Μια νέα οργανωμένη απάτη που αφορά κακόβουλα λογισμικά σε Android έφερε στο φως η Zimperium, αποκαλύπτοντας πώς σχεδόν 250 ψεύτικα apps κατάφεραν να χρεώνουν ανυποψίαστους χρήστες μέσω του λογαριασμού κινητής τηλεφωνίας τους.
Οι εφαρμογές παρίσταναν δημοφιλείς πλατφόρμες και παιχνίδια, όπως TikTok, Facebook Messenger, Instagram Threads, Minecraft και Grand Theft Auto, με στόχο να πείσουν τους χρήστες να τις εγκαταστήσουν. Στην πραγματικότητα, όμως, πίσω από το γνώριμο «περιτύλιγμα» κρυβόταν ένα οργανωμένο σύστημα χρεώσεων μέσω premium SMS και υπηρεσιών carrier billing, δηλαδή απευθείας χρεώσεων στον λογαριασμό κινητού.
Το πιο ανησυχητικό στοιχείο είναι ότι οι εφαρμογές δεν λειτουργούσαν με τον ίδιο τρόπο σε όλες τις συσκευές. Το κακόβουλο λογισμικό έλεγχε τη SIM και τον πάροχο κινητής τηλεφωνίας και ενεργοποιούσε την απάτη μόνο όταν εντόπιζε συγκεκριμένα δίκτυα. Η νέα απάτη έβαζε στο στόχαστρο κυρίως χρήστες σε Μαλαισία, Ταϊλάνδη, Ρουμανία και Κροατία. Αν η συσκευή δεν ταίριαζε στο προφίλ που αναζητούσαν οι δράστες, η εφαρμογή εμφάνιζε αθώο περιεχόμενο, ώστε να περνά απαρατήρητη.
Πώς γινόταν η κρυφή χρέωση
Σύμφωνα με την ομάδα zLabs της Zimperium, οι δράστες χρησιμοποιούσαν τεχνικές όπως WebView automation, JavaScript injection και υποκλοπή κωδικών OTP μέσω του Google SMS Retriever API. Πρόκειται για μια νόμιμη λειτουργία του Android, που κανονικά επιτρέπει στις εφαρμογές να διαβάζουν αυτόματα κωδικούς επιβεβαίωσης. Στα χέρια των επιτιθέμενων, όμως, μετατράπηκε σε εργαλείο για την εγγραφή των χρηστών σε συνδρομητικές υπηρεσίες χωρίς τη συγκατάθεσή τους.
Σε ορισμένες περιπτώσεις, το malware μπορούσε ακόμη και να απενεργοποιήσει το WiFi, ώστε η συσκευή να συνδεθεί υποχρεωτικά μέσω δικτύου κινητής. Με αυτόν τον τρόπο ολοκληρωνόταν ευκολότερα η διαδικασία χρέωσης, καθώς οι υπηρεσίες carrier billing συχνά βασίζονται στην αναγνώριση του χρήστη μέσα από το δίκτυο του παρόχου.
Η Zimperium εντόπισε τρεις βασικές παραλλαγές του κακόβουλου λογισμικού:
- Η πρώτη αυτοματοποιούσε εγγραφές σε συνδρομητικές υπηρεσίες, στοχεύοντας παρόχους όπως DiGi, Maxis, Celcom και U Mobile.
- Η δεύτερη επικεντρωνόταν κυρίως στην Ταϊλάνδη, συνδυάζοντας premium SMS με κλοπή cookies μέσω του Android CookieManager API.
- Η τρίτη έστελνε ενημερώσεις στους δράστες μέσω Telegram, δίνοντάς τους εικόνα για τις εγκαταστάσεις, τις συσκευές, τους παρόχους και τις επιτυχημένες χρεώσεις.
Η «καμπάνια» φέρεται να ξεκίνησε τον Μάρτιο του 2025 και να παρέμεινε ενεργή τουλάχιστον έως τις αρχές Ιανουαρίου 2026, με «κομμάτια« της να παραμένουν ενεργά. Η Google αναφέρει ότι οι συγκεκριμένες εφαρμογές δεν βρίσκονται στο Play Store και ότι το Google Play Protect προστατεύει τους χρήστες από γνωστές εκδόσεις του malware.
Το περιστατικό, ωστόσο, υπενθυμίζει έναν βασικό κανόνα ασφαλείας: οι χρήστες Android πρέπει να αποφεύγουν την εγκατάσταση apps από άγνωστες πηγές, να ελέγχουν προσεκτικά τα δικαιώματα που ζητούν οι εφαρμογές και να παρακολουθούν τυχόν περίεργες χρεώσεις στον λογαριασμό κινητής. Μια εφαρμογή που μοιάζει με γνωστό social media app ή δημοφιλές παιχνίδι μπορεί τελικά να αποδειχθεί μια «πανάκριβη» παγίδα.
