Превара са CallPhantom-ом на Андроиду
Кампања CallPhantom открила је како сајбер криминалци могу да искористе јавну радозналост и дезинформације да би остварили огроман профит путем лажних Андроид апликација. Дистрибуирана преко званичне Google Play продавнице, ова група од 28 злонамерних апликација лажно је тврдила да преузима евиденцију позива, СМС записе и WhatsApp активности повезане са било којим бројем телефона. Пре него што је Google уклонио апликације, кампања је већ акумулирала више од 7,3 милиона преузимања.
Преглед садржаја
Немогуће тврдње прикривене као легитимне услуге
Свака апликација у кластеру CallPhantom промовисала је исту обмањујућу функционалност. Корисницима је наложено да унесу број телефона, након чега су апликације наводно генерисале комплетне историје комуникације, укључујући евиденцију позива, текстуалне поруке и WhatsApp разговоре.
Са техничке тачке гледишта, ове тврдње су биле потпуно немогуће. Андроидова архитектура безбедности и дозвола спречава апликације да приступају приватним подацима комуникације другог корисника. Уместо преузимања стварних информација, апликације су приказивале измишљене резултате генерисане из чврсто кодираних бројева телефона, унапред дефинисаних имена и насумично додељених временских ознака уграђених директно у код апликације.
Истраживачи су идентификовали два примарна оперативна модела која су коришћена током кампање:
- Једна група апликација је одмах приказивала ограничене лажне резултате, а затим је захтевала плаћање за откључавање наводне „комплетне историје“.
- Друга група је прикупљала имејл адресе корисника, обећавала да ће доставити детаљне записе путем имејла и захтевала плаћање пре него што се било какви резултати наводно пошаљу.
У оба случаја, жртве су платиле за податке који никада нису постојали.
Манипулативни системи плаћања дизајнирани да избегну повраћај новца
Оператори који стоје иза CallPhantom-а користили су неколико механизама плаћања како би максимизирали приход, а истовремено смањили вероватноћу успешног повраћаја новца. Неке трансакције су обрађене путем званичне инфраструктуре за наплату Google Play-а, што је корисницима ограничило могућности да оспоре наплате. Међутим, многе апликације су у потпуности заобишле Google Play наплату преусмеравајући жртве на UPI апликације за плаћање трећих страна или уграђене обрасце за плаћање картицама.
Ове тактике су кршиле Google-ове политике и значајно компликовале процес повраћаја новца за погођене кориснике. Одређене варијанте су повећале оперативну флексибилност динамичким преузимањем URL-ова за плаћање са Firebase сервера. Ово је омогућило нападачима да ротирају платне рачуне по жељи и учинило аутоматско откривање од стране безбедносних система знатно тежим.
Једна посебно обмањујућа варијанта укључила је психолошку манипулацију у свој дизајн. Ако би корисник покушао да затвори апликацију без завршетка плаћања, појављивала би се лажна обавештења у којима се тврдило да су тражени резултати историје позива управо стигли у пријемно сандуче. Једина сврха ових упозорења била је да се изврши притисак на кориснике да се врате и заврше плаћање.
Регионално циљање и финансијски ризици
Кампања је првенствено циљала кориснике у Индији и широм Азијско-пацифичког региона. Многе апликације су аутоматски бирале индијски позивни број +91 како би појачале илузију легитимности за локалне кориснике. Планови претплате су се кретали од приближно 5 евра до 80 америчких долара и продавани су кроз недељне, месечне и годишње опције плаћања.
Поред непосредног финансијског губитка, жртве које су унеле податке о платним картицама путем незваничних образаца за плаћање у апликацији могу се суочити са додатним ризицима, укључујући неовлашћене наплате или злоупотребу података о плаћању.
Како је CallPhantom злоупотребљавао поверење без опасних дозвола
Један од најзначајнијих аспеката операције CallPhantom била је његова способност да изазове значајну финансијску штету без захтевања осетљивих дозвола за Андроид. Читава превара се заснивала на социјалном инжењерингу, а не на техничкој експлоатацији. Корисници су били убеђени да верују у немогуће тврдње, плаћају за измишљене информације и несвесно предају новац путем лоше заштићених канала плаћања.
Иако су кампање попут CallPhantom релативно ретке, већина сајбер криминалних операција се у великој мери ослања на страх, хитност или обману како би манипулисале корисницима да преузму софтвер, обаве куповину или открију осетљиве информације.
Знакови упозорења и заштитне мере
Све идентификоване апликације CallPhantom дистрибуиране су путем званичне Google Play продавнице користећи обмањујућа имена, измишљене описе и вештачки надуване оцене како би деловале поуздано. Иако је Google уклонио апликације, уређаји који су их инсталирали пре уклањања и даље могу да садрже софтвер.
Следеће безбедносне праксе могу помоћи у смањењу изложености сличним преварама:
- Редовно прегледајте инсталиране апликације и уклоните сав софтвер повезан са сумњивим тврдњама или непознатим програмерима.
- Преузимајте апликације само из поузданих извора као што су Google Play продавница или верификоване веб странице програмера, док критички процењујете рецензије које делују претерано нејасно или једнообразно позитивно.
- Третирајте сваку апликацију која тврди да приступа приватној комуникацији, историји локација или записима позива друге особе као преварну по подразумеваним подешавањима.
- Одржавајте ажуриране мобилне оперативне системе и користите реномирана решења за мобилну безбедност како бисте побољшали заштиту од нових претњи.
Јасан подсетник о мобилним преварама
Кампања CallPhantom служи као снажан подсетник да се преварне апликације не ослањају увек на злонамерни софтвер или напредне експлоите да би успеле. У многим случајевима, сама психолошка манипулација је довољна да генерише милионе преузимања и значајне финансијске губитке. Свака апликација која обећава неовлашћени приступ приватним подацима друге особе треба одмах сматрати нелегалном и потенцијално опасном.
