Image: Shutterstock / BGR
Новая мошенническая схема с использованием вредоносного ПО на Android незаметно осуществляет платежное мошенничество, нацеливаясь на пользователей в зависимости от их мобильных операторов и места пребывания.
Обнаруженная кибербезопасной группой Zimperium кампания использовала почти 250 Android-приложений для выдачи себя за популярные игры и социальные сети, включая TikTok, Minecraft, Grand Theft Auto, Instagram Threads и Facebook Messenger. После загрузки они списывали с ничего не подозревающих пользователей премиальные платежи, подключая их к автоматизированным системам подписок.
Схема использовала продвинутые техники, такие как JavaScript-инъекции, перехват одноразовых паролей и автоматизацию WebView, чтобы избегать обнаружения, автоматизировать подписки, отслеживать мошеннические операции и похищать данные. Развернутое в Малайзии, Румынии, Таиланде и Хорватии вредоносное ПО считывало SIM-карты жертв и активировалось только для определенных операторов.
«Zimperium впервые обнаружила эту схему в марте 2025 года и отслеживала ее как минимум до января 2026 года. Обеспокоенные пользователи могут обратиться к GitHub-репозиторию Zimperium для проверки индикаторов компрометации. До сих пор непонятно, как зараженные приложения находили своих жертв», — пишет издание BGR.
Однако Google настаивает, что ни одно из этих 250 приложений недоступно в ее магазине приложений, сообщает Dark Reading. Представитель Google также заявил:
«Пользователи Android автоматически защищены от известных версий этого вредоносного ПО с помощью Google Play Protect, который включен по умолчанию на Android-устройствах с Google Play Services».
Несмотря на эти заявления, эксперты утверждают, что атака свидетельствует о масштабных проблемах безопасности маркетплейсов. Во время одной из атак в прошлом году киберхакеры превратили 150 расширений Google Chrome в вирусызаразив более 4,3 миллиона браузеров. И хотя пользователи Android могут принимать меры для защиты своей безопасности, атаки вроде обнаруженных Zimperium требуют полного пересмотра системы безопасности приложений.
Хакеры использовали три варианта вредоносного ПО для атак на пользователей. Первый запускал «автоматизированную систему подписок», чтобы подключать жертв к платным подпискам без их ведома. Самый сложный из трех вариантов после загрузки считывал SIM-карту устройства, чтобы атаковать операторов, жестко прописанных в коде, таких как малазийский DiGi.
«Чтобы избежать обнаружения, приложения показывали безобидные веб-страницы, если жертва не принадлежала к определенным сетям операторов. Если же пользователь входил в сеть с жестко прописанным биллингом, вредоносное ПО применяло «хитрую тактику социальной инженерии», чтобы заставить пользователей поверить, что они проходят аутентификацию игрового аккаунта», — говорит BGR.
Затем приложение злоупотребляло SMS Retriever API от Google для перехвата паролей, после чего запускало JavaScript-команды на скрытых веб-страницах для оформления премиального контента через биллинговый портал мобильного оператора. Второй вариант был нацелен на пользователей в Таиланде через премиальные SMS-сообщения, которые подключали их к платным сервисам.
«Используя многоуровневую систему для избежания обнаружения, это вредоносное ПО, по данным Zimperium, показывало пользователям на вид легитимные веб-страницы, тогда как «вредоносное ПО тайно загружает скрытые WebView в фоновом режиме для доступа к дополнительным порталам биллинга операторов», — отмечает BGR.
По данным Zimperium, злоумышленники, которые использовали этот вариант вредоносного ПО, также применяли «продвинутую технику похищения cookie», чтобы «поддерживать аутентифицированные сессии с биллинговой системой оператора». Третья версия схемы «сочетает возможности SMS-мошенничества предыдущих вариантов с мгновенными оповещениями для атакующих через Telegram, предоставляя им видимость успешных заражений в реальном времени». Интеграция Telegram-канала подчеркивает сложность атак, позволяя мошенникам отслеживать показатели успешности и оптимизировать операции.
Схема была очень специфической в выборе целей. Более половины жертв мошенников использовали SIM-карты Малайзии. Пользователи из Таиланда и Румынии составляли примерно по 15% атак, тогда как на Хорватию пришелся 1% активности операции. У в пределах этих четырех юрисдикций вредоносное ПО атаковало по меньшей мере 10 операторов. В порядке распространенности в список входят DiGi, Marxis, Celcom, U Mobile, Telekom, AIS, Orange, Vodafone, TrueMove H и dtac TriNet.
Хотя кампанию впервые обнаружили в марте 2025 года, пик ее активности пришелся на сентябрь 2025 года. К сожалению, несмотря на то, что последний раз кампания была активной в январе, в отчете Zimperium подчеркивается, что «части инфраструктуры остаются работоспособными». Но эти атаки могут свидетельствовать о масштабных провалах в сфере кибербезопасности.
«Манипулирование легитимными функциями приложений, такими как Google SMS Retriever и Android CookieManager API, подчеркивает распространенные пробелы в безопасности. Инженер по исследованиям ИИ Vineeta Sangaraju заявила Dark Reading, что это не малоизвестные поверхности атак — это задокументированные, широко используемые функции платформы, а механизмы контроля их использования не успевают за потенциалом их злоупотреблений». Кампания также демонстрирует сложность контроля за загрузкой приложений, особенно когда пользователи пользуются сторонними маркетплейсами», — добавляет BGR.
Впрочем, зараженные приложения и расширения браузеров продолжают проникать даже в легитимные магазины. Например, в апреле 2026 года исследователи кибербезопасности из Socket обнаружили более 100 расширений Google Chrome, которые похищали данные о просмотре пользователей. Хотя пользователи должны быть внимательными при загрузке новых приложений, постоянство этих проблем свидетельствует о том, что компаниям необходимо переосмыслить свой подход к безопасности маркетплейсов.
Источник: BGR
Контент сайту призначений для осіб віком від 21 року. Переглядаючи матеріали, ви підтверджуєте свою відповідність віковим обмеженням.
Cуб'єкт у сфері онлайн-медіа; ідентифікатор медіа - R40-06029.