СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:23
#ИБ

CallPhantom: мошеннические приложения в Google Play обманули 7,3 миллиона пользователей

Исследователи ESET выявили в Google Play серию мошеннических приложений, объединённых общим названием CallPhantom. Эти программы ложно обещали пользователям доступ к журналам вызовов, записям SMS и истории звонков WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) для любого указанного номера телефона. По данным расследования, до удаления с платформы приложения обманули более 7,3 млн пользователей.

Что представляли собой приложения CallPhantom

В ходе анализа исследователи выявили 28 конкретных приложений, использовавших разные методы оплаты, часть из которых нарушала правила биллинга Google Play. Основной целевой аудиторией стали пользователи Android в Индии и более широком регионе Asia-Pacific. Во многих случаях приложения заранее выбирали индийский код страны (+91) и использовали UPI (Unified Payments Interface) для проведения транзакций.

Заметная особенность схемы заключалась в том, что приложения не запрашивали навязчивые разрешения, но при этом не имели и никакой легитимной функции для получения реальных данных связи. Вместо этого они генерировали фиктивную информацию, чтобы демонстрировать её пользователям как якобы подлинную.

Как работала схема оплаты

Фальшивые приложения использовали смесь платёжных механизмов, что осложняло возврат средств для пострадавших пользователей. Часть приложений действительно задействовала официальную систему биллинга Google Play, а значит, формально подпадала под стандартные механизмы защиты и возврата средств, предусмотренные политиками Google.

Однако другие приложения обходили эту систему. Они перенаправляли пользователей на оплату через сторонние приложения с поддержкой UPI либо встраивали формы прямой оплаты банковскими картами непосредственно в интерфейс самих приложений. Такие действия не только нарушали платежные политики Google, но и создавали дополнительные финансовые риски: если платёж совершался самостоятельно или через внешние сервисы, вернуть деньги через Google было значительно сложнее.

Как было начато расследование

Расследование CallPhantom началось с обсуждения на Reddit приложения, которое утверждало, что может получить историю звонков по номеру телефона. Именно эта публикация привлекла внимание исследователей и позволила выйти на более широкую схему мошенничества.

По данным ESET, приложения обманным образом рекламировались и нередко маскировали свою деятельность под видимость законности. Для этого использовались названия, создававшие впечатление связи с правительственными структурами India.

Технические детали схемы

Ситуацию дополнительно осложняло то, что приложения CallPhantom взаимодействовали с серверами управления через Firebase Cloud Messaging. Это способствовало попыткам мошеннического выставления счетов и поддержанию работы схемы.

Для имитации подлинных данных коммуникации пользовательская информация сфабриковывалась с использованием жестко закодированных индийских номеров и фиктивных временных меток. Таким образом приложения создавали у пользователей иллюзию получения реальных журналов вызовов и другой коммуникационной информации.

Почему это важно

  • мошеннические приложения массово распространялись через официальный магазин Google Play;
  • схема охватила миллионы пользователей, прежде всего в India и Asia-Pacific;
  • использование разных платёжных каналов осложняло возврат средств;
  • приложения имитировали легитимный сервис, не предоставляя реальной функциональности;
  • расследование показало, что даже отсутствие агрессивных разрешений не гарантирует безопасность приложения.

CallPhantom демонстрирует, как мошеннические схемы могут маскироваться под полезные сервисы, опираясь не на техническое взломное ПО, а на социальную инженерию, подмену функциональности и обход платёжных правил. Для пользователей это означает необходимость особенно внимательно оценивать обещания приложений, которые заявляют о доступе к данным, получить которые они в принципе не могут.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: