CallPhantom Android Dolandırıcılığı

CallPhantom kampanyası, siber suçluların sahte Android uygulamaları aracılığıyla kamuoyunun merakını ve yanlış bilgilendirmeyi nasıl istismar edebileceğini ortaya koydu. Resmi Google Play Store üzerinden dağıtılan bu 28 kötü amaçlı uygulama, herhangi bir telefon numarasıyla bağlantılı arama kayıtlarını, SMS kayıtlarını ve WhatsApp etkinliklerini ele geçirdiğini yanlış bir şekilde iddia ediyordu. Google uygulamaları kaldırmadan önce, kampanya 7,3 milyondan fazla indirmeye ulaşmıştı.

Meşru Hizmetler Kılığında Sunulan İmkansız İddialar

CallPhantom kümesindeki her uygulama aynı aldatıcı işlevi tanıtıyordu. Kullanıcılardan bir telefon numarası girmeleri isteniyordu ve uygulamalar bu numaranın ardından arama kayıtları, kısa mesajlar ve WhatsApp konuşmaları da dahil olmak üzere eksiksiz iletişim geçmişi oluşturuyordu.

Teknik açıdan bakıldığında, bu iddialar tamamen imkansızdı. Android'in güvenlik ve izin mimarisi, uygulamaların başka bir kullanıcının özel iletişim verilerine erişmesini engeller. Uygulamalar gerçek bilgileri almak yerine, doğrudan uygulama koduna yerleştirilmiş, önceden tanımlanmış telefon numaraları, önceden tanımlanmış isimler ve rastgele atanmış zaman damgalarından oluşturulmuş uydurma sonuçlar gösteriyordu.

Araştırmacılar, kampanya boyunca kullanılan iki temel operasyonel modeli belirlediler:

• Bir grup uygulama, sınırlı sayıda sahte sonucu hemen gösterdikten sonra, sözde 'tam geçmişi' açmak için ödeme talep etti.
• Başka bir grup ise kullanıcıların e-posta adreslerini topladı, ayrıntılı kayıtları e-posta yoluyla göndereceklerini vaat etti ve sonuçların gönderilmesinden önce ödeme talep etti.

Her iki durumda da mağdurlar, hiç var olmayan veriler için para ödediler.

Para İadelerini Engellemek İçin Tasarlanmış Manipülatif Ödeme Sistemleri

CallPhantom'ın arkasındaki operatörler, geliri en üst düzeye çıkarırken başarılı geri ödeme olasılığını azaltmak için çeşitli ödeme mekanizmaları kullandı. Bazı işlemler resmi Google Play faturalandırma altyapısı üzerinden işlendi ve bu da kullanıcılara ücretlere itiraz etme konusunda sınırlı fırsatlar sağladı. Bununla birlikte, birçok uygulama, mağdurları üçüncü taraf UPI ödeme uygulamalarına veya yerleşik kart ödeme formlarına yönlendirerek Google Play faturalandırmasını tamamen atladı.

Bu taktikler Google'ın politikalarını ihlal etti ve etkilenen kullanıcılar için geri ödeme sürecini önemli ölçüde zorlaştırdı. Bazı varyantlar, ödeme URL'lerini Firebase sunucularından dinamik olarak alarak operasyonel esnekliği artırdı. Bu, saldırganların ödeme hesaplarını istedikleri gibi değiştirmelerine olanak sağladı ve güvenlik sistemleri tarafından otomatik tespit edilmeyi çok daha zor hale getirdi.

Özellikle aldatıcı bir varyant, tasarımına psikolojik manipülasyonu da dahil etmişti. Kullanıcı ödemeyi tamamlamadan uygulamayı kapatmaya çalıştığında, istenen arama geçmişi sonuçlarının gelen kutusuna ulaştığını iddia eden sahte bildirim tarzı uyarılar görünüyordu. Bu uyarıların tek amacı, kullanıcıları geri dönmeye ve ödemeyi tamamlamaya zorlamaktı.

