CallPhantom แอปหลอกลวงบน Android
แคมเปญ CallPhantom เปิดเผยให้เห็นว่าอาชญากรไซเบอร์สามารถใช้ประโยชน์จากความอยากรู้อยากเห็นและข้อมูลที่ผิดพลาดของสาธารณชนเพื่อสร้างผลกำไรมหาศาลผ่านแอปพลิเคชัน Android ที่หลอกลวง แอปพลิเคชันที่เป็นอันตราย 28 แอปนี้เผยแพร่ผ่าน Google Play Store อย่างเป็นทางการ โดยอ้างอย่างผิดๆ ว่าสามารถดึงข้อมูลบันทึกการโทร บันทึก SMS และกิจกรรม WhatsApp ที่เชื่อมโยงกับหมายเลขโทรศัพท์ใดๆ ก็ได้ ก่อนที่ Google จะลบแอปพลิเคชันเหล่านี้ แคมเปญนี้มียอดดาวน์โหลดมากกว่า 7.3 ล้านครั้งแล้ว
สารบัญ
การกล่าวอ้างที่เป็นไปไม่ได้ที่ปลอมตัวเป็นบริการที่ถูกต้องตามกฎหมาย
แอปพลิเคชันทุกตัวในกลุ่ม CallPhantom ต่างก็โฆษณาฟังก์ชันการทำงานที่หลอกลวงเหมือนกันหมด ผู้ใช้ได้รับคำแนะนำให้ป้อนหมายเลขโทรศัพท์ จากนั้นแอปเหล่านั้นก็จะสร้างประวัติการติดต่อสื่อสารทั้งหมด รวมถึงบันทึกการโทร ข้อความ และบทสนทนา WhatsApp
จากมุมมองทางเทคนิค ข้อกล่าวอ้างเหล่านี้เป็นไปไม่ได้อย่างสิ้นเชิง ระบบรักษาความปลอดภัยและการอนุญาตของ Android ป้องกันไม่ให้แอปพลิเคชันเข้าถึงข้อมูลการสื่อสารส่วนตัวของผู้ใช้รายอื่น แทนที่จะดึงข้อมูลจริง แอปเหล่านั้นแสดงผลลัพธ์ที่สร้างขึ้นจากหมายเลขโทรศัพท์ที่กำหนดไว้ล่วงหน้า ชื่อที่กำหนดไว้ และการประทับเวลาแบบสุ่มที่ฝังอยู่ในโค้ดของแอปพลิเคชันโดยตรง
นักวิจัยได้ระบุรูปแบบการดำเนินงานหลักสองรูปแบบที่ใช้ตลอดการรณรงค์:
- แอปพลิเคชันกลุ่มหนึ่งแสดงผลลัพธ์ปลอมแบบจำกัดในทันที จากนั้นจึงเรียกร้องให้ชำระเงินเพื่อปลดล็อก 'ประวัติการค้นหาฉบับเต็ม' ที่กล่าวอ้าง
- อีกกลุ่มหนึ่งรวบรวมที่อยู่อีเมลของผู้ใช้ สัญญาว่าจะส่งรายงานโดยละเอียดทางอีเมล และเรียกเก็บเงินก่อนที่จะส่งผลลัพธ์ใดๆ ให้
ในทั้งสองกรณี เหยื่อจ่ายเงินสำหรับข้อมูลที่ไม่เคยมีอยู่จริง
ระบบการชำระเงินที่ออกแบบมาเพื่อหลีกเลี่ยงการคืนเงิน
