CallPhantom Android krāpniecība
Kampaņa “CallPhantom” atklāja, kā kibernoziedznieki var izmantot sabiedrības ziņkāri un dezinformāciju, lai gūtu milzīgu peļņu, izmantojot krāpnieciskas Android lietotnes. Šī 28 ļaunprātīgo lietotņu grupa, kas tika izplatīta oficiālajā Google Play veikalā, maldinoši apgalvoja, ka tā spēj atgūt zvanu žurnālus, īsziņu ierakstus un WhatsApp aktivitātes, kas saistītas ar jebkuru tālruņa numuru. Pirms Google noņēma lietotnes, kampaņa jau bija savākusi vairāk nekā 7,3 miljonus lejupielāžu.
Satura rādītājs
Neiespējami prasījumi, kas maskēti kā likumīgi pakalpojumi
Katra CallPhantom klastera lietotne reklamēja vienu un to pašu maldinošo funkcionalitāti. Lietotājiem tika lūgts ievadīt tālruņa numuru, pēc kā lietotnes it kā ģenerēja pilnīgu saziņas vēsturi, tostarp zvanu ierakstus, īsziņas un WhatsApp sarunas.
No tehniskā viedokļa šie apgalvojumi bija pilnīgi neiespējami. Android drošības un atļauju arhitektūra neļauj lietotnēm piekļūt citu lietotāju privātajiem saziņas datiem. Lietotnes nevis ieguva reālu informāciju, bet gan attēloja safabricētus rezultātus, kas ģenerēti no cietkodā ierakstītiem tālruņu numuriem, iepriekš definētiem vārdiem un nejauši piešķirtiem laika zīmogiem, kas bija tieši iegulti lietojumprogrammas kodā.
Pētnieki identificēja divus galvenos darbības modeļus, kas tika izmantoti visā kampaņā:
- Viena lietotņu grupa nekavējoties parādīja ierobežotus viltotus rezultātus un pēc tam pieprasīja samaksu, lai atbloķētu it kā “pilnu vēsturi”.
- Cita grupa apkopoja lietotāju e-pasta adreses, solīja pa e-pastu piegādāt detalizētus ierakstus un pieprasīja samaksu, pirms jebkādi rezultāti it kā tika nosūtīti.
Abos gadījumos upuri maksāja par datiem, kuru nekad nebija.
Manipulējošas maksājumu sistēmas, kas paredzētas, lai izvairītos no atmaksas
CallPhantom operatori izmantoja vairākus maksājumu mehānismus, lai palielinātu ieņēmumus, vienlaikus samazinot veiksmīgas atmaksas iespējamību. Daži darījumi tika apstrādāti, izmantojot oficiālo Google Play norēķinu infrastruktūru, tādējādi lietotājiem ierobežojot iespējas apstrīdēt maksājumus. Tomēr daudzas lietotnes pilnībā apiet Google Play norēķinus, novirzot upurus uz trešo pušu UPI maksājumu lietojumprogrammām vai iegultām karšu maksājumu veidlapām.
Šī taktika pārkāpa Google politikas un ievērojami sarežģīja atmaksas procesu skartajiem lietotājiem. Daži varianti palielināja darbības elastību, dinamiski izgūstot maksājumu URL no Firebase serveriem. Tas ļāva uzbrucējiem pēc vēlēšanās mainīt maksājumu kontus un ievērojami apgrūtināja drošības sistēmu veikto automātisko noteikšanu.
Viens īpaši maldinošs variants savā dizainā ietvēra psiholoģisku manipulāciju. Ja lietotājs mēģināja aizvērt lietotni, nepabeidzot maksājumu, parādījās viltus paziņojumu stila brīdinājumi, apgalvojot, ka pieprasītie zvanu vēstures rezultāti tikko ir pienākuši iesūtnē. Šo brīdinājumu vienīgais mērķis bija piespiest lietotājus atgriezt un pabeigt maksājumu.
