Analitycy ESET zidentyfikowali 28 fałszywych aplikacji dostępnych w Google Play, które roboczo nazwano CallPhantom. Programy miały oferować dostęp do historii połączeń, SMS-ów oraz logów WhatsAppa dla dowolnego numeru telefonu. W rzeczywistości po dokonaniu płatności użytkownik nie otrzymywał żadnych prawdziwych informacji, lecz zestaw losowo wygenerowanych danych.
Według ESET aplikacje zostały łącznie pobrane ponad 7,3 mln razy. Po zgłoszeniu sprawy przez badaczy Google usunął wskazane aplikacje ze sklepu Google Play.
Aplikacje obiecywały dostęp do danych, których nie powinny mieć
Mechanizm oszustwa był prosty. Użytkownik pobierał aplikację, wpisywał numer telefonu, a następnie był proszony o dokonanie płatności za dostęp do rzekomych danych. Aplikacje sugerowały, że mogą ujawnić historię połączeń, SMS-ów lub aktywność związaną z WhatsAppem.
Problem w tym, że zwykła aplikacja nie jest w stanie legalnie uzyskać takich informacji dla dowolnego numeru telefonu. Tego typu obietnica powinna być dla użytkownika pierwszym sygnałem ostrzegawczym.
Analiza wykazała, że dane dostarczane po dokonaniu opłaty były całkowicie nieprawdziwe. Aplikacja generowała losowe numery telefonów i dopasowywała je do stałych nazwisk oraz fikcyjnych czasów trwania rozmów. Użytkownik płacił za losowo wygenerowane treści, które jedynie udają prawdziwe logi połączeń – wyjaśnia Kamil Sadkowski, analityk cyberbezpieczeństwa ESET.
CallPhantom jest więc przykładem oszustwa, które nie musiało polegać na przejęciu kontroli nad telefonem czy wykradaniu danych z urządzenia. Wystarczyło wykorzystać ciekawość użytkowników, ich brak wiedzy technicznej oraz zaufanie do aplikacji dostępnych w oficjalnym sklepie.
Brak podejrzanych uprawnień mógł uśpić czujność
W wielu przypadkach użytkownicy uczą się rozpoznawać zagrożenia po tym, że aplikacja prosi o nietypowe lub zbyt szerokie uprawnienia, np. dostęp do wiadomości, kontaktów, lokalizacji, mikrofonu czy aparatu. W kampanii CallPhantom sytuacja była bardziej podstępna.
Zidentyfikowane aplikacje miały prosty interfejs i nie musiały prosić o inwazyjne uprawnienia, ponieważ ich celem nie było rzeczywiste pobranie danych z telefonu. Jak wskazują opisy sprawy, aplikacje generowały sfabrykowane informacje i przedstawiały je jako wynik działania płatnej usługi.
To ważna lekcja dla użytkowników Androida. Brak podejrzanych uprawnień nie zawsze oznacza, że aplikacja jest uczciwa. Zagrożeniem może być także sam model działania usługi, nierealistyczna obietnica i sposób pobierania płatności.
Największe ryzyko? Płatność poza systemem Google Play
Analitycy ESET zwracają uwagę, że część aplikacji wykorzystywała oficjalny system płatności Google Play, ale część próbowała omijać ten mechanizm. Użytkownicy byli zachęcani do płatności na zewnętrznych stronach lub bezpośrednio w formularzach poza oficjalnym systemem bilingowym Google.
To ma duże znaczenie dla ofiar oszustwa. Płatność dokonana przez oficjalny system sklepu z aplikacjami zwykle daje większą kontrolę nad subskrypcją, łatwiejsze anulowanie i możliwość ubiegania się o zwrot w ramach platformy. Gdy użytkownik wpisuje dane karty na zewnętrznej stronie lub płaci poza Google Play, odzyskanie pieniędzy może być trudniejsze.
W przypadku zakupu dokonanego poza oficjalnym systemem bilingowym Google Play, Google nie ma technicznej możliwości anulowania subskrypcji ani dokonania zwrotu pieniędzy. Taka sytuacja uniemożliwia automatyczną reklamację za pośrednictwem platformy. Ofiary są zmuszone do kontaktowania się z wydawcą karty lub bankiem w celu wszczęcia procedury reklamacyjnej – wyjaśnia Kamil Sadkowski, ESET.
W praktyce oznacza to, że sam moment płatności powinien być dla użytkownika jednym z najważniejszych punktów kontroli. Jeśli aplikacja z Google Play przekierowuje do zewnętrznego formularza, prosi o dane karty poza oficjalnym systemem lub próbuje ominąć standardową płatność w sklepie, warto przerwać transakcję.
Oficjalny sklep nie zwalnia z ostrożności
Google Play pozostaje najbezpieczniejszym źródłem pobierania aplikacji na Androida, ale przypadek CallPhantom pokazuje, że obecność programu w oficjalnym sklepie nie jest stuprocentową gwarancją uczciwości. Oszuści potrafią tworzyć aplikacje, które na pierwszy rzut oka nie wyglądają jak klasyczne malware, nie proszą o podejrzane uprawnienia i nie wywołują natychmