W Google Play znalezionych zostało aż 470 szkodliwych aplikacji, które zapisywały ofiary na płatne subskrypcje. Aplikacje mogły okraść ponad 100 milionów osób. Straty szacowane są na setki milionów.
Operacja o nazwie Dark Herring (Ciemny Śledź) była prowadzona na szeroką skalę przez prawie dwa lata. Pierwsza aplikacja, należąca do tej kampanii, została opublikowana w Google Play w marcu 2020 roku. W sumie 470 aplikacji mogło okraść nawet 105 milionów użytkowników w 70 krajach. Jak to robiły? Bez wiedzy użytkowników uruchamiały subskrypcje, kosztujące po 15 dolarów miesięcznie. Korzystały przy tym z mechanizmów Direct Carrier Billing, czyli dopisywania opłaty z Google Play do rachunku telefonicznego u operatora. Dzięki temu opłata była bardziej rozmyta, zwłaszcza jeśli na jednym rachunku rozliczane są opłaty za kilka numerów telefonicznych. Wykrycie kradzieży zajmowało ofiarom nawet kilka miesięcy.
Zobacz: Google Play znów straszy. Popularna aplikacja kradnie pieniądze
Kampania Dark Herring została odkryta przez partnera Google Play – Zimperium zLabs. Niesamowite jest w niej to, że aplikacje stanowiące zagrożenie były obecne w Google Play nie tydzień, nie miesiąc, ale prawie dwa lata. No i wcale nie było ich mało, bo prawie pół tysiąca. Jak to możliwe przy wszystkich zabezpieczeniach, jakimi chwali się sklep Play?
Ochrona antywirusowa w sklepie z aplikacjami dla Androida wyłapuje wiele podejrzanych zachowań, ale tym razem cyberprzestępcy zrobili wszystko na raz. Do sklepu trafiło dużo aplikacji, które mogły się ze sobą komunikować, kod był zaciemniony, a ponadto używały serwerów proxy przy pierwszym etapie ataku. Aplikacje nie miały szkodliwego kodu, ale w każdej z nich znalazł się zaszyfrowany ciąg znaków, kierujący do szkodliwego komponentu w chmurze Amazon CloudFront. To z tego miejsca atakujący wysyłali linki do kolejnych skryptów JavaScript, które były ściągane na telefony ofiar.
I tak kawałek po kawałku przygotowywany był grunt pod właściwy atak. Skrypty umożliwiały konfigurację aplikacji, pobierały informacje o operatorze i możliwościach subskrybowania usług. W końcu aplikacja wyświetlała stronę z prośbą o podanie numeru telefonu, rzekomo w celu otrzymania kodu potwierdzającego ten numer, a tak naprawdę, by zapisać ten numer do subskrypcji… i okradać właściciela.
Zobacz: Thermomix w promocji? Uważaj, co miesiąc będzie przychodzić rachunek
Kampania była prowadzona w 70 krajach, w tym w Polsce, ale u nas ofiar jest relatywnie niewiele. Największe ryzyko utraty pieniędzy w ten sposób istniało w Bułgarii, Finlandii, Norwegii, Szwecji, Grecji, Egipcie, Indiach, Pakistanie, Tunezji, Iraku i Arabii Saudyjskiej. Co te kraje mają ze sobą wspólnego? Na pewno nie klimat.
Chodzi zapisy prawne, chroniące konsumentów przed oszustwami wykorzystującymi dopisanie opłat do rachunku telefonicznego. Nawet jeśli abonenci zorientowali się, że są okradani, mają nikłe szanse na cofnięcie transakcji. To oznacza, że przestępcy mogą na nich więcej zarobić.
Lista aplikacji, które brały udział w kampanii, została udostępniona na GitHubie. Sprawdź, czy korzystasz z którejś z nich. W większości to gry, ale jest też kilka przydatnych narzędzi.
Źródło zdjęć: własne, Zimperium zLabs
Źródło tekstu: Zimperium zLabs