Bölgesel Hedefleme ve Finansal Riskler

Kampanya öncelikle Hindistan ve Asya-Pasifik bölgesindeki kullanıcıları hedef aldı. Birçok uygulama, yerel kullanıcılar için meşruiyet yanılsamasını güçlendirmek amacıyla otomatik olarak Hindistan'ın +91 ülke kodunu seçti. Abonelik planları yaklaşık 5 € ile 80 ABD doları arasında değişiyordu ve haftalık, aylık ve yıllık ödeme seçenekleriyle pazarlanıyordu.

Doğrudan maddi kaybın ötesinde, resmi olmayan uygulama içi ödeme formları aracılığıyla ödeme kartı bilgilerini giren mağdurlar, yetkisiz işlemler veya ödeme verilerinin kötüye kullanımı da dahil olmak üzere ek risklerle karşı karşıya kalabilirler.

CallPhantom Tehlikeli İzinler Almadan Güveni Nasıl İstismar Etti?

CallPhantom operasyonunun en dikkat çekici yönlerinden biri, hassas Android izinleri istemeden önemli mali zararlara yol açabilmesiydi. Tüm dolandırıcılık, teknik istismardan ziyade sosyal mühendisliğe dayanıyordu. Kullanıcılar imkansız iddialara inanmaya, uydurma bilgiler için para ödemeye ve yetersiz korunan ödeme kanalları aracılığıyla farkında olmadan para vermeye ikna edildi.

CallPhantom gibi kampanyalar nispeten nadir olsa da, siber suçluların çoğu operasyonlarında kullanıcıları yazılım indirmeye, satın alma yapmaya veya hassas bilgileri ifşa etmeye yönlendirmek için korku, aciliyet veya aldatmaya büyük ölçüde başvurur.

Uyarı İşaretleri ve Koruyucu Önlemler

Tespit edilen tüm CallPhantom uygulamaları, güvenilir görünmek için yanıltıcı isimler, uydurma açıklamalar ve yapay olarak şişirilmiş puanlar kullanılarak resmi Google Play Store üzerinden dağıtılmıştır. Google uygulamaları kaldırmış olsa da, kaldırılmadan önce bunları yükleyen cihazlarda yazılım hala bulunabilir.

Aşağıdaki güvenlik önlemleri, benzer dolandırıcılık yöntemlerine maruz kalma riskini azaltmaya yardımcı olabilir:

• Yüklenmiş uygulamaları düzenli olarak gözden geçirin ve şüpheli iddialarla veya bilinmeyen geliştiricilerle ilişkili yazılımları kaldırın.
• Uygulamaları yalnızca Google Play Store veya doğrulanmış geliştirici web siteleri gibi güvenilir kaynaklardan indirin ve aşırı belirsiz veya tekdüze olumlu görünen yorumları eleştirel bir şekilde değerlendirin.
• Başka bir kişinin özel iletişimlerine, konum geçmişine veya arama kayıtlarına erişim iddiasında bulunan herhangi bir uygulamayı varsayılan olarak sahtekarlık olarak değerlendirin.
• Güncel mobil işletim sistemlerini koruyun ve ortaya çıkan tehditlere karşı korumayı artırmak için saygın mobil güvenlik çözümleri kullanın.

Mobil Dolandırıcılık Hakkında Net Bir Hatırlatma

CallPhantom kampanyası, sahte uygulamaların başarılı olmak için her zaman kötü amaçlı yazılımlara veya gelişmiş güvenlik açıklarına dayanmadığını güçlü bir şekilde hatırlatıyor. Birçok durumda, yalnızca psikolojik manipülasyon bile milyonlarca indirmeye ve önemli mali kayıplara yol açmaya yetiyor. Başka bir kişinin özel verilerine yetkisiz erişim vaat eden herhangi bir uygulama, derhal yasa dışı ve potansiyel olarak tehlikeli olarak değerlendirilmelidir.