CallPhantom Androidi pettus
CallPhantom kampaania paljastas, kuidas küberkurjategijad saavad avalikkuse uudishimu ja väärinfot ära kasutada, et petturlike Androidi rakenduste kaudu tohutut kasumit teenida. See 28 pahatahtlikust rakendusest koosnev kogum, mida levitati ametliku Google Play poe kaudu, väitis valesti, et suudab hankida mis tahes telefoninumbriga seotud kõnelogisid, SMS-andmeid ja WhatsAppi tegevust. Enne Google'i rakenduste eemaldamist oli kampaania kogunud juba üle 7,3 miljoni allalaadimise.
Sisukord
Võimatud nõuded, mis on maskeeritud seaduslikeks teenusteks
Kõik CallPhantom klastri rakendused reklaamisid sama petlikku funktsionaalsust. Kasutajatel paluti sisestada telefoninumber, misjärel rakendused genereerisid väidetavalt täieliku suhtlusajaloo, sealhulgas kõnelogid, tekstsõnumid ja WhatsAppi vestlused.
Tehnilisest vaatenurgast olid need väited täiesti võimatud. Androidi turvalisuse ja lubade arhitektuur takistab rakendustel juurdepääsu teiste kasutajate privaatsetele suhtlusandmetele. Tegeliku teabe hankimise asemel näitasid rakendused väljamõeldud tulemusi, mis olid genereeritud otse rakenduskoodi manustatud kõvakodeeritud telefoninumbrite, eelnevalt määratletud nimede ja juhuslikult määratud ajatemplite põhjal.
Teadlased tuvastasid kaks peamist operatiivmudelit, mida kogu kampaania vältel kasutati:
- Üks rakenduste rühm kuvas kohe piiratud hulgal võltsitud tulemusi ja nõudis seejärel väidetava „täieliku ajaloo” avamise eest tasu.
- Teine grupp kogus kasutajate e-posti aadresse, lubas saata e-posti teel üksikasjalikke andmeid ja nõudis enne tulemuste väidetavat saatmist makset.
Mõlemal juhul maksid ohvrid andmete eest, mida kunagi polnud olemas.
Manipuleerivad maksesüsteemid, mis on loodud tagasimaksete vältimiseks
CallPhantomi operaatorid kasutasid tulu maksimeerimiseks ja edukate tagasimaksete tõenäosuse vähendamiseks mitmeid maksemehhanisme. Mõned tehingud töödeldi ametliku Google Play arveldusinfrastruktuuri kaudu, mis piiras kasutajate võimalusi tasude vaidlustamiseks. Paljud rakendused möödusid aga Google Play arveldusest täielikult, suunates ohvrid kolmandate osapoolte UPI makserakendustesse või manustatud kaardimaksevormidesse.
Need taktikad rikkusid Google'i eeskirju ja muutsid mõjutatud kasutajate jaoks tagasimakseprotsessi märkimisväärselt keerulisemaks. Teatud variandid suurendasid tegevuse paindlikkust, hankides dünaamiliselt makse-URL-e Firebase'i serveritest. See võimaldas ründajatel maksekontosid oma äranägemise järgi vahetada ja muutis turvasüsteemide poolt automaatse tuvastamise palju raskemaks.
Üks eriti petlik variant hõlmas psühholoogilist manipuleerimist. Kui kasutaja üritas rakendust sulgeda ilma makset sooritamata, ilmusid võltsitud teavituslaadsed hoiatused, mis väitsid, et soovitud kõneajaloo tulemused olid just postkasti saabunud. Nende hoiatuste ainus eesmärk oli survestada kasutajaid makse tagastama ja lõpule viima.
Regionaalne sihtimine ja finantsriskid
Kampaania sihtis peamiselt kasutajaid Indias ja kogu Aasia ja Vaikse ookeani piirkonnas. Paljud rakendused valisid automaatselt India +91 maakoodi, et tugevdada kohalike kasutajate jaoks legitiimsuse illusiooni. Tellimuspaketid jäid vahemikku umbes 5 eurot kuni 80 USA dollarit ja neid turustati iganädalaste, igakuiste ja iga-aastaste maksevõimaluste kaudu.
Lisaks otsesele rahalisele kahjule võivad ohvrid, kes sisestasid maksekaardi andmed mitteametlike rakendusesiseste kassavormide kaudu, silmitsi seista täiendavate riskidega, sealhulgas volitamata tasude või makseandmete väärkasutamisega.
Kuidas CallPhantom usaldust ohtlike lubadeta ära kasutas
Üks CallPhantomi operatsiooni tähelepanuväärsemaid aspekte oli selle võime tekitada märkimisväärset rahalist kahju ilma tundlikke Androidi lube küsimata. Kogu pettus põhines pigem sotsiaalsel manipuleerimisel kui tehnilisel ärakasutamisel. Kasutajaid veendi uskuma võimatuid väiteid, maksma väljamõeldud teabe eest ja teadmatult raha loovutama halvasti kaitstud maksekanalite kaudu.
Kuigi sellised kampaaniad nagu CallPhantom on suhteliselt haruldased, tugineb enamik küberkuritegevuse operatsioone suuresti hirmule, pakilisusele või pettusele, et manipuleerida kasutajatega tarkvara alla laadima, oste sooritama või tundlikku teavet avaldama.
Hoiatusmärgid ja kaitsemeetmed
Kõik tuvastatud CallPhantom rakendused levitati ametliku Google Play poe kaudu, kasutades eksitavaid nimesid, väljamõeldud kirjeldusi ja kunstlikult paisutatud hinnanguid, et jätta mulje usaldusväärsusest. Kuigi Google on rakendused eemaldanud, võivad seadmed, kuhu need enne eemaldamist installiti, tarkvara siiski sisaldada.
Järgmised turvapraktikad aitavad vähendada kokkupuudet sarnaste pettustega:
- Vaadake installitud rakendused regulaarselt üle ja eemaldage tarkvara, mis on seotud kahtlaste väidete või tundmatute arendajatega.
- Laadige rakendusi alla ainult usaldusväärsetest allikatest, näiteks Google Play poest või kontrollitud arendajate veebisaitidelt, hinnates samal ajal kriitiliselt arvustusi, mis tunduvad liiga ebamäärased või ühtlaselt positiivsed.
- Käsitlege vaikimisi petturlikuna kõiki rakendusi, mis väidavad, et neil on juurdepääs teise inimese privaatsetele sõnumitele, asukohaajaloole või kõneandmetele.
- Hoidke mobiilseid operatsioonisüsteeme ajakohasena ja kasutage usaldusväärseid mobiilseadme turvalahendusi, et parandada kaitset tekkivate ohtude eest.
Selge meeldetuletus mobiilipettuste kohta
CallPhantomi kampaania tuletab meile meelde, et petturlikud rakendused ei tugine edu saavutamiseks alati pahavarale või täiustatud rünnakutele. Paljudel juhtudel piisab ainuüksi psühholoogilisest manipuleerimisest, et genereerida miljoneid allalaadimisi ja märkimisväärset rahalist kahju. Iga rakendust, mis lubab volitamata juurdepääsu teise inimese privaatsetele andmetele, tuleks kohe pidada ebaseaduslikuks ja potentsiaalselt ohtlikuks.
