250 lažnih aplikacija potajno praznilo račune: Android korisnici masovno na udaru
Dodajte Kurir u vaš Google izborVelika bezbednosna kampanja usmerena na Android uređaje otkrivena je nakon višemesečne istrage stručnjaka kompanije Zimperium. U okviru operacije nazvane „Premium Deception“ korišćeno je skoro 250 lažnih aplikacija koje su korisnike bez njihovog znanja prijavljivale na premijum servise koji se naplaćuju direktno preko mobilnog računa.
Prema podacima istraživačkog tima zLabs, aktivnosti ove kampanje trajale su od marta 2025. pa sve do sredine januara 2026. godine. Iako je deo maliciozne mreže ugašen, istraživači upozoravaju da određeni segmenti infrastrukture i dalje funkcionišu i predstavljaju potencijalnu opasnost za korisnike Android uređaja.
Poznati brendovi najbolji mamac za žrtve
Napadači su pokušavali da steknu poverenje korisnika predstavljajući maliciozne aplikacije kao popularne servise i igre. Među imitacijama našle su se aplikacije nalik Facebook Mesindžeru, InstagramThredsu, TikToku, Minecraft i igri Grand Theft Auto.
Takva taktika omogućila je širenje malvera kroz različite kanale promocije, uključujući oglase na društvenim mrežama i druge platforme. Korisnici su često verovali da instaliraju legitimne aplikacije, dok se u pozadini odvijao proces aktiviranja skupih mobilnih pretplata.
Funkcionisnje najopasnije verzije malvera
Najsofisticiranija verzija malvera bila je sposobna da gotovo potpuno automatizuje prijavu korisnika na premijum servise. Nakon provere mobilnog operatera, aplikacija bi gasila Wi-Fi konekciju kako bi uređaj koristio isključivo mobilnu mrežu, što je bilo neophodno za sprovođenje prevare.
Malver je zatim u skrivenom WebView prozoru otvarao zvanične stranice operatera i automatski završavao proces pretplate. To je uključivalo slanje zahteva za TAC kodove, unos jednokratnih lozinki i potvrdu aktivacije servisa. Posebno zabrinjava činjenica da je zloupotrebljen Google SMS Retriever API, funkcija namenjena legitimnom automatskom čitanju verifikacionih poruka.
Višefazni napadi i komunikacija preko Telegrama
Druga otkrivena verzija koristila je napredniji pristup sa dinamičkim instrukcijama koje su stizale sa komandno-kontrolnih servera. Malver je mogao da odloži slanje SMS poruka kako bi izbegao sumnju korisnika i sigurnosnih sistema, dok je istovremeno prikupljao podatke o aktivnim sesijama sa stranica za naplatu preko operatera.
Treća varijanta uključivala je i komunikaciju putem Telegrama. Na taj način napadači su u realnom vremenu dobijali informacije o uspešnim infekcijama, dozvolama koje su korisnici odobrili i poslatim premijum SMS porukama, što im je omogućavalo detaljno praćenje cele operacije.
Oprez prilikom instalacije aplikacija
Analiza infrastrukture pokazala je da iza cele kampanje stoji dobro organizovana grupa. Svaki zaraženi uzorak imao je posebne HTTP identifikatore koji su napadačima omogućavali da prate uspešnost različitih lažnih aplikacija i kanala distribucije, uključujući TikTok, Facebook i Google oglase.
Istraživači su identifikovali najmanje 12 premijum SMS brojeva povezanih sa prevarama u Maleziji, Tajlandu, Rumuniji i Hrvatskoj. Korisnicima se savetuje da aplikacije preuzimaju isključivo iz proverenih izvora, pažljivo proveravaju programe koji koriste nazive poznatih brendova i redovno kontrolišu mobilne račune kako bi na vreme uočili sumnjive troškove ili neželjene pretplate.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.