ผู้ดำเนินการแอป CallPhantom ใช้กลไกการชำระเงินหลายรูปแบบเพื่อเพิ่มรายได้สูงสุด ในขณะเดียวกันก็ลดโอกาสในการขอคืนเงินให้สำเร็จ ธุรกรรมบางส่วนดำเนินการผ่านระบบการเรียกเก็บเงินอย่างเป็นทางการของ Google Play ทำให้ผู้ใช้มีโอกาสโต้แย้งค่าใช้จ่ายได้จำกัด อย่างไรก็ตาม แอปจำนวนมากหลีกเลี่ยงการเรียกเก็บเงินของ Google Play โดยสิ้นเชิง ด้วยการเปลี่ยนเส้นทางผู้ใช้ไปยังแอปพลิเคชันการชำระเงิน UPI ของบุคคลที่สาม หรือแบบฟอร์มการชำระเงินด้วยบัตรที่ฝังอยู่ภายในแอป
กลยุทธ์เหล่านี้ละเมิดนโยบายของ Google และทำให้กระบวนการคืนเงินสำหรับผู้ใช้ที่ได้รับผลกระทบยุ่งยากขึ้นอย่างมาก บางรูปแบบเพิ่มความยืดหยุ่นในการดำเนินงานโดยการดึง URL การชำระเงินจากเซิร์ฟเวอร์ Firebase แบบไดนามิก ซึ่งทำให้ผู้โจมตีสามารถเปลี่ยนบัญชีการชำระเงินได้ตามต้องการ และทำให้การตรวจจับอัตโนมัติโดยระบบรักษาความปลอดภัยทำได้ยากขึ้นมาก
รูปแบบการหลอกลวงที่ร้ายกาจเป็นพิเศษอย่างหนึ่งคือการใช้กลยุทธ์ทางจิตวิทยาในการออกแบบ หากผู้ใช้พยายามปิดแอปโดยไม่ทำการชำระเงินให้เสร็จสิ้น การแจ้งเตือนปลอมจะปรากฏขึ้นโดยอ้างว่าผลการตรวจสอบประวัติการโทรที่ร้องขอได้มาถึงในกล่องขาเข้าแล้ว จุดประสงค์เดียวของการแจ้งเตือนเหล่านี้คือการกดดันให้ผู้ใช้กลับมาและชำระเงินให้เสร็จสิ้น
การกำหนดเป้าหมายระดับภูมิภาคและความเสี่ยงทางการเงิน
แคมเปญนี้มุ่งเป้าไปที่ผู้ใช้ในอินเดียและทั่วภูมิภาคเอเชียแปซิฟิกเป็นหลัก แอปพลิเคชันจำนวนมากเลือกใช้รหัสประเทศ +91 ของอินเดียโดยอัตโนมัติ เพื่อเสริมสร้างความน่าเชื่อถือให้กับผู้ใช้ในท้องถิ่น แผนการสมัครสมาชิกมีราคาตั้งแต่ประมาณ 5 ยูโรถึง 80 ดอลลาร์สหรัฐ และมีการทำการตลาดผ่านตัวเลือกการชำระเงินรายสัปดาห์ รายเดือน และรายปี
นอกเหนือจากความสูญเสียทางการเงินในทันทีแล้ว ผู้ที่ป้อนข้อมูลบัตรชำระเงินผ่านแบบฟอร์มชำระเงินในแอปที่ไม่เป็นทางการอาจเผชิญกับความเสี่ยงเพิ่มเติม รวมถึงการเรียกเก็บเงินโดยไม่ได้รับอนุญาต หรือการนำข้อมูลการชำระเงินไปใช้ในทางที่ผิด
CallPhantom ใช้ประโยชน์จากความไว้วางใจได้อย่างไร โดยไม่ให้สิทธิ์ที่เป็นอันตราย
