⚡ Терміново
UkrPulse
UkrPulse
Кібербезпека

Нова шахрайська схема на Android: як хакери обманюють через підписки

· 4 хв читання
Нова шахрайська схема на Android: як хакери обманюють через підписки
Шахраї запустили нову масштабну схему платіжного шахрайства на Android, яка через 250 фальшивих застосунків (маскувалися під TikTok, Minecraft та інші популярні програми) непомітно підключала користувачів до платних підписок. Атака діяла в Малайзії, Румунії, Таїланді та Хорватії, використовуючи складні техніки обману, хоча Google стверджує, що шкідливі програми не потрапляли до офіційного Play Market.

Нова шахрайська схема на Android: як хакери обманюють користувачів через підписки

Кіберзлочинці розробили витончену схему, яка непомітно здійснює платіжне шахрайство на пристроях Android. Атака націлена на користувачів залежно від їхнього мобільного оператора та географічного розташування.

Дослідники кібербезпекової компанії Zimperium виявили кампанію, що використовувала майже 250 шкідливих застосунків. Вони маскувалися під популярні ігри та соціальні мережі, зокрема TikTok, Minecraft, Grand Theft Auto, Instagram Threads та Facebook Messenger. Після встановлення програми таємно підключали користувачів до платних підписок, списуючи кошти без їхнього відома.

Шахраї застосовували передові техніки: JavaScript-ін'єкції, перехоплення одноразових паролів та автоматизацію WebView. Це дозволяло уникати виявлення, здійснювати підписки та викрадати дані. Шкідливе ПЗ діяло в Малайзії, Румунії, Таїланді та Хорватії, активуючись лише для певних мобільних операторів після зчитування SIM-карти.

"Zimperium вперше зафіксувала цю схему у березні 2025 року, відстежуючи її щонайменше до січня 2026 року, - йдеться у повідомленні. - Користувачі можуть перевірити індикатори компрометації у GitHub-репозиторії компанії. Поки незрозуміло, як саме заражені застосунки знаходили своїх жертв".

У Google запевняють, що жоден із цих 250 застосунків не був доступний у Google Play Store. Представник компанії заявив:

"Користувачі Android захищені від відомих версій цього шкідливого ПЗ за допомогою Google Play Protect, який увімкнено за замовчуванням на пристроях із Google Play Services".

Попри це, експерти наголошують: атака свідчить про системні проблеми безпеки маркетплейсів. Минулого року хакери перетворили 150 розширень Google Chrome на шкідливі програми, заразивши понад 4,3 мільйона браузерів. Такі випадки вимагають перегляду підходів до безпеки застосунків.

Як діяло шкідливе ПЗ: три варіанти атаки

Зловмисники використовували три різні типи шкідливих програм, кожен з яких мав свою специфіку:

  • Перший варіант запускав автоматизовану систему підписок, підключаючи жертв до платних сервісів без їхньої згоди. Найскладніша версія зчитувала дані SIM-карти та атакувала лише певних операторів, зокрема малайзійського DiGi.
  • Для уникнення виявлення застосунки показували нешкідливі вебсторінки, якщо користувач не належав до цільової мережі оператора. У разі потрапляння до потрібної мережі шкідливе ПЗ застосовувало соціальну інженерію, імітуючи автентифікацію ігрового акаунта.
  • Потім програма зловживала SMS Retriever API від Google для перехоплення одноразових паролів. Після цього запускалися JavaScript-команди на прихованих сторінках для оформлення платного контенту через білінговий портал оператора.

Другий варіант був націлений на користувачів у Таїланді через преміальні SMS-повідомлення, які підключали їх до платних сервісів.

"Використовуючи багаторівневу систему обфускації, це шкідливе ПЗ показувало користувачам легітимні вебсторінки, одночасно запускаючи приховані WebView у фоновому режимі для доступу до білінгових порталів операторів", - зазначають дослідники.

Третій варіант поєднував можливості попередніх двох та додавав миттєві сповіщення для зловмисників через Telegram. Це дозволяло шахраям відстежувати успішність атак у реальному часі та оптимізувати свої дії.

Географія атак та їхні наслідки

Кампанія мала чітку географічну спрямованість. Понад половина жертв використовували SIM-карти малайзійських операторів. Користувачі з Таїланду та Румунії становили по 15% атак, а на Хорватію припав лише 1%. У цих чотирьох країнах шкідливе ПЗ атакувало щонайменше 10 операторів, серед яких DiGi, Marxis, Celcom, U Mobile, Telekom, AIS, Orange, Vodafone, TrueMove H та dtac TriNet.

Хоча кампанію виявили у березні 2025 року, пік її активності припав на вересень того ж року. Остання зафіксована активність датується січнем 2026 року, проте дослідники попереджають: "Частини інфраструктури залишаються працездатними".

Експерти наголошують на системних проблемах кібербезпеки. "Маніпулювання легітимними функціями застосунків, такими як Google SMS Retriever та Android CookieManager API, виявляє суттєві прогалини в захисті, - зазначила інженерка з досліджень ШІ Vineeta Sangaraju. - Це не маловідомі вектори атак, а широко використовувані функції платформи, контроль за якими не встигає за потенціалом їхнього зловживання".

Кампанія також демонструє складність контролю за завантаженням застосунків, особливо через сторонні маркетплейси. Навіть легітимні магазини не застраховані від проникнення шкідливих програм. Так, у квітні 2026 року дослідники виявили понад 100 розширень Google Chrome, які викрадали історію перегляду користувачів.

Хоча користувачі повинні бути обережними під час встановлення нових програм, постійність таких атак свідчить про необхідність кардинальних змін у підходах до безпеки маркетплейсів.

Джерело: itc.ua
#Android #шахрайство #кібербезпека. #підписки #шкідливі програми #JavaScript-ін'єкції #SIM-карта

Поділитись:

Facebook Telegram Viber Twitter/X

Читайте також