کلاهبرداری اندروید CallPhantom

کمپین CallPhantom نشان داد که چگونه مجرمان سایبری می‌توانند از کنجکاوی عمومی و اطلاعات نادرست برای کسب سودهای کلان از طریق برنامه‌های جعلی اندروید سوءاستفاده کنند. این مجموعه از ۲۸ برنامه مخرب که از طریق فروشگاه رسمی گوگل پلی توزیع شده بودند، به دروغ ادعا می‌کردند که می‌توانند گزارش‌های تماس، سوابق پیامک و فعالیت واتس‌اپ مرتبط با هر شماره تلفنی را بازیابی کنند. قبل از اینکه گوگل این برنامه‌ها را حذف کند، این کمپین بیش از ۷.۳ میلیون بار دانلود شده بود.

ادعاهای غیرممکن در پوشش خدمات مشروع

هر برنامه در خوشه CallPhantom عملکرد فریبنده مشابهی را ترویج می‌کرد. از کاربران خواسته می‌شد شماره تلفنی را وارد کنند، پس از آن برنامه‌ها ظاهراً تاریخچه کامل ارتباطات، از جمله سوابق تماس، پیام‌های متنی و مکالمات واتس‌اپ را ایجاد می‌کردند.

از دیدگاه فنی، این ادعاها کاملاً غیرممکن بودند. معماری امنیتی و مجوزدهی اندروید مانع از دسترسی برنامه‌ها به داده‌های ارتباطی خصوصی کاربر دیگر می‌شود. برنامه‌ها به جای بازیابی اطلاعات واقعی، نتایج ساختگی تولید شده از شماره تلفن‌های کدگذاری شده، نام‌های از پیش تعریف شده و مهرهای زمانی تصادفی که مستقیماً در کد برنامه تعبیه شده بودند را نمایش می‌دادند.

محققان دو مدل عملیاتی اصلی مورد استفاده در طول این کمپین را شناسایی کردند:

• یک گروه از برنامه‌ها بلافاصله نتایج جعلی محدودی را نمایش می‌دادند و سپس برای باز کردن قفل «تاریخچه کامل» ادعایی، درخواست پرداخت وجه می‌کردند.
• گروه دیگری آدرس‌های ایمیل کاربران را جمع‌آوری کردند، قول دادند که سوابق دقیق را از طریق ایمیل ارسال کنند و قبل از ارسال هرگونه نتیجه‌ای، درخواست پرداخت وجه کردند.

در هر دو مورد، قربانیان برای داده‌هایی که هرگز وجود نداشتند، پول پرداخت کردند.

سیستم‌های پرداخت دستکاری‌شده که برای جلوگیری از بازپرداخت طراحی شده‌اند

گردانندگان CallPhantom از چندین مکانیسم پرداخت برای به حداکثر رساندن درآمد و در عین حال کاهش احتمال بازپرداخت‌های موفقیت‌آمیز استفاده کردند. برخی از تراکنش‌ها از طریق زیرساخت رسمی صدور صورتحساب گوگل پلی پردازش می‌شدند که به کاربران فرصت‌های محدودی برای اعتراض به هزینه‌ها می‌داد. با این حال، بسیاری از برنامه‌ها با هدایت قربانیان به برنامه‌های پرداخت UPI شخص ثالث یا فرم‌های پرداخت کارت تعبیه‌شده، صورتحساب گوگل پلی را به طور کامل دور می‌زدند.

این تاکتیک‌ها سیاست‌های گوگل را نقض می‌کردند و فرآیند بازپرداخت را برای کاربران آسیب‌دیده به‌طور قابل‌توجهی پیچیده می‌کردند. برخی از انواع آن با بازیابی پویای URLهای پرداخت از سرورهای Firebase، انعطاف‌پذیری عملیاتی را افزایش می‌دادند. این امر به مهاجمان اجازه می‌داد تا حساب‌های پرداخت را به دلخواه خود تغییر دهند و تشخیص خودکار توسط سیستم‌های امنیتی را بسیار دشوارتر می‌کرد.

یکی از انواع فریبکارانه، دستکاری روانی را در طراحی خود گنجانده بود. اگر کاربری سعی می‌کرد برنامه را بدون تکمیل پرداخت ببندد، هشدارهای جعلی به سبک اعلان ظاهر می‌شدند که ادعا می‌کردند نتایج درخواستی تاریخچه تماس به تازگی به صندوق ورودی رسیده است. تنها هدف این هشدارها، فشار آوردن به کاربران برای بازگشت و نهایی کردن پرداخت بود.

