Premium Deception: 250 lažnih Android aplikacija tajno naplaćivalo premijum servise

Mobilni telefoni, 26.05.2026, 13:30 PM

Istraživači kompanije Zimperium otkrili su višemesečnu Android kampanju pod nazivom Premium Deception, u kojoj je korišćeno gotovo 250 lažnih aplikacija za tajno prijavljivanje korisnika na premijum servise koji se naplaćuju preko mobilnog računa.

Prema analizi zLabs istraživačkog tima, kampanja je trajala od marta 2025. do sredine januara 2026. godine, ali je deo infrastrukture i dalje aktivan.

Lažne aplikacije predstavljale su se kao aplikacije popularnih brendova, uključujući Facebook Messenger, Instagram Threads, TikTok, Minecraft i Grand Theft Auto.

Istraživači su identifikovali tri varijante malvera različitog nivoa sofisticiranosti.

Najnaprednija varijanta automatizovala je čitav proces prijave na premijum servise.

Nakon što proveri kod operatera SIM kartice uređaja i potvrdi da pripada ciljanoj mreži, malver isključuje Wi-Fi kako bi sav saobraćaj prebacio na mobilnu mrežu. Zatim u skrivenom WebView prozoru otvara zvanični portal operatera i automatski izvršava proces prijave, uključujući slanje zahteva za TAC kod, unos jednokratne lozinke i potvrdu pretplate. Jednokratne lozinke malver prikuplja zloupotrebom Google SMS Retriever API-ja, legitimne Android funkcije namenjene automatskom čitanju verifikacionih kodova.

Druga varijanta je koristila višefazni napad sa dinamičkim ciljevima preuzetim sa komandno-kontrolnog servera. Malver je pritom zakazivao odloženo slanje SMS poruka kako bi otežao otkrivanje prevara i prikupljao kolačiće sesija sa skrivenih stranica za naplatu preko operatera.

Treća varijanta uključivala je i Telegram notifikacije koje su napadačima u realnom vremenu slale informacije o uspešnim infekcijama, dodeljenim dozvolama i poslatim premijum SMS porukama.

Istraživači navode da infrastruktura kampanje ukazuje na dobro organizovanu operaciju.

Svaki maliciozni uzorak sadržao je posebne HTTP identifikatore koji su napadačima omogućavali praćenje uspešnosti različitih lažnih aplikacija i distribucionih kanala poput TikTok-a, Facebook-a i Google oglasa.

U slučajevima kada uređaj nije koristio podržanog mobilnog operatera, malver je prikazivao bezazlen sadržaj kako bi izbegao sumnju i ostao aktivan na uređaju.

Istraživači su identifikovali najmanje 12 premijum SMS brojeva zloupotrebljenih u Maleziji, Tajlandu, Rumuniji i Hrvatskoj, kao i komandno-kontrolnu infrastrukturu.

Korisnicima se savetuje da izbegavaju instalaciju Android aplikacija iz nezvaničnih prodavnica, proveravaju aplikacije koje koriste imena poznatih brendova i redovno kontrolišu mobilne račune zbog neočekivanih pretplata i troškova.