הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית לנייד הונאת CallPhantom לאנדרואיד

הונאת CallPhantom לאנדרואיד

עד Mezo ב-תוכנה זדונית לנייד
לתרגם ל:

קמפיין CallPhantom חשף כיצד פושעי סייבר יכולים לנצל את סקרנות הציבור ומידע שגוי כדי לייצר רווחים עצומים באמצעות אפליקציות אנדרואיד הונאה. קבוצת 28 אפליקציות זדוניות, שהופצו דרך חנות Google Play הרשמית, טענה באופן שקרי כי הן מאחזרות יומני שיחות, רישומי SMS ופעילות וואטסאפ המקושרים לכל מספר טלפון. לפני שגוגל הסירה את האפליקציות, הקמפיין כבר צבר יותר מ-7.3 מיליון הורדות.

טענות בלתי אפשריות במסווה של שירותים לגיטימיים

כל אפליקציה באשכול CallPhantom קידמה את אותה פונקציונליות מטעה. המשתמשים התבקשו להזין מספר טלפון, ולאחר מכן האפליקציות כביכול יצרו היסטוריית תקשורת מלאה, כולל רישומי שיחות, הודעות טקסט ושיחות וואטסאפ.

מנקודת מבט טכנית, טענות אלו היו בלתי אפשריות לחלוטין. ארכיטקטורת האבטחה וההרשאות של אנדרואיד מונעת מאפליקציות גישה לנתוני התקשורת הפרטיים של משתמשים אחרים. במקום לאחזר מידע אמיתי, האפליקציות הציגו תוצאות מפוברקות שנוצרו ממספרי טלפון מקודדים, שמות מוגדרים מראש וחותמות זמן שהוקצו באופן אקראי, המוטמעות ישירות בקוד האפליקציה.

החוקרים זיהו שני מודלים מבצעיים עיקריים ששימשו לאורך כל הקמפיין:

  • קבוצה אחת של אפליקציות הציגה מיד תוצאות מזויפות מוגבלות ולאחר מכן דרשה תשלום כדי לפתוח את "ההיסטוריה המלאה" לכאורה.
  • קבוצה אחרת אספה כתובות דוא"ל של משתמשים, הבטיחה לספק רשומות מפורטות באמצעות דוא"ל, ודרשה תשלום לפני שנשלחו לכאורה תוצאות כלשהן.

בשני המקרים, הקורבנות שילמו עבור מידע שמעולם לא היה קיים.

מערכות תשלום מניפולטיביות שנועדו למנוע החזרים כספיים

המפעילים שמאחורי CallPhantom השתמשו במספר מנגנוני תשלום כדי למקסם את ההכנסות תוך הפחתת הסבירות להחזרים כספיים מוצלחים. חלק מהעסקאות עובדו דרך תשתית החיוב הרשמית של Google Play, מה שאפשר הזדמנויות מוגבלות למשתמשים לערער על חיובים. עם זאת, אפליקציות רבות עקפו לחלוטין את החיוב של Google Play על ידי הפניית הקורבנות לאפליקציות תשלום UPI של צד שלישי או טפסי תשלום בכרטיס אשראי מוטמעים.

טקטיקות אלו הפרו את מדיניות גוגל וסיבכו משמעותית את תהליך ההחזר עבור המשתמשים שנפגעו. גרסאות מסוימות הגבירו את הגמישות התפעולית על ידי אחזור דינמי של כתובות URL לתשלום משרתי Firebase. זה אפשר לתוקפים לסובב חשבונות תשלום כרצונם והקשה בהרבה על הזיהוי האוטומטי על ידי מערכות אבטחה.

גרסה אחת מטעה במיוחד שילבה מניפולציה פסיכולוגית בעיצובה. אם משתמש ניסה לסגור את האפליקציה מבלי להשלים תשלום, הופיעו התראות מזויפות בסגנון הודעה שטענו שתוצאות היסטוריית השיחות המבוקשות הגיעו זה עתה לתיבת הדואר הנכנס. המטרה היחידה של התראות אלו הייתה ללחוץ על המשתמשים לחזור ולבצע את התשלום.

