Oszustwo CallPhantom na Androida
Kampania CallPhantom ujawniła, jak cyberprzestępcy wykorzystują ciekawość opinii publicznej i dezinformację, aby generować ogromne zyski za pomocą fałszywych aplikacji na Androida. Dystrybuowana za pośrednictwem oficjalnego sklepu Google Play, ta grupa 28 złośliwych aplikacji fałszywie twierdziła, że pobiera rejestry połączeń, zapisy SMS-ów i aktywność WhatsApp powiązaną z dowolnym numerem telefonu. Zanim Google usunęło aplikacje, kampania zgromadziła już ponad 7,3 miliona pobrań.
Spis treści
Niemożliwe roszczenia podszywające się pod legalne usługi
Każda aplikacja w klastrze CallPhantom promowała tę samą, zwodniczą funkcjonalność. Użytkownicy byli instruowani, aby wprowadzić numer telefonu, po czym aplikacje rzekomo generowały pełną historię komunikacji, w tym rejestry połączeń, wiadomości tekstowe i konwersacje WhatsApp.
Z technicznego punktu widzenia te twierdzenia były całkowicie niemożliwe do spełnienia. Architektura zabezpieczeń i uprawnień Androida uniemożliwia aplikacjom dostęp do prywatnych danych komunikacyjnych innego użytkownika. Zamiast pobierać prawdziwe informacje, aplikacje wyświetlały sfabrykowane wyniki wygenerowane na podstawie zakodowanych na stałe numerów telefonów, predefiniowanych nazw i losowo przypisanych znaczników czasu osadzonych bezpośrednio w kodzie aplikacji.
Badacze zidentyfikowali dwa główne modele operacyjne stosowane w całej kampanii:
- Jedna grupa aplikacji natychmiast wyświetliła ograniczoną liczbę fałszywych wyników, a następnie zażądała zapłaty za odblokowanie rzekomej „pełnej historii”.
- Inna grupa zbierała adresy e-mail użytkowników, obiecywała dostarczenie szczegółowych danych pocztą elektroniczną i żądała zapłaty przed wysłaniem jakichkolwiek wyników.
W obu przypadkach ofiary zapłaciły za dane, które nigdy nie istniały.
Manipulacyjne systemy płatności zaprojektowane tak, aby unikać zwrotów
Operatorzy CallPhantom stosowali kilka mechanizmów płatności, aby zmaksymalizować przychody, jednocześnie zmniejszając prawdopodobieństwo pomyślnego zwrotu pieniędzy. Niektóre transakcje były przetwarzane za pośrednictwem oficjalnej infrastruktury rozliczeniowej Google Play, co ograniczało możliwości kwestionowania opłat przez użytkowników. Jednak wiele aplikacji całkowicie omijało rozliczenia Google Play, przekierowując ofiary do zewnętrznych aplikacji płatniczych UPI lub wbudowanych formularzy płatności kartą.
Te taktyki naruszały zasady Google i znacznie komplikowały proces zwrotu środków poszkodowanym użytkownikom. Niektóre warianty zwiększały elastyczność operacyjną poprzez dynamiczne pobieranie adresów URL płatności z serwerów Firebase. Umożliwiło to atakującym rotację kont płatniczych w dowolnym momencie i znacznie utrudniło automatyczne wykrywanie przez systemy bezpieczeństwa.
Jedna ze szczególnie zwodniczych wersji zawierała w sobie manipulację psychologiczną. Gdy użytkownik próbował zamknąć aplikację bez dokonania płatności, pojawiały się fałszywe alerty w stylu powiadomień, twierdzące, że żądane wyniki z historii połączeń właśnie dotarły do skrzynki odbiorczej. Jedynym celem tych alertów było wywarcie presji na użytkowników, aby wrócili i sfinalizowali płatność.
Celowanie regionalne i ryzyko finansowe
Kampania była skierowana głównie do użytkowników w Indiach i regionie Azji i Pacyfiku. Wiele aplikacji automatycznie wybierało indyjski kod kraju +91, aby wzmocnić iluzję legalności wśród lokalnych użytkowników. Plany subskrypcji wahały się od około 5 do 80 USD i były oferowane z tygodniowymi, miesięcznymi i rocznymi opcjami płatności.
Oprócz bezpośrednich strat finansowych, ofiary, które wprowadziły dane karty płatniczej za pośrednictwem nieoficjalnych formularzy płatności w aplikacji, mogą być narażone na dodatkowe ryzyka, w tym nieautoryzowane opłaty lub niewłaściwe wykorzystanie danych płatniczych.
Jak CallPhantom wykorzystał zaufanie bez niebezpiecznych uprawnień
Jednym z najbardziej znaczących aspektów operacji CallPhantom była jej zdolność do wyrządzenia znacznych szkód finansowych bez konieczności żądania wrażliwych uprawnień Androida. Całe oszustwo opierało się na socjotechnice, a nie na wykorzystaniu technologii. Użytkownicy byli przekonywani do wiary w niemożliwe do spełnienia twierdzenia, płacenia za sfabrykowane informacje i nieświadomego przekazywania pieniędzy za pośrednictwem słabo zabezpieczonych kanałów płatności.
Choć kampanie takie jak CallPhantom zdarzają się stosunkowo rzadko, większość działań cyberprzestępców opiera się w dużej mierze na strachu, poczuciu pilności lub oszustwie, aby zmusić użytkowników do pobrania oprogramowania, dokonania zakupów lub ujawnienia poufnych informacji.
Znaki ostrzegawcze i środki ochronne
Wszystkie zidentyfikowane aplikacje CallPhantom były dystrybuowane za pośrednictwem oficjalnego sklepu Google Play, wykorzystując mylące nazwy, sfabrykowane opisy i sztucznie zawyżone oceny, aby sprawiać wrażenie wiarygodnych. Mimo że Google usunęło te aplikacje, urządzenia, na których zostały zainstalowane przed usunięciem, mogą nadal zawierać to oprogramowanie.
Poniższe praktyki bezpieczeństwa mogą pomóc zmniejszyć ryzyko wystąpienia podobnych oszustw:
- Regularnie sprawdzaj zainstalowane aplikacje i usuwaj wszelkie oprogramowanie powiązane z podejrzanymi aplikacjami lub pochodzące od nieznanych twórców.
- Pobieraj aplikacje tylko z zaufanych źródeł, takich jak Google Play Store lub sprawdzone witryny programistów, jednocześnie krytycznie oceniając recenzje, które wydają się nadmiernie ogólnikowe lub jednolicie pozytywne.
- Każdą aplikację, która twierdzi, że ma dostęp do prywatnej komunikacji innej osoby, historii lokalizacji lub rejestru połączeń, traktuj domyślnie jako oszukańczą.
- Dbaj o aktualność systemów operacyjnych urządzeń mobilnych i korzystaj z renomowanych rozwiązań zabezpieczających urządzenia mobilne, aby zwiększyć ochronę przed nowymi zagrożeniami.
Wyraźne przypomnienie o oszustwach mobilnych
Kampania CallPhantom stanowi dobitne przypomnienie, że oszukańcze aplikacje nie zawsze opierają się na złośliwym oprogramowaniu lub zaawansowanych exploitach, aby odnieść sukces. W wielu przypadkach sama manipulacja psychologiczna wystarczy, aby wygenerować miliony pobrań i znaczne straty finansowe. Każda aplikacja obiecująca nieautoryzowany dostęp do prywatnych danych innej osoby powinna być natychmiast uznana za nielegalną i potencjalnie niebezpieczną.
