„CallPhantom“ „Android“ sukčiavimas
„CallPhantom“ kampanija atskleidė, kaip kibernetiniai nusikaltėliai gali pasinaudoti visuomenės smalsumu ir dezinformacija, kad gautų didžiulį pelną naudodami apgaulingas „Android“ programas. Ši 28 kenkėjiškų programų grupė, platinama per oficialią „Google Play“ parduotuvę, melagingai teigė, kad gali gauti skambučių žurnalus, SMS įrašus ir „WhatsApp“ veiklą, susietą su bet kuriuo telefono numeriu. Prieš „Google“ pašalinant programas, kampanija jau buvo sukaupusi daugiau nei 7,3 mln. atsisiuntimų.
Turinys
Neįmanomi ieškiniai, užmaskuoti kaip teisėtos paslaugos
Kiekviena „CallPhantom“ klasterio programa reklamavo tą pačią apgaulingą funkciją. Vartotojams buvo nurodyta įvesti telefono numerį, po kurio programos tariamai sugeneruodavo visą bendravimo istoriją, įskaitant skambučių įrašus, tekstinius pranešimus ir „WhatsApp“ pokalbius.
Techniniu požiūriu šie teiginiai buvo visiškai neįmanomi. „Android“ saugumo ir leidimų architektūra neleidžia programoms pasiekti kitų vartotojų privačių bendravimo duomenų. Užuot rinkusios tikrą informaciją, programos rodė suklastotus rezultatus, sugeneruotus iš užkoduotų telefono numerių, iš anksto nustatytų vardų ir atsitiktinai priskirtų laiko žymų, įterptų tiesiai į programos kodą.
Tyrėjai nustatė du pagrindinius kampanijos metu naudotus veiklos modelius:
- Viena programėlių grupė iš karto parodė ribotus netikrus rezultatus ir tada pareikalavo sumokėti, kad būtų galima atrakinti tariamą „visą istoriją“.
- Kita grupė rinko vartotojų el. pašto adresus, pažadėjo el. paštu pateikti išsamius įrašus ir reikalavo sumokėti prieš siunčiant bet kokius rezultatus.
Abiem atvejais aukos sumokėjo už duomenis, kurie niekada neegzistavo.
Manipuliuojančios mokėjimo sistemos, sukurtos siekiant išvengti grąžinamųjų išmokų
„CallPhantom“ operatoriai naudojo kelis mokėjimo mechanizmus, siekdami maksimaliai padidinti pajamas ir sumažinti sėkmingo pinigų grąžinimo tikimybę. Kai kurie sandoriai buvo apdorojami per oficialią „Google Play“ atsiskaitymo infrastruktūrą, todėl vartotojams buvo ribotos galimybės ginčyti mokesčius. Tačiau daugelis programėlių visiškai apeina „Google Play“ atsiskaitymą, nukreipdamos aukas į trečiųjų šalių UPI mokėjimo programas arba įterptąsias kortelių mokėjimo formas.
Ši taktika pažeidė „Google“ politiką ir gerokai apsunkino pinigų grąžinimo procesą nukentėjusiems vartotojams. Tam tikri variantai padidino veiklos lankstumą dinamiškai nuskaitydami mokėjimo URL iš „Firebase“ serverių. Tai leido užpuolikams savo nuožiūra keisti mokėjimo sąskaitas ir gerokai apsunkino automatinį aptikimą saugumo sistemoms.
Vienas ypač apgaulingas variantas į savo dizainą įtraukė psichologinę manipuliaciją. Jei vartotojas bandė uždaryti programėlę neatlikęs mokėjimo, pasirodydavo netikri pranešimai, kuriuose teigiama, kad prašomi skambučių istorijos rezultatai ką tik atkeliavo į gautuosius. Vienintelis šių pranešimų tikslas buvo daryti spaudimą vartotojams grąžinti ir užbaigti mokėjimą.
Regioninis taikymas ir finansinė rizika
Kampanija pirmiausia buvo skirta vartotojams Indijoje ir visame Azijos ir Ramiojo vandenyno regione. Daugelis programų automatiškai pasirinko Indijos šalies kodą +91, kad sustiprintų teisėtumo iliuziją vietiniams vartotojams. Prenumeratos planai svyravo nuo maždaug 5 eurų iki 80 JAV dolerių ir buvo parduodami per savaitinius, mėnesinius ir metinius mokėjimo būdus.
Be tiesioginių finansinių nuostolių, aukos, kurios mokėjimo kortelės informaciją įvedė per neoficialias programėlės atsiskaitymo formas, gali susidurti su papildoma rizika, įskaitant neautorizuotus mokėjimus ar mokėjimo duomenų netinkamą naudojimą.
Kaip „CallPhantom“ išnaudojo pasitikėjimą neturėdama pavojingų leidimų
Vienas ryškiausių „CallPhantom“ operacijos aspektų buvo jos gebėjimas padaryti didelę finansinę žalą neprašant jautrių „Android“ leidimų. Visas sukčiavimas buvo paremtas socialine inžinerija, o ne techniniu išnaudojimu. Vartotojai buvo įtikinami patikėti neįmanomais teiginiais, mokėti už sufabrikuotą informaciją ir netyčia atiduoti pinigus per prastai apsaugotus mokėjimo kanalus.
Nors tokios kampanijos kaip „CallPhantom“ yra gana neįprastos, dauguma kibernetinių nusikaltimų operacijų labai priklauso nuo baimės, skubos ar apgaulės, siekiant manipuliuoti vartotojais, kad jie atsisiųstų programinę įrangą, pirktų ar atskleistų neskelbtiną informaciją.
Įspėjamieji ženklai ir apsaugos priemonės
Visos nustatytos „CallPhantom“ programos buvo platinamos per oficialią „Google Play“ parduotuvę naudojant klaidinančius pavadinimus, sufabrikuotus aprašymus ir dirbtinai padidintus įvertinimus, kad atrodytų patikimos. Nors „Google“ pašalino programas, įrenginiuose, kuriuose jos buvo įdiegtos prieš pašalinimą, vis tiek gali būti ši programinė įranga.
Šios saugumo praktikos gali padėti sumažinti panašių sukčiavimo atvejų skaičių:
- Reguliariai peržiūrėkite įdiegtas programas ir pašalinkite bet kokią programinę įrangą, susijusią su įtartinais teiginiais arba nežinomais kūrėjais.
- Programas siųskite tik iš patikimų šaltinių, tokių kaip „Google Play“ parduotuvė arba patikrintos kūrėjų svetainės, ir kritiškai vertinkite atsiliepimus, kurie atrodo pernelyg neaiškūs arba vien teigiami.
- Bet kokią programą, teigiančią, kad ji turi prieigą prie kito asmens privačių pranešimų, vietos istorijos ar skambučių įrašų, pagal numatytuosius nustatymus laikyti sukčiavimu.
Aiškus priminimas apie sukčiavimą mobiliaisiais telefonais
„CallPhantom“ kampanija yra rimtas priminimas, kad nesąžiningos programos ne visada sėkmingai veikia naudodamos kenkėjiškas programas ar pažangius pažeidžiamumo išnaudojimo būdus. Daugeliu atvejų vien psichologinės manipuliacijos pakanka, kad būtų sugeneruoti milijonai atsisiuntimų ir patirta didelių finansinių nuostolių. Bet kokia programa, žadanti neteisėtą prieigą prie kito asmens privačių duomenų, turėtų būti nedelsiant laikoma neteisėta ir potencialiai pavojinga.