هدف‌گذاری منطقه‌ای و ریسک‌های مالی

این کمپین در درجه اول کاربران هند و سراسر منطقه آسیا و اقیانوسیه را هدف قرار داد. بسیاری از برنامه‌ها به طور خودکار کد کشور +۹۱ هند را انتخاب می‌کردند تا توهم مشروعیت را برای کاربران محلی تقویت کنند. طرح‌های اشتراک از تقریباً ۵ یورو تا ۸۰ دلار آمریکا متغیر بودند و از طریق گزینه‌های پرداخت هفتگی، ماهانه و سالانه به بازار عرضه می‌شدند.

فراتر از ضرر مالی آنی، قربانیانی که اطلاعات کارت پرداخت را از طریق فرم‌های پرداخت غیررسمی درون‌برنامه‌ای وارد کرده‌اند، ممکن است با خطرات بیشتری از جمله دریافت هزینه‌های غیرمجاز یا سوءاستفاده از داده‌های پرداخت مواجه شوند.

چگونه CallPhantom بدون مجوزهای خطرناک از اعتماد سوءاستفاده کرد

یکی از قابل توجه‌ترین جنبه‌های عملیات CallPhantom، توانایی آن در ایجاد خسارت مالی قابل توجه بدون درخواست مجوزهای حساس اندروید بود. کل این کلاهبرداری به مهندسی اجتماعی متکی بود تا سوءاستفاده فنی. کاربران متقاعد می‌شدند که ادعاهای غیرممکن را باور کنند، برای اطلاعات جعلی پول بپردازند و ناآگاهانه از طریق کانال‌های پرداخت با محافظت ضعیف، پول خود را پرداخت کنند.

اگرچه کمپین‌هایی مانند CallPhantom نسبتاً غیرمعمول هستند، اما اکثر عملیات‌های مجرمان سایبری به شدت بر ترس، فوریت یا فریب متکی هستند تا کاربران را به دانلود نرم‌افزار، خرید یا افشای اطلاعات حساس ترغیب کنند.

علائم هشدار دهنده و اقدامات حفاظتی

تمام برنامه‌های شناسایی‌شده‌ی CallPhantom از طریق فروشگاه رسمی گوگل پلی با استفاده از نام‌های گمراه‌کننده، توضیحات ساختگی و رتبه‌بندی‌های مصنوعی اغراق‌آمیز توزیع شده‌اند تا قابل اعتماد به نظر برسند. اگرچه گوگل این برنامه‌ها را حذف کرده است، اما دستگاه‌هایی که قبل از حذف آنها را نصب کرده‌اند، ممکن است هنوز حاوی این نرم‌افزار باشند.

اقدامات امنیتی زیر می‌تواند به کاهش مواجهه با کلاهبرداری‌های مشابه کمک کند:

• برنامه‌های نصب شده را مرتباً بررسی کنید و هرگونه نرم‌افزار مرتبط با ادعاهای مشکوک یا توسعه‌دهندگان ناشناس را حذف کنید.
• برنامه‌ها را فقط از منابع معتبر مانند فروشگاه گوگل پلی یا وب‌سایت‌های توسعه‌دهندگان تأیید شده دانلود کنید، ضمن اینکه نظراتی را که بیش از حد مبهم یا به‌طور یکنواخت مثبت به نظر می‌رسند، با دقت ارزیابی کنید.
• هر برنامه‌ای که ادعا می‌کند به ارتباطات خصوصی، سابقه موقعیت مکانی یا سوابق تماس شخص دیگری دسترسی دارد را به‌طور پیش‌فرض به‌عنوان یک برنامه جعلی در نظر بگیرید.

یادآوری واضح در مورد کلاهبرداری موبایلی

کمپین CallPhantom به عنوان یادآوری قدرتمندی عمل می‌کند که برنامه‌های جعلی همیشه برای موفقیت به بدافزار یا سوءاستفاده‌های پیشرفته متکی نیستند. در بسیاری از موارد، دستکاری روانی به تنهایی برای ایجاد میلیون‌ها دانلود و ضررهای مالی قابل توجه کافی است. هر برنامه‌ای که وعده دسترسی غیرمجاز به داده‌های خصوصی شخص دیگری را می‌دهد، باید فوراً غیرقانونی و بالقوه خطرناک تلقی شود.