หนึ่งในแง่มุมที่โดดเด่นที่สุดของการปฏิบัติการ CallPhantom คือความสามารถในการก่อให้เกิดความเสียหายทางการเงินอย่างร้ายแรงโดยไม่ต้องขอสิทธิ์การเข้าถึงข้อมูลที่ละเอียดอ่อนจากระบบ Android การฉ้อโกงทั้งหมดอาศัยวิศวกรรมทางสังคมมากกว่าการใช้ประโยชน์ทางเทคนิค ผู้ใช้ถูกโน้มน้าวให้เชื่อในข้อกล่าวอ้างที่เป็นไปไม่ได้ จ่ายเงินสำหรับข้อมูลที่ถูกสร้างขึ้น และเสียเงินโดยไม่รู้ตัวผ่านช่องทางการชำระเงินที่ได้รับการปกป้องอย่างไม่รัดกุม
แม้ว่าแคมเปญอย่าง CallPhantom จะค่อนข้างไม่พบเห็นบ่อยนัก แต่การปฏิบัติการของอาชญากรไซเบอร์ส่วนใหญ่อาศัยความกลัว ความเร่งด่วน หรือการหลอกลวง เพื่อชักจูงผู้ใช้ให้ดาวน์โหลดซอฟต์แวร์ ซื้อสินค้า หรือเปิดเผยข้อมูลที่ละเอียดอ่อน
สัญญาณเตือนและมาตรการป้องกัน
แอปพลิเคชัน CallPhantom ที่ถูกระบุทั้งหมดถูกเผยแพร่ผ่าน Google Play Store อย่างเป็นทางการ โดยใช้ชื่อที่ทำให้เข้าใจผิด คำอธิบายที่สร้างขึ้น และคะแนนที่สูงเกินจริงเพื่อให้ดูน่าเชื่อถือ แม้ว่า Google จะลบแอปพลิเคชันเหล่านั้นออกไปแล้ว แต่อุปกรณ์ที่ติดตั้งแอปพลิเคชันเหล่านั้นก่อนที่จะถูกลบอาจยังคงมีซอฟต์แวร์ดังกล่าวอยู่
แนวทางปฏิบัติด้านความปลอดภัยต่อไปนี้สามารถช่วยลดความเสี่ยงจากการถูกหลอกลวงในลักษณะเดียวกันได้:
- ตรวจสอบแอปพลิเคชันที่ติดตั้งเป็นประจำ และลบซอฟต์แวร์ใดๆ ที่เกี่ยวข้องกับการอ้างสิทธิ์ที่น่าสงสัยหรือผู้พัฒนาที่ไม่รู้จัก
- ดาวน์โหลดแอปพลิเคชันจากแหล่งที่เชื่อถือได้เท่านั้น เช่น Google Play Store หรือเว็บไซต์ของผู้พัฒนาที่ได้รับการตรวจสอบแล้ว พร้อมทั้งวิเคราะห์วิจารณ์อย่างรอบคอบ โดยเฉพาะรีวิวที่ดูคลุมเครือเกินไปหรือมีแต่ข้อดีอย่างเดียว
- โดยค่าเริ่มต้น ให้ถือว่าแอปพลิเคชันใด ๆ ที่อ้างว่าสามารถเข้าถึงการสื่อสารส่วนตัว ประวัติสถานที่ หรือบันทึกการโทรของบุคคลอื่นเป็นการฉ้อโกง
คำเตือนที่ชัดเจนเกี่ยวกับการฉ้อโกงผ่านมือถือ
แคมเปญ CallPhantom เป็นเครื่องเตือนใจที่สำคัญว่า แอปพลิเคชันหลอกลวงไม่จำเป็นต้องอาศัยมัลแวร์หรือช่องโหว่ขั้นสูงเสมอไป ในหลายกรณี การใช้กลวิธีทางจิตวิทยาเพียงอย่างเดียวก็เพียงพอที่จะสร้างยอดดาวน์โหลดนับล้านและก่อให้เกิดความเสียหายทางการเงินอย่างมหาศาล แอปพลิเคชันใดก็ตามที่สัญญาว่าจะให้เข้าถึงข้อมูลส่วนตัวของผู้อื่นโดยไม่ได้รับอนุญาต ควรถูกพิจารณาว่าผิดกฎหมายและอาจเป็นอันตรายในทันที
