Близько 250 фейкових Android-застосунків із Google Play тихо крадуть мільйони з SIM-карт: Google каже, що все захищено

Новая мошенническая схема с использованием вредоносного ПО на Android незаметно осуществляет платежное мошенничество, нацеливаясь на пользователей в зависимости от их мобильных операторов и места пребывания.

Обнаруженная кибербезопасной группой Zimperium кампания использовала почти 250 Android-приложений для выдачи себя за популярные игры и социальные сети, включая TikTok, Minecraft, Grand Theft Auto, Instagram Threads и Facebook Messenger. После загрузки они списывали с ничего не подозревающих пользователей премиальные платежи, подключая их к автоматизированным системам подписок.

Схема использовала продвинутые техники, такие как JavaScript-инъекции, перехват одноразовых паролей и автоматизацию WebView, чтобы избегать обнаружения, автоматизировать подписки, отслеживать мошеннические операции и похищать данные. Развернутое в Малайзии, Румынии, Таиланде и Хорватии вредоносное ПО считывало SIM-карты жертв и активировалось только для определенных операторов.

«Zimperium впервые обнаружила эту схему в марте 2025 года и отслеживала ее как минимум до января 2026 года. Обеспокоенные пользователи могут обратиться к GitHub-репозиторию Zimperium для проверки индикаторов компрометации. До сих пор непонятно, как зараженные приложения находили своих жертв», — пишет издание BGR.

Однако Google настаивает, что ни одно из этих 250 приложений недоступно в ее магазине приложений, сообщает Dark Reading. Представитель Google также заявил:

«Пользователи Android автоматически защищены от известных версий этого вредоносного ПО с помощью Google Play Protect, который включен по умолчанию на Android-устройствах с Google Play Services».

Несмотря на эти заявления, эксперты утверждают, что атака свидетельствует о масштабных проблемах безопасности маркетплейсов. Во время одной из атак в прошлом году киберхакеры превратили 150 расширений Google Chrome в вирусызаразив более 4,3 миллиона браузеров. И хотя пользователи Android могут принимать меры для защиты своей безопасности, атаки вроде обнаруженных Zimperium требуют полного пересмотра системы безопасности приложений.

Три варианта вредоносного ПО — один результат

Хакеры использовали три варианта вредоносного ПО для атак на пользователей. Первый запускал «автоматизированную систему подписок», чтобы подключать жертв к платным подпискам без их ведома. Самый сложный из трех вариантов после загрузки считывал SIM-карту устройства, чтобы атаковать операторов, жестко прописанных в коде, таких как малазийский DiGi.

«Чтобы избежать обнаружения, приложения показывали безобидные веб-страницы, если жертва не принадлежала к определенным сетям операторов. Если же пользователь входил в сеть с жестко прописанным биллингом, вредоносное ПО применяло «хитрую тактику социальной инженерии», чтобы заставить пользователей поверить, что они проходят аутентификацию игрового аккаунта», — говорит BGR.

Затем приложение злоупотребляло SMS Retriever API от Google для перехвата паролей, после чего запускало JavaScript-команды на скрытых веб-страницах для оформления премиального контента через биллинговый портал мобильного оператора. Второй вариант был нацелен на пользователей в Таиланде через премиальные SMS-сообщения, которые подключали их к платным сервисам.

«Используя многоуровневую систему для избежания обнаружения, это вредоносное ПО, по данным Zimperium, показывало пользователям на вид легитимные веб-страницы, тогда как «вредоносное ПО тайно загружает скрытые WebView в фоновом режиме для доступа к дополнительным порталам биллинга операторов», — отмечает BGR.

По данным Zimperium, злоумышленники, которые использовали этот вариант вредоносного ПО, также применяли «продвинутую технику похищения cookie», чтобы «поддерживать аутентифицированные сессии с биллинговой системой оператора». Третья версия схемы «сочетает возможности SMS-мошенничества предыдущих вариантов с мгновенными оповещениями для атакующих через Telegram, предоставляя им видимость успешных заражений в реальном времени». Интеграция Telegram-канала подчеркивает сложность атак, позволяя мошенникам отслеживать показатели успешности и оптимизировать операции.

Целенаправленная схема с далеко идущими последствиями

Схема была очень специфической в выборе целей. Более половины жертв мошенников использовали SIM-карты Малайзии. Пользователи из Таиланда и Румынии составляли примерно по 15% атак, тогда как на Хорватию пришелся 1% активности операции. У в пределах этих четырех юрисдикций вредоносное ПО атаковало по меньшей мере 10 операторов. В порядке распространенности в список входят DiGi, Marxis, Celcom, U Mobile, Telekom, AIS, Orange, Vodafone, TrueMove H и dtac TriNet.

Хотя кампанию впервые обнаружили в марте 2025 года, пик ее активности пришелся на сентябрь 2025 года. К сожалению, несмотря на то, что последний раз кампания была активной в январе, в отчете Zimperium подчеркивается, что «части инфраструктуры остаются работоспособными». Но эти атаки могут свидетельствовать о масштабных провалах в сфере кибербезопасности.

«Манипулирование легитимными функциями приложений, такими как Google SMS Retriever и Android CookieManager API, подчеркивает распространенные пробелы в безопасности. Инженер по исследованиям ИИ Vineeta Sangaraju заявила Dark Reading, что это не малоизвестные поверхности атак — это задокументированные, широко используемые функции платформы, а механизмы контроля их использования не успевают за потенциалом их злоупотреблений». Кампания также демонстрирует сложность контроля за загрузкой приложений, особенно когда пользователи пользуются сторонними маркетплейсами», — добавляет BGR.

Впрочем, зараженные приложения и расширения браузеров продолжают проникать даже в легитимные магазины. Например, в апреле 2026 года исследователи кибербезопасности из Socket обнаружили более 100 расширений Google Chrome, которые похищали данные о просмотре пользователей. Хотя пользователи должны быть внимательными при загрузке новых приложений, постоянство этих проблем свидетельствует о том, что компаниям необходимо переосмыслить свой подход к безопасности маркетплейсов.