Lừa đảo CallPhantom trên Android

Chiến dịch CallPhantom đã vạch trần cách thức tội phạm mạng lợi dụng sự tò mò và thông tin sai lệch của công chúng để thu về lợi nhuận khổng lồ thông qua các ứng dụng Android lừa đảo. Được phân phối thông qua cửa hàng Google Play chính thức, nhóm 28 ứng dụng độc hại này đã tuyên bố sai sự thật rằng chúng có thể truy xuất nhật ký cuộc gọi, tin nhắn SMS và hoạt động WhatsApp liên kết với bất kỳ số điện thoại nào. Trước khi Google gỡ bỏ các ứng dụng này, chiến dịch đã thu hút hơn 7,3 triệu lượt tải xuống.

Những lời tuyên bố phi thực tế được ngụy trang dưới danh nghĩa dịch vụ hợp pháp.

Mọi ứng dụng trong nhóm CallPhantom đều quảng cáo cùng một chức năng lừa đảo. Người dùng được hướng dẫn nhập số điện thoại, sau đó các ứng dụng này được cho là sẽ tạo ra toàn bộ lịch sử liên lạc, bao gồm nhật ký cuộc gọi, tin nhắn văn bản và các cuộc trò chuyện WhatsApp.

Từ góc độ kỹ thuật, những tuyên bố này hoàn toàn bất khả thi. Kiến trúc bảo mật và quyền truy cập của Android ngăn chặn các ứng dụng truy cập dữ liệu liên lạc riêng tư của người dùng khác. Thay vì thu thập thông tin thực, các ứng dụng hiển thị kết quả giả mạo được tạo ra từ các số điện thoại được mã hóa cứng, tên được xác định trước và dấu thời gian được gán ngẫu nhiên được nhúng trực tiếp trong mã ứng dụng.

Các nhà nghiên cứu đã xác định hai mô hình hoạt động chính được sử dụng xuyên suốt chiến dịch:

• Một nhóm ứng dụng hiển thị ngay lập tức các kết quả giả mạo với số lượng hạn chế, sau đó yêu cầu thanh toán để mở khóa "lịch sử đầy đủ" được cho là hiển thị.
• Một nhóm khác thu thập địa chỉ email của người dùng, hứa sẽ gửi hồ sơ chi tiết qua email và yêu cầu thanh toán trước khi bất kỳ kết quả nào được gửi đi.

Trong cả hai trường hợp, các nạn nhân đều phải trả tiền cho dữ liệu không hề tồn tại.

Các hệ thống thanh toán mang tính thao túng được thiết kế để tránh hoàn tiền.

Các nhà điều hành đứng sau CallPhantom đã sử dụng nhiều cơ chế thanh toán khác nhau để tối đa hóa doanh thu đồng thời giảm thiểu khả năng hoàn tiền thành công. Một số giao dịch được xử lý thông qua hệ thống thanh toán chính thức của Google Play, cho phép người dùng có cơ hội hạn chế để khiếu nại các khoản phí. Tuy nhiên, nhiều ứng dụng đã hoàn toàn bỏ qua hệ thống thanh toán của Google Play bằng cách chuyển hướng nạn nhân đến các ứng dụng thanh toán UPI của bên thứ ba hoặc các biểu mẫu thanh toán thẻ được nhúng sẵn.

Những chiến thuật này vi phạm chính sách của Google và làm phức tạp đáng kể quy trình hoàn tiền cho người dùng bị ảnh hưởng. Một số biến thể tăng tính linh hoạt trong hoạt động bằng cách tự động truy xuất URL thanh toán từ máy chủ Firebase. Điều này cho phép kẻ tấn công thay đổi tài khoản thanh toán tùy ý và khiến việc phát hiện tự động bởi các hệ thống bảo mật trở nên khó khăn hơn nhiều.

Một biến thể đặc biệt tinh vi đã kết hợp thao túng tâm lý vào thiết kế của nó. Nếu người dùng cố gắng đóng ứng dụng mà không hoàn tất thanh toán, các cảnh báo giả mạo sẽ xuất hiện, tuyên bố rằng kết quả lịch sử cuộc gọi được yêu cầu vừa được gửi đến hộp thư đến. Mục đích duy nhất của những cảnh báo này là gây áp lực buộc người dùng quay lại và hoàn tất thanh toán.

