Prevara CallPhantom za Android
Kampanja CallPhantom je razkrila, kako lahko kibernetski kriminalci izkoriščajo javno radovednost in dezinformacije za ustvarjanje ogromnih dobičkov z goljufivimi aplikacijami za Android. Ta skupina 28 zlonamernih aplikacij, ki so bile distribuirane prek uradne trgovine Google Play, je lažno trdila, da pridobivajo dnevnike klicev, zapise SMS-ov in dejavnost WhatsAppa, povezane s katero koli telefonsko številko. Preden je Google odstranil aplikacije, je kampanja že zbrala več kot 7,3 milijona prenosov.
Kazalo
Nemogoče trditve, prikrite kot legitimne storitve
Vsaka aplikacija v gruči CallPhantom je promovirala isto zavajajočo funkcionalnost. Uporabnikom so naročili, naj vnesejo telefonsko številko, nakar naj bi aplikacije ustvarile celotno zgodovino komunikacije, vključno z zapisi klicev, besedilnimi sporočili in pogovori v WhatsAppu.
S tehničnega vidika so bile te trditve popolnoma nemogoče. Androidova arhitektura varnosti in dovoljenj preprečuje aplikacijam dostop do zasebnih komunikacijskih podatkov drugih uporabnikov. Namesto pridobivanja resničnih informacij so aplikacije prikazovale izmišljene rezultate, ustvarjene iz trdo kodiranih telefonskih številk, vnaprej določenih imen in naključno dodeljenih časovnih žigov, vdelanih neposredno v kodo aplikacije.
Raziskovalci so opredelili dva glavna operativna modela, ki sta bila uporabljena v celotni kampanji:
- Ena skupina aplikacij je takoj prikazala omejene lažne rezultate in nato zahtevala plačilo za odklepanje domnevne »popolne zgodovine«.
- Druga skupina je zbirala e-poštne naslove uporabnikov, obljubljala, da bo podrobne zapise dostavila po e-pošti, in zahtevala plačilo, preden naj bi bili rezultati poslani.
V obeh primerih so žrtve plačale za podatke, ki nikoli niso obstajali.
Manipulativni plačilni sistemi, zasnovani za izogibanje vračilu denarja
Operaterji, ki stojijo za CallPhantomom, so uporabili več plačilnih mehanizmov za povečanje prihodkov, hkrati pa zmanjšali verjetnost uspešnih vračil. Nekatere transakcije so bile obdelane prek uradne infrastrukture za obračunavanje Google Play, kar je uporabnikom omogočalo omejene možnosti za izpodbijanje stroškov. Vendar pa so številne aplikacije v celoti zaobšle obračunavanje Google Play, tako da so žrtve preusmerile na plačilne aplikacije UPI tretjih oseb ali vgrajene obrazce za plačilo s karticami.
Te taktike so kršile Googlove pravilnike in znatno zapletle postopek vračila denarja za prizadete uporabnike. Nekatere različice so povečale operativno fleksibilnost z dinamičnim pridobivanjem URL-jev za plačila s strežnikov Firebase. To je napadalcem omogočilo, da so poljubno menjavali plačilne račune, in otežilo samodejno zaznavanje s strani varnostnih sistemov.
Ena posebej zavajajoča različica je v svojo zasnovo vključevala psihološko manipulacijo. Če je uporabnik poskušal zapreti aplikacijo, ne da bi dokončal plačilo, so se prikazala lažna obvestila v obliki obvestil, ki so trdila, da so zahtevani rezultati zgodovine klicev pravkar prispeli v mapo »Prejeto«. Edini namen teh opozoril je bil prisiliti uporabnike, da se vrnejo in dokončajo plačilo.
Regionalno ciljanje in finančna tveganja
Kampanja je bila namenjena predvsem uporabnikom v Indiji in po vsej azijsko-pacifiški regiji. Številne aplikacije so samodejno izbrale indijsko klicno številko +91, da bi okrepile iluzijo legitimnosti za lokalne uporabnike. Naročniški paketi so se gibali od približno 5 € do 80 USD in so se tržili s tedenskimi, mesečnimi in letnimi možnostmi plačila.
Poleg neposredne finančne izgube se lahko žrtve, ki so vnesle podatke o plačilnih karticah prek neuradnih obrazcev za plačilo v aplikaciji, soočijo z dodatnimi tveganji, vključno z nepooblaščenimi bremenitvami ali zlorabo plačilnih podatkov.
Kako je CallPhantom izkoriščal zaupanje brez nevarnih dovoljenj
Eden najpomembnejših vidikov operacije CallPhantom je bila njena sposobnost povzročitve znatne finančne škode, ne da bi zahtevala občutljiva dovoljenja Androida. Celotna goljufija je bila odvisna od socialnega inženiringa in ne od tehničnega izkoriščanja. Uporabnike so prepričali, da verjamejo nemogočim trditvam, plačajo za izmišljene informacije in nevede predajo denar prek slabo zaščitenih plačilnih kanalov.
Čeprav so kampanje, kot je CallPhantom, relativno redke, se večina kibernetskih kriminalnih operacij močno zanaša na strah, nujnost ali prevaro, da bi manipulirali z uporabniki, da prenesejo programsko opremo, opravijo nakupe ali razkrijejo občutljive podatke.
Opozorilni znaki in zaščitni ukrepi
Vse identificirane aplikacije CallPhantom so bile distribuirane prek uradne trgovine Google Play z zavajajočimi imeni, izmišljenimi opisi in umetno napihnjenimi ocenami, da bi se zdele zaupanja vredne. Čeprav je Google odstranil aplikacije, lahko naprave, v katerih so bile nameščene pred odstranitvijo, še vedno vsebujejo programsko opremo.
Naslednji varnostni ukrepi lahko pomagajo zmanjšati izpostavljenost podobnim prevaram:
- Redno pregledujte nameščene aplikacije in odstranite vso programsko opremo, povezano s sumljivimi trditvami ali neznanimi razvijalci.
- Aplikacije prenašajte samo iz zaupanja vrednih virov, kot je trgovina Google Play ali preverjena spletna mesta razvijalcev, pri čemer kritično ocenjujte ocene, ki se zdijo pretirano nejasne ali enotno pozitivne.
- Vsako aplikacijo, ki trdi, da dostopa do zasebnih komunikacij, zgodovine lokacij ali evidenc klicev druge osebe, privzeto obravnavajte kot goljufivo.
- Vzdržujte posodobljene mobilne operacijske sisteme in uporabljajte ugledne rešitve za mobilno varnost za izboljšanje zaščite pred novimi grožnjami.
Jasen opomnik o mobilnih goljufijah
Kampanja CallPhantom služi kot močan opomnik, da se goljufive aplikacije za uspeh ne zanašajo vedno na zlonamerno programsko opremo ali napredne zlorabe. V mnogih primerih je že sama psihološka manipulacija dovolj, da povzroči milijone prenosov in znatne finančne izgube. Vsako aplikacijo, ki obljublja nepooblaščen dostop do zasebnih podatkov druge osebe, je treba takoj obravnavati kot nezakonito in potencialno nevarno.
