Нова шахрайська схема з використанням шкідливого ПЗ на Android непомітно здійснює платіжне шахрайство, націлюючись на користувачів залежно від їхніх мобільних операторів і місця перебування.
Виявлена кібербезпековою групою Zimperium кампанія використовувала майже 250 Android-застосунків для видавання себе за популярні ігри та соціальні мережі, включно з TikTok, Minecraft, Grand Theft Auto, Instagram Threads і Facebook Messenger. Після завантаження вони списували з нічого не підозрюючих користувачів преміальні платежі, підключаючи їх до автоматизованих систем підписок.
Схема використовувала просунуті техніки, такі як JavaScript-ін’єкції, перехоплення одноразових паролів і автоматизацію WebView, щоб уникати виявлення, автоматизувати підписки, відстежувати шахрайські операції та викрадати дані. Розгорнуте в Малайзії, Румунії, Таїланді та Хорватії шкідливе ПЗ зчитувало SIM-карти жертв і активувалося лише для певних операторів.
“Zimperium вперше виявила цю схему в березні 2025 року та відстежувала її щонайменше до січня 2026 року. Стурбовані користувачі можуть звернутися до GitHub-репозиторію Zimperium для перевірки індикаторів компрометації. Досі незрозуміло, як заражені застосунки знаходили своїх жертв”, — пише видання BGR.
Однак Google наполягає, що жоден із цих 250 застосунків недоступний у її магазині застосунків, повідомляє Dark Reading. Представник Google також заявив:
“Користувачі Android автоматично захищені від відомих версій цього шкідливого ПЗ за допомогою Google Play Protect, який увімкнений за замовчуванням на Android-пристроях із Google Play Services”.
Попри ці заяви, експерти стверджують, що атака свідчить про масштабні проблеми безпеки маркетплейсів. Під час однієї з атак минулого року кіберхакери перетворили 150 розширень Google Chrome на віруси, заразивши понад 4,3 мільйона браузерів. І хоча користувачі Android можуть вживати заходів для захисту своєї безпеки, атаки на кшталт виявлених Zimperium вимагають повного перегляду системи безпеки застосунків.
Три варіанти шкідливого ПЗ — один результат
Хакери використовували три варіанти шкідливого ПЗ для атак на користувачів. Перший запускав “автоматизовану систему підписок”, щоб підключати жертв до платних підписок без їхнього відома. Найскладніший із трьох варіантів після завантаження зчитував SIM-картку пристрою, щоб атакувати операторів, жорстко прописаних у коді, таких як малайзійський DiGi.
“Щоб уникнути виявлення, застосунки показували нешкідливі вебсторінки, якщо жертва не належала до визначених мереж операторів. Якщо ж користувач входив до мережі з жорстко прописаним білінгом, шкідливе ПЗ застосовувало “хитру тактику соціальної інженерії”, щоб змусити користувачів повірити, що вони проходять автентифікацію ігрового акаунта”, — каже BGR.
Потім застосунок зловживав SMS Retriever API від Google для перехоплення паролів, після чого запускав JavaScript-команди на прихованих вебсторінках для оформлення преміального контенту через білінговий портал мобільного оператора. Другий варіант був націлений на користувачів у Таїланді через преміальні SMS-повідомлення, які підключали їх до платних сервісів.
“Використовуючи багаторівневу систему для уникнення виявлення, це шкідливе ПЗ, за даними Zimperium, показувало користувачам на вигляд легітимні вебсторінки, тоді як “шкідливе ПЗ таємно завантажує приховані WebView у фоновому режимі для доступу до додаткових порталів білінгу операторів”, — зазначає BGR.
За даними Zimperium, зловмисники, які використовували цей варіант шкідливого ПЗ, також застосовували “просунуту техніку викрадення cookie”, щоб “підтримувати автентифіковані сесії з білінговою системою оператора”. Третя версія схеми “поєднує можливості SMS-шахрайства попередніх варіантів із миттєвими сповіщеннями для атакувальників через Telegram, надаючи їм видимість успішних заражень у реальному часі”. Інтеграція Telegram-каналу підкреслює складність атак, дозволяючи шахраям відстежувати показники успішності та оптимізувати операції.
Цілеспрямована схема з далекосяжними наслідками
Схема була дуже специфічною у виборі цілей. Понад половина жертв шахраїв використовувала SIM-карти Малайзії. Користувачі з Таїланду та Румунії становили приблизно по 15% атак, тоді як на Хорватію припав 1% активності операції. У межах цих чотирьох юрисдикцій шкідливе ПЗ атакувало щонайменше 10 операторів. У порядку поширеності до списку входять DiGi, Marxis, Celcom, U Mobile, Telekom, AIS, Orange, Vodafone, TrueMove H і dtac TriNet.
Хоча кампанію вперше виявили у березні 2025 року, пік її активності припав на вересень 2025 року. На жаль, попри те, що востаннє кампанія була активною у січні, у звіті Zimperium підкреслюється, що “частини інфраструктури залишаються працездатними”. Але ці атаки можуть свідчити про масштабні провали у сфері кібербезпеки.
“Маніпулювання легітимними функціями застосунків, такими як Google SMS Retriever та Android CookieManager API, підкреслює поширені прогалини безпеки. Інженерка з досліджень ШІ Vineeta Sangaraju заявила Dark Reading, що це не маловідомі поверхні атак — це задокументовані, широко використовувані функції платформи, а механізми контролю їхнього використання не встигають за потенціалом їхніх зловживань”. Кампанія також демонструє складність контролю за завантаженням застосунків, особливо коли користувачі користуються сторонніми маркетплейсами”, – додає BGR.
Втім, заражені застосунки та розширення браузерів продовжують проникати навіть у легітимні магазини. Наприклад, у квітні 2026 року дослідники кібербезпеки з Socket виявили понад 100 розширень Google Chrome, які викрадали дані про перегляд користувачів. Хоча користувачі повинні бути уважними під час завантаження нових програм, постійність цих проблем свідчить про те, що компаніям необхідно переосмислити свій підхід до безпеки маркетплейсів.
У Google Play Store виявили мережу з понад 280 шахрайських застосунків із 2,2 млрд встановлень
Джерело: BGR
Повідомити про помилку
Текст, який буде надіслано нашим редакторам: