Оферта за отстъпка за множество лицензи
База данни за заплахи Мобилен зловреден софтуер Измама с CallPhantom за Android

Измама с CallPhantom за Android

До Mezo през Мобилен зловреден софтуерг
Превод на:

Кампанията CallPhantom разкри как киберпрестъпниците могат да използват общественото любопитство и дезинформацията, за да генерират огромни печалби чрез измамни приложения за Android. Разпространявани чрез официалния Google Play Store, този клъстер от 28 злонамерени приложения лъжливо твърдеше, че извлича регистри на обаждания, SMS записи и активност в WhatsApp, свързани с произволен телефонен номер. Преди Google да премахне приложенията, кампанията вече беше натрупала над 7,3 милиона изтегляния.

Невъзможни твърдения, прикрити като легитимни услуги

Всяко приложение в клъстера CallPhantom промотираше една и съща подвеждаща функционалност. Потребителите бяха инструктирани да въведат телефонен номер, след което приложенията уж генерираха пълна история на комуникацията, включително записи на обаждания, текстови съобщения и разговори в WhatsApp.

От техническа гледна точка, тези твърдения бяха напълно невъзможни. Архитектурата за сигурност и разрешения на Android не позволява на приложенията да имат достъп до личните данни за комуникация на други потребители. Вместо да извличат реална информация, приложенията показваха изфабрикувани резултати, генерирани от твърдо кодирани телефонни номера, предварително дефинирани имена и произволно зададени времеви отпечатъци, вградени директно в кода на приложението.

Изследователите идентифицираха два основни оперативни модела, използвани по време на кампанията:

  • Една група приложения показваха ограничени фалшиви резултати веднага и след това изискваха плащане за отключване на предполагаемата „пълна история“.
  • Друга група събира имейл адресите на потребителите, обещава да им достави подробни записи по имейл и изисква плащане, преди да бъдат изпратени каквито и да било резултати.

И в двата случая жертвите са платили за данни, които никога не са съществували.

Манипулативни платежни системи, предназначени да избегнат възстановяване на суми

Операторите, стоящи зад CallPhantom, използваха няколко механизма за плащане, за да увеличат максимално приходите, като същевременно намалят вероятността за успешно възстановяване на суми. Някои транзакции бяха обработени чрез официалната инфраструктура за фактуриране на Google Play, което позволи ограничени възможности на потребителите да оспорват такси. Много приложения обаче заобиколиха изцяло фактурирането в Google Play, като пренасочваха жертвите към приложения за плащане UPI на трети страни или вградени формуляри за плащане с карта.

Тези тактики нарушаваха политиките на Google и значително усложняваха процеса на възстановяване на суми за засегнатите потребители. Някои варианти увеличиха оперативната гъвкавост чрез динамично извличане на URL адреси за плащане от сървърите на Firebase. Това позволи на нападателите да редуват платежни акаунти по желание и направи автоматизираното откриване от системите за сигурност значително по-трудно.

Един особено подвеждащ вариант включваше психологическа манипулация в дизайна си. Ако потребителят се опиташе да затвори приложението, без да завърши плащането, се появяваха фалшиви известия, в които се твърдеше, че заявените резултати от историята на обажданията току-що са пристигнали във входящата поща. Единствената цел на тези известия беше да се окаже натиск върху потребителите да се върнат и финализират плащането.

Регионално таргетиране и финансови рискове

Кампанията беше насочена предимно към потребители в Индия и в целия Азиатско-тихоокеански регион. Много приложения автоматично избираха кода на Индия +91, за да засилят илюзията за легитимност сред местните потребители. Абонаментните планове варираха от приблизително 5 до 80 щатски долара и се предлагаха на пазара чрез седмични, месечни и годишни опции за плащане.

Освен непосредствената финансова загуба, жертвите, които са въвели информация за платежна карта чрез неофициални формуляри за плащане в приложението, могат да се сблъскат с допълнителни рискове, включително неоторизирани такси или злоупотреба с данни за плащане.

Как CallPhantom е експлоатирал доверието без опасни разрешения

Един от най-забележителните аспекти на операцията CallPhantom беше способността ѝ да причинява значителни финансови щети, без да изисква чувствителни разрешения за Android. Цялата измама се основаваше на социално инженерство, а не на техническа експлоатация. Потребителите бяха убеждавани да повярват на невъзможни твърдения, да плащат за изфабрикувана информация и несъзнателно да предават пари чрез лошо защитени платежни канали.

Въпреки че кампании като CallPhantom са сравнително рядко срещани, повечето киберпрестъпни операции разчитат до голяма степен на страх, спешност или измама, за да манипулират потребителите да изтеглят софтуер, да правят покупки или да разкриват чувствителна информация.

Предупредителни знаци и предпазни мерки

Всички идентифицирани приложения на CallPhantom са били разпространявани чрез официалния Google Play Store, използвайки подвеждащи имена, измислени описания и изкуствено завишени оценки, за да изглеждат надеждни. Въпреки че Google е премахнал приложенията, устройствата, на които са били инсталирани преди премахването, все още може да съдържат софтуера.

Следните практики за сигурност могат да помогнат за намаляване на излагането на подобни измами:

  • Преглеждайте редовно инсталираните приложения и премахвайте всеки софтуер, свързан с подозрителни твърдения или неизвестни разработчици.
  • Изтегляйте приложения само от надеждни източници, като например Google Play Store или проверени уебсайтове на разработчици, като същевременно оценявайте критично отзивите, които изглеждат прекалено неясни или еднообразно положителни.
  • Третирайте всяко приложение, което твърди, че има достъп до личните комуникации, историята на местоположенията или записите на обажданията на друго лице, като измамно по подразбиране.
  • Поддържайте актуални мобилни операционни системи и използвайте реномирани решения за мобилна сигурност, за да подобрите защитата срещу нововъзникващи заплахи.

Ясно напомняне за мобилните измами

Кампанията CallPhantom служи като мощно напомняне, че измамните приложения не винаги разчитат на зловреден софтуер или усъвършенствани експлойти, за да успеят. В много случаи само психологическата манипулация е достатъчна, за да генерира милиони изтегляния и значителни финансови загуби. Всяко приложение, обещаващо неоторизиран достъп до личните данни на друго лице, трябва незабавно да се счита за незаконно и потенциално опасно.

Тенденция

Актуализация на сигурността за разпознаване на...

Фишинг, Спам
Неочакваните имейли, които изискват спешни действия, винаги трябва да се третират с повишено внимание, особено когато включват предупреждения за сигурността на акаунта или искания за проверка на лична информация. Киберпрестъпниците често маскират фишинг съобщенията като официални известия, за да манипулират получателите и да ги накарат да разкрият чувствителни данни. Имейлите „Актуализация на...

Aztcsearch.com

Измамни уебсайтове, Похитители на браузъри, Потенциално нежелани програми
Защитата на устройствата от натрапчиви и ненадеждни PUP (потенциално нежелани програми) става все по-важна, тъй като киберзаплахите продължават да се развиват. Приложенията, класифицирани като PUP,...

Най-гледан

Зареждане...