Шахрайство CallPhantom на Android
Кампанія CallPhantom викрила, як кіберзлочинці можуть використовувати громадську цікавість та дезінформацію для отримання величезних прибутків за допомогою шахрайських додатків для Android. Цей кластер із 28 шкідливих додатків, що розповсюджувався через офіційний магазин Google Play, хибно стверджував, що отримує журнали викликів, записи SMS та активність WhatsApp, пов’язану з будь-яким номером телефону. Перш ніж Google видалив ці додатки, кампанія вже накопичила понад 7,3 мільйона завантажень.
Зміст
Неможливі претензії, замасковані під законні послуги
Кожен застосунок у кластері CallPhantom просував однакову оманливу функціональність. Користувачам пропонувалося ввести номер телефону, після чого застосунки нібито генерували повну історію зв'язку, включаючи записи дзвінків, текстові повідомлення та розмови у WhatsApp.
З технічної точки зору, ці твердження були абсолютно неможливими. Архітектура безпеки та дозволів Android запобігає доступу програм до особистих даних спілкування інших користувачів. Замість отримання реальної інформації, програми відображали сфабриковані результати, згенеровані з жорстко закодованих номерів телефонів, попередньо визначених імен та випадково призначених позначок часу, вбудованих безпосередньо в код програми.
Дослідники визначили дві основні операційні моделі, що використовувалися протягом усієї кампанії:
- Одна група додатків одразу відображала обмежені фальшиві результати, а потім вимагала оплати за розблокування нібито «повної історії».
- Інша група збирала адреси електронної пошти користувачів, обіцяла надіслати детальні записи електронною поштою та вимагала оплату перед тим, як будь-які результати нібито будуть відправлені.
В обох випадках жертви платили за дані, яких ніколи не існувало.
Маніпулятивні платіжні системи, розроблені для уникнення повернення коштів
Оператори CallPhantom використовували кілька платіжних механізмів, щоб максимізувати дохід, одночасно зменшуючи ймовірність успішного повернення коштів. Деякі транзакції оброблялися через офіційну платіжну інфраструктуру Google Play, що обмежувало можливості користувачів оскаржувати платежі. Однак багато додатків повністю обходили платіжну інфраструктуру Google Play, перенаправляючи жертв до сторонніх платіжних додатків UPI або вбудованих форм оплати картками.
Ці тактики порушували політику Google та значно ускладнювали процес повернення коштів для постраждалих користувачів. Деякі варіанти підвищували операційну гнучкість, динамічно отримуючи URL-адреси платежів із серверів Firebase. Це дозволяло зловмисникам змінювати платіжні рахунки за бажанням та значно ускладнювало автоматичне виявлення системами безпеки.
Один особливо оманливий варіант включав психологічну маніпуляцію у свій дизайн. Якщо користувач намагався закрити додаток, не завершивши оплату, з’являлися фальшиві сповіщення у вигляді сповіщень, у яких стверджувалося, що запитувані результати історії дзвінків щойно надійшли до папки «Вхідні». Єдиною метою цих сповіщень було змусити користувачів повернутися та завершити оплату.
Регіональне таргетування та фінансові ризики
Кампанія була спрямована переважно на користувачів в Індії та в усьому Азіатсько-Тихоокеанському регіоні. Багато програм автоматично вибирали код країни Індії +91, щоб посилити ілюзію легітимності для місцевих користувачів. Плани підписки коливалися приблизно від 5 до 80 доларів США та пропонувалися з тижневими, щомісячними та річними варіантами оплати.
Окрім безпосередніх фінансових втрат, жертви, які ввели інформацію про платіжні картки через неофіційні форми оплати в додатку, можуть зіткнутися з додатковими ризиками, включаючи несанкціоноване списання коштів або неправильне використання платіжних даних.
Як CallPhantom експлуатував довіру без небезпечних дозволів
Одним із найпомітніших аспектів операції CallPhantom була її здатність завдавати значної фінансової шкоди, не запитуючи конфіденційних дозволів Android. Усе шахрайство спиралося на соціальну інженерію, а не на технічну експлуатацію. Користувачів переконували вірити неможливим твердженням, платити за сфабриковану інформацію та несвідомо віддавати гроші через погано захищені платіжні канали.
Хоча кампанії, подібні до CallPhantom, є відносно рідкісними, більшість кіберзлочинних операцій значною мірою покладаються на страх, терміновість або обман, щоб маніпулювати користувачами та спонукати їх завантажувати програмне забезпечення, здійснювати покупки або розголошувати конфіденційну інформацію.
Попереджувальні знаки та захисні заходи
Усі ідентифіковані програми CallPhantom розповсюджувалися через офіційний магазин Google Play з використанням оманливих назв, вигаданих описів та штучно завищених рейтингів, щоб виглядати надійними. Навіть попри те, що Google видалив ці програми, пристрої, на яких їх було встановлено до видалення, все ще можуть містити це програмне забезпечення.
Наступні заходи безпеки можуть допомогти зменшити ризик подібних шахрайств:
- Регулярно перевіряйте встановлені програми та видаляйте будь-яке програмне забезпечення, пов’язане з підозрілими заявами або невідомими розробниками.
- Завантажуйте програми лише з перевірених джерел, таких як Google Play Store або перевірені веб-сайти розробників, критично оцінюючи відгуки, які здаються надмірно розпливчастими або однозначно позитивними.
- За замовчуванням розцінювати будь-які програми, які претендують на доступ до приватних повідомлень, історії місцезнаходжень або записів дзвінків іншої особи, як шахрайські.
- Підтримуйте актуальність мобільних операційних систем та використовуйте надійні рішення для мобільної безпеки для покращення захисту від нових загроз.
Чітке нагадування про мобільне шахрайство
Кампанія CallPhantom слугує потужним нагадуванням про те, що шахрайські програми не завжди покладаються на шкідливе програмне забезпечення чи складні експлойти для успіху. У багатьох випадках самих лише психологічних маніпуляцій достатньо, щоб призвести до мільйонів завантажень та значних фінансових втрат. Будь-яку програму, яка обіцяє несанкціонований доступ до особистих даних іншої особи, слід негайно вважати незаконною та потенційно небезпечною.
