Cercetătorii în domeniul securității cibernetice au descoperit o campanie sofisticată de malware mobil care a folosit aproape 250 de aplicații Android frauduloase pentru a orchestra o schemă ascunsă de fraudă a facturării, transmite AOL.
Operațiunea a vizat în mod selectiv victimele pe baza locațiilor lor geografice și a operatorilor de telefonie mobilă, înscriindu-le în secret la servicii costisitoare de abonament premium. Conform rapoartelor firmei de securitate Zimperium, aplicațiile rău intenționate se deghizau în jocuri populare și platforme de socializare, inclusiv TikTok, Minecraft, Grand Theft Auto, Instagram Threads și Facebook Messenger.
Campania a vizat în principal utilizatorii din Malaezia, care au reprezentat peste jumătate din infecții, urmați de Thailanda și România, cu aproximativ 15% fiecare, și Croația, cu 1%. În aceste regiuni, malware-ul verifica activ cartelele SIM ale dispozitivelor pentru a-și executa frauda numai atunci când se potrivea cu anumiți furnizori de rețea.
Operațiunea ilicită a utilizat trei variante distincte de malware, cu complexitate crescândă. Prima variantă a folosit injectarea de JavaScript și fluxuri de lucru web automatizate pentru a simula clicurile utilizatorilor pe pagini ascunse. De asemenea, a abuzat de API-ul SMS Retriever al Google pentru a intercepta parolele de unică folosință și a indus utilizatorii în eroare, făcându-i să creadă că doar își autentifică un cont de joc.
A doua variantă s-a concentrat pe utilizatorii din Thailanda și a executat procese ascunse în fundal pentru a accesa portalurile operatorilor și a furat cookie-uri pentru a menține sesiunile active. A treia versiune a integrat notificări Telegram în timp real, permițând actorilor amenințării să monitorizeze instantaneu infecțiile reușite.
Deși Zimperium a urmărit campania din martie 2025 până când activitatea a încetat în ianuarie 2026, părți ale infrastructurii de comandă rămân funcționale. Rămâne neclar cum au fost distribuite inițial aplicațiile infectate. Google a declarat că niciuna dintre cele 250 de aplicații rău intenționate nu a fost disponibilă în magazinul său oficial, menționând că Play Protect protejează automat utilizatorii de versiunile cunoscute ale malware-ului.
Cu toate acestea, experții din industrie consideră incidentul drept o dovadă a unor lacune sistemice mai ample în securitatea aplicațiilor și în controalele ecosistemului mobil.
Referitor la exploatarea instrumentelor standard pentru dezvoltatori, inginerul de cercetare în domeniul IA Vineeta Sangaraju a remarcat că „acestea nu sunt suprafețe de atac obscure, ci sunt caracteristici ale platformei documentate și utilizate pe scară largă, iar controalele care reglementează utilizarea lor nu au ținut pasul cu potențialul lor de abuz”.
About the Author