Reģionālā mērķauditorijas atlase un finanšu riski
Kampaņa galvenokārt bija vērsta uz lietotājiem Indijā un visā Āzijas un Klusā okeāna reģionā. Daudzas lietojumprogrammas automātiski izvēlējās Indijas valsts kodu +91, lai vietējiem lietotājiem pastiprinātu leģitimitātes ilūziju. Abonēšanas plāni svārstījās no aptuveni 5 eiro līdz 80 ASV dolāriem un tika reklamēti, izmantojot iknedēļas, ikmēneša un gada maksājumu iespējas.
Papildus tiešajiem finansiālajiem zaudējumiem cietušie, kuri ievadīja maksājumu kartes informāciju, izmantojot neoficiālas lietotnes norēķinu veidlapas, var saskarties ar papildu riskiem, tostarp neatļautām maksām vai maksājumu datu ļaunprātīgu izmantošanu.
Kā CallPhantom izmantoja uzticību bez bīstamām atļaujām
Viens no ievērojamākajiem CallPhantom operācijas aspektiem bija tās spēja nodarīt ievērojamu finansiālu kaitējumu, nepieprasot sensitīvas Android atļaujas. Visa krāpšana balstījās uz sociālo inženieriju, nevis tehnisku izmantošanu. Lietotāji tika pārliecināti noticēt neiespējamiem apgalvojumiem, maksāt par safabricētu informāciju un neapzināti ziedot naudu, izmantojot slikti aizsargātus maksājumu kanālus.
Lai gan tādas kampaņas kā CallPhantom ir samērā reti sastopamas, lielākā daļa kibernoziedznieku operāciju lielā mērā balstās uz bailēm, steidzamību vai maldināšanu, lai manipulētu ar lietotājiem, lai tie lejupielādētu programmatūru, veiktu pirkumus vai atklātu sensitīvu informāciju.
Brīdinājuma zīmes un aizsardzības pasākumi
Visas identificētās CallPhantom lietotnes tika izplatītas oficiālajā Google Play veikalā, izmantojot maldinošus nosaukumus, safabricētus aprakstus un mākslīgi paaugstinātus vērtējumus, lai radītu iespaidu par uzticamību. Lai gan Google ir noņēmis lietotnes, ierīcēs, kurās tās tika instalētas pirms noņemšanas, programmatūra joprojām var būt.
Šādi drošības pasākumi var palīdzēt samazināt līdzīgu krāpniecības shēmu risku:
- Regulāri pārskatiet instalētās lietojumprogrammas un noņemiet visu programmatūru, kas saistīta ar aizdomīgiem apgalvojumiem vai nezināmiem izstrādātājiem.
- Lejupielādējiet lietotnes tikai no uzticamiem avotiem, piemēram, Google Play veikala vai pārbaudītām izstrādātāju vietnēm, vienlaikus kritiski izvērtējot atsauksmes, kas šķiet pārāk neskaidras vai viennozīmīgi pozitīvas.
- Pēc noklusējuma jebkuru lietojumprogrammu, kas apgalvo, ka tai ir piekļuve citas personas privātajai saziņai, atrašanās vietas vēsturei vai zvanu ierakstiem, uzskatīt par krāpniecisku.
- Uzturēt atjauninātas mobilās operētājsistēmas un izmantot uzticamus mobilo ierīču drošības risinājumus, lai uzlabotu aizsardzību pret jauniem draudiem.
Skaidrs atgādinājums par krāpšanu mobilajās ierīcēs
CallPhantom kampaņa kalpo kā spēcīgs atgādinājums, ka krāpnieciskas lietojumprogrammas ne vienmēr paļaujas uz ļaunprogrammatūru vai uzlabotiem ievainojamības veidiem, lai gūtu panākumus. Daudzos gadījumos psiholoģiska manipulācija vien ir pietiekama, lai radītu miljoniem lejupielāžu un ievērojamus finansiālus zaudējumus. Jebkura lietojumprogramma, kas sola neatļautu piekļuvi citas personas privātajiem datiem, nekavējoties jāuzskata par nelikumīgu un potenciāli bīstamu.
