Μια νέα μορφή απάτης που προέρχεται από κακόβουλα λογισμικά σε Android έχει αποκαλυφθεί από την Zimperium, με αποτέλεσμα οι χρήστες να χρεώνονται μέσω των λογαριασμών κινητής τηλεφωνίας τους. Αυτή η κομπίνα περιλαμβάνει σχεδόν 250 ψεύτικες εφαρμογές που προσπαθούν να μιμηθούν δημοφιλείς πλατφόρμες όπως το TikTok, το Facebook Messenger, και το Minecraft, προκειμένου να παρασύρουν τους ανυποψίαστους χρήστες να τις εγκαταστήσουν.
Πίσω από αυτήν την υποτιθέμενη ευχάριστη εμπειρία κρύβεται ένα καλά οργανωμένο σύστημα που στοχεύει στη χρέωση χρηστών μέσω premium SMS και υπηρεσιών carrier billing, που σημαίνει άμεσες χρεώσεις στον λογαριασμό κινητού τους.
Ένα ανησυχητικό χαρακτηριστικό αυτής της απάτης είναι ότι οι εφαρμογές δεν λειτουργούν με τον ίδιο τρόπο σε όλες τις συσκευές. Το κακόβουλο λογισμικό είναι ικανό να αναγνωρίζει την SIM και τον πάροχο κινητής τηλεφωνίας και να ενεργοποιεί την απάτη μόνο εφόσον εντοπίσει συγκεκριμένα δίκτυα. Κύριοι στόχοι της επιχείρησης είναι χρήστες από χώρες όπως η Μαλαισία, η Ταϊλάνδη, η Ρουμανία και η Κροατία. Όταν μια συσκευή δεν πληροί τα κριτήρια που θέτουν οι δράστες, οι εφαρμογές εμφανίζουν αθώα περιεχόμενα, ώστε να παραμένουν απαρατήρητες.
Διαδικασία κρυφής χρέωσης
Η ομάδα zLabs της Zimperium έχει αναφέρει ότι οι δράστες εφαρμόζουν τεχνικές όπως WebView automation, JavaScript injection και υποκλοπή κωδικών OTP μέσω του Google SMS Retriever API. Αυτή η νόμιμη λειτουργία του Android, που επιτρέπει στις εφαρμογές να διαβάζουν αυτόματα κωδικούς επιβεβαίωσης, χρησιμοποιείται για την εγγραφή των χρηστών σε συνδρομητικές υπηρεσίες χωρίς την έγκρισή τους.
Σε κάποιες περιπτώσεις, το κακόβουλο λογισμικό μπορεί να αποσυνδέσει την WiFi σύνδεση, αναγκάζοντας τη συσκευή να συνδεθεί μέσω του κινητού δικτύου. Αυτό διευκολύνει την ολοκλήρωση της διαδικασίας χρέωσης, καθώς οι υπηρεσίες carrier billing συχνά βασίζονται στην αναγνώριση του χρήστη μέσω του δικτύου του παρόχου.
Η Zimperium έχει εντοπίσει τρεις βασικές παραλλαγές του κακόβουλου λογισμικού:
- Η πρώτη παράδοση αυτοματοποιεί την εγγραφή σε συνδρομητικές υπηρεσίες, στοχεύοντας παρόχους όπως οι DiGi, Maxis, Celcom και U Mobile.
- Η δεύτερη εστιάζει στην Ταϊλάνδη, συνδυάζοντας premium SMS με κλοπή cookies μέσω του Android CookieManager API.
- Η τρίτη παραλλαγή ενημερώνει τους δράστες μέσω Telegram, παρέχοντάς τους πληροφορίες σχετικά με τις εγκαταστάσεις, τις συσκευές, τους παρόχους και τις επιτυχείς χρεώσεις.
Η εν λόγω καμπάνια φέρεται να ξεκίνησε τον Μάρτιο του 2025 και να παρέμεινε ενεργή τουλάχιστον μέχρι τις αρχές Ιανουαρίου 2026, με ορισμένα στοιχεία της να παραμένουν σε εφαρμογή. Η Google έχει επισημάνει ότι αυτές οι εφαρμογές δεν είναι διαθέσιμες στο Play Store και ότι το Google Play Protect προσφέρει προστασία στους χρήστες από γνωστές εκδόσεις του κακόβουλου λογισμικού.
Ωστόσο, το περιστατικό αυτό τονίζει έναν θεμελιώδη κανόνα ασφάλειας: οι χρήστες Android θα πρέπει να αποφεύγουν την εγκατάσταση εφαρμογών από άγνωστες πηγές, να ελέγχουν προσεκτικά τα δικαιώματα που ζητούν οι εφαρμογές και να παρακολουθούν προσεκτικά τυχόν παράξενες χρεώσεις στους λογαριασμούς τους. Μια εφαρμογή που φαίνεται να είναι από ένα γνωστό social media ή δημοφιλές παιχνίδι μπορεί να κρύβει επικίνδυνες εκπλήξεις.
