Google iz Play prodavnice uklonio 470 aplikacija umešanih u prevaru sa pretplatom

Mobilni telefoni, 28.01.2022, 00:00 AM

U oktobru je tim Zimperium zLabsa obelodanio detalje o prevari koja je nazvana „GriftHorse“, masovnoj kampanji zloupotrebe mobilnih premium usluga koja je ugrozila oko 10 miliona korisnika Androida širom sveta. Pokušavajući da otkrije neke druge slične prevare, istraživači zLabsa su otkrili još jednu sličnu kampanju sa više od 105 miliona žrtava iz celog sveta, koju su nazvali „Dark Herring“. Ukupna šteta koju su pretrpeli prevareni korisnici mogla bi dostići stotine miliona dolara.

Prevara sa pretplatama na premium usluge za Android, Dark Herring, traje skoro dve godine. Prevaranti su koristili 470 aplikacija iz Google Play prodavnice, zvaničnog i najpouzdanijeg izvora aplikacija za Android. Prva aplikacija korišćena u operaciji Dark Herring podneta je Googleu marta 2020. godine.

Lažne aplikacije koje funkcionišu kao “scamware”, instaliralo je 105 miliona korisnika u 70 zemalja, koji su se bez svoje volje i znanja na taj način pretplatili na usluge koje su naplaćivane 15 dolara mesečno putem direktnog zaduživanja računa za telekomunikacione usluge mobilnog operatera („Direct Carrier Billing“, DCB). DCB je opcija plaćanja koja omogućava ljudima da kupuju digitalni sadržaj iz Play prodavnice, a da troškove plaćaju preko telefonskog računa.

Korisnicima su prikazivane zlonamerne veb stranice u zavisnosti od zemlje u kojoj se nalaze a na osnovu IP adrese i jezika uređaja. Ovaj trik društvenog inženjeringa se pokazao izuzetno uspešnim jer je korisnicima lakše da dele informacije na veb sajtu na svom jeziku.

Za razliku od mnogih drugih zlonamernih aplikacija koje ne rade ono što obećavaju, ove aplikacije su funkcionalne, što znači da su često ostajale dugo instalirane na telefonima i tabletima. Oni koji su organizovali Dark Herring su unovčali pretplate, dok bi korisnici često kasno shvatili šta se događa, ponekad i nekoliko meseci nakon infekcije.

Zlonamerne aplikacije su distribuirane i preko Google Play i preko alternativnih prodavnica aplikacija.

Zimperium zLabs je prijavio svoje otkriće Googleu a u trenutku objavljivanja izveštaja Zimperium zLabsa, Google je uklonio sve zlonamerne aplikacije iz Play prodavnice. Međutim, one se i sada mogu naći u alternativnim prodavnicama aplikacija. Zimperium zLabs je Googleov partner i član Googleove Alijanse za odbranu aplikacija, čiji je cilj da se pozabavi problemom malvera u Play prodavnici.

Većina od ovih 470 aplikacija za distribuciju malvera spada u kategoriju zabave. Među aplikacijama su i alati za fotografije, igre, uslužni programi i aplikacije za produktivnost.

Jedan od ključnih faktora za uspeh operacije Dark Herring je manjkavost ili nepostojanje zakona o zaštiti korisnika DCB-a, tako da su korisnici u nekim zemljama prošli gore od korisnika u drugim zemljama. U većem riziku su Indija, Pakistan, Saudijska Arabija, Egipat, Grčka, Finska, Švedska, Norveška, Bugarska, Irak i Tunis. Čak i u zemljama u kojima važe stroga pravila zaštite DCB-a, ako žrtve kasno primete prevaru, vraćanje novca može biti nemoguće.

Najpopularnije aplikacije Dark Herringa od kojih svaka ima nekoliko miliona preuzimanja su: Smashex, Upgradem, Stream HD, Vidly Vibe, Cast It, My Translator Pro, New Mobile Games, StreamCast Pro, Ultra Stream, Photograph Labs Pro, VideoProj Lab, Drive Simulator, Speedy Cars - Final Lap, Football Legends, Football HERO 2021, Grand Mafia Auto, Offroad Jeep Simulator, Smashex Pro, Racing City, Connectool, City Bus Simulator 2.

Spisak sa svih 470 zlonamernih Android aplikacija može se naći na ovoj GitHub stranici.