Xác định mục tiêu theo khu vực và rủi ro tài chính

Chiến dịch này chủ yếu nhắm vào người dùng ở Ấn Độ và khu vực châu Á - Thái Bình Dương. Nhiều ứng dụng tự động chọn mã quốc gia +91 của Ấn Độ để củng cố ảo tưởng về tính hợp pháp đối với người dùng địa phương. Các gói đăng ký có giá từ khoảng 5 euro đến 80 đô la Mỹ và được tiếp thị thông qua các tùy chọn thanh toán hàng tuần, hàng tháng và hàng năm.

Ngoài thiệt hại tài chính trước mắt, các nạn nhân nhập thông tin thẻ thanh toán thông qua các biểu mẫu thanh toán không chính thức trong ứng dụng có thể phải đối mặt với các rủi ro khác, bao gồm các khoản phí trái phép hoặc lạm dụng dữ liệu thanh toán.

Cách CallPhantom lợi dụng lòng tin mà không cần các quyền truy cập nguy hiểm

Một trong những khía cạnh đáng chú ý nhất của hoạt động CallPhantom là khả năng gây thiệt hại tài chính đáng kể mà không cần yêu cầu các quyền truy cập nhạy cảm trên hệ điều hành Android. Toàn bộ vụ lừa đảo dựa vào kỹ thuật thao túng tâm lý hơn là khai thác lỗ hổng kỹ thuật. Người dùng bị thuyết phục tin vào những tuyên bố không có thật, trả tiền cho thông tin bịa đặt và vô tình giao tiền thông qua các kênh thanh toán được bảo vệ kém.

Mặc dù các chiến dịch như CallPhantom tương đối hiếm gặp, nhưng hầu hết các hoạt động tội phạm mạng đều dựa nhiều vào nỗi sợ hãi, sự gấp gáp hoặc lừa dối để thao túng người dùng tải xuống phần mềm, mua hàng hoặc tiết lộ thông tin nhạy cảm.

Các dấu hiệu cảnh báo và biện pháp bảo vệ

Tất cả các ứng dụng CallPhantom được xác định đều được phân phối thông qua cửa hàng Google Play chính thức bằng cách sử dụng tên gọi gây hiểu nhầm, mô tả bịa đặt và xếp hạng được thổi phồng một cách giả tạo để tạo vẻ đáng tin cậy. Mặc dù Google đã gỡ bỏ các ứng dụng này, nhưng các thiết bị đã cài đặt chúng trước khi bị gỡ bỏ vẫn có thể chứa phần mềm này.

Các biện pháp bảo mật sau đây có thể giúp giảm nguy cơ trở thành nạn nhân của các vụ lừa đảo tương tự:

• Thường xuyên kiểm tra các ứng dụng đã cài đặt và gỡ bỏ bất kỳ phần mềm nào có liên quan đến các tuyên bố đáng ngờ hoặc nhà phát triển không rõ danh tính.
• Chỉ tải ứng dụng từ các nguồn đáng tin cậy như Google Play Store hoặc trang web của nhà phát triển đã được xác minh, đồng thời đánh giá kỹ lưỡng các bài đánh giá quá mơ hồ hoặc chỉ toàn lời khen ngợi.
• Hãy coi bất kỳ ứng dụng nào tuyên bố truy cập vào thông tin liên lạc riêng tư, lịch sử vị trí hoặc nhật ký cuộc gọi của người khác là hành vi lừa đảo theo mặc định.
• Luôn cập nhật hệ điều hành di động và sử dụng các giải pháp bảo mật di động uy tín để tăng cường khả năng bảo vệ trước các mối đe dọa mới nổi.

Lời nhắc nhở rõ ràng về gian lận trên điện thoại di động

Chiến dịch CallPhantom là một lời nhắc nhở mạnh mẽ rằng các ứng dụng lừa đảo không phải lúc nào cũng dựa vào phần mềm độc hại hoặc các lỗ hổng bảo mật cao cấp để thành công. Trong nhiều trường hợp, chỉ cần thao túng tâm lý cũng đủ để tạo ra hàng triệu lượt tải xuống và gây thiệt hại tài chính đáng kể. Bất kỳ ứng dụng nào hứa hẹn truy cập trái phép vào dữ liệu cá nhân của người khác đều nên được coi là bất hợp pháp và tiềm ẩn nguy hiểm ngay lập tức.