obtiver acesso ao celular, ele irá "observar o progresso do carregamento da página e injeta o código JavaScript projetado para clicar nos elementos HTML que iniciam a assinatura. Como o usuário só pode se inscrever uma vez em um serviço, o código também marca a página HTML usando um cookie para evitar assinaturas duplicadas."

Para manter o malware fora do seu smartphone, basta verificar se onde você está baixando no Android é confiável, ou seja, na Play Store. Além disso, obteve as permissões solicitadas durante a instalação para reduzir os riscos de uma execução sem autorização que te leve a ter seus dados roubados.

Foi recomendado pela Microsoft que os usuários evitem dar permissão a aplicativos que realizam a leitura ou enviem SMS, ao acesso às notificações ou acessibilidade. Claro, com exceção daqueles aplicativos confiáveis que precisam destas permissões para funcionar normalmente.

Fonte: Microsoft