מיקוד אזורי וסיכונים פיננסיים

הקמפיין כיוון בעיקר למשתמשים בהודו וברחבי אזור אסיה-פסיפיק. אפליקציות רבות בחרו אוטומטית בקידומת המדינה +91 של הודו כדי לחזק את אשליית הלגיטימיות עבור משתמשים מקומיים. תוכניות המנוי נעו בין 5 אירו ל-80 דולר אמריקאי בקירוב ושווקו באמצעות אפשרויות תשלום שבועיות, חודשיות ושנתיות.

מעבר להפסד הכספי המיידי, קורבנות שהזינו פרטי כרטיסי תשלום באמצעות טפסי תשלום לא רשמיים בתוך האפליקציה עלולים להתמודד עם סיכונים נוספים, כולל חיובים לא מורשים או שימוש לרעה בנתוני תשלום.

כיצד CallPhantom ניצל אמון ללא הרשאות מסוכנות

אחד ההיבטים הבולטים ביותר של מבצע CallPhantom היה יכולתו לגרום נזק כלכלי משמעותי מבלי לבקש הרשאות רגישות לאנדרואיד. כל ההונאה התבססה על הנדסה חברתית ולא על ניצול טכני. משתמשים שוכנעו להאמין לטענות בלתי אפשריות, לשלם עבור מידע מפוברק, ולמסור כסף מבלי דעת דרך ערוצי תשלום שלא מוגנים כראוי.

למרות שקמפיינים כמו CallPhantom הם יחסית נדירים, רוב פעולות פושעי הסייבר מסתמכות במידה רבה על פחד, דחיפות או הטעיה כדי לתמרן משתמשים להוריד תוכנה, לבצע רכישות או לחשוף מידע רגיש.

שלטי אזהרה ואמצעי הגנה

כל אפליקציות CallPhantom שזוהו הופצו דרך חנות Google Play הרשמית תוך שימוש בשמות מטעים, תיאורים מפוברקים ודירוגים מנופחים באופן מלאכותי כדי להיראות אמינים. למרות שגוגל הסירה את האפליקציות, מכשירים שהתקינו אותן לפני ההסרה עדיין עשויים להכיל את התוכנה.

נהלי האבטחה הבאים יכולים לסייע בהפחתת החשיפה להונאות דומות:

  • בדקו באופן קבוע יישומים מותקנים והסירו כל תוכנה הקשורה לטענות חשודות או למפתחים לא ידועים.
  • הורידו אפליקציות רק ממקורות מהימנים כמו חנות Google Play או אתרי מפתחים מאומתים, תוך הערכה ביקורתית של ביקורות שנראות מעורפלות יתר על המידה או חיוביות באופן אחיד.
  • התייחסו לכל אפליקציה הטוענת לגישה לתקשורת הפרטית של אדם אחר, להיסטוריית המיקומים או לרישומי השיחות שלו כאל הונאה כברירת מחדל.
  • שמרו על מערכות הפעלה ניידות מעודכנות והשתמשו בפתרונות אבטחה ניידים בעלי מוניטין כדי לשפר את ההגנה מפני איומים מתעוררים.

    • תזכורת ברורה לגבי הונאות בנייד

    קמפיין CallPhantom משמש כתזכורת רבת עוצמה לכך שאפליקציות הונאה לא תמיד מסתמכות על תוכנות זדוניות או ניצול מתקדם כדי להצליח. במקרים רבים, מניפולציה פסיכולוגית לבדה מספיקה כדי לייצר מיליוני הורדות והפסדים כספיים משמעותיים. כל אפליקציה המבטיחה גישה בלתי מורשית לנתונים הפרטיים של אדם אחר צריכה להיחשב מיד כבלתי לגיטימית ועלולה להיות מסוכנת.

    מגמות

    עדכון אבטחה לזיהוי הונאות דוא"ל של מכשירים ומיקומים...

    פישינג, ספאם
    יש להתייחס בזהירות לאימיילים בלתי צפויים הדורשים פעולה דחופה, במיוחד כאשר הם כוללים אזהרות אבטחה של החשבון או בקשות לאימות מידע אישי. פושעי סייבר מסווים לעתים קרובות הודעות פישינג כהודעות רשמיות כדי לתמרן את הנמענים לחשוף מידע רגיש. האימיילים "עדכון אבטחה לזיהוי מכשירים ומיקומים מהימנים" הם חלק מקמפיין הונאה כזה ואינם קשורים לחברות, ארגונים או ספקי שירותי דוא"ל לגיטימיים. הודעת אבטחה הונאה...

    הכי נצפה

    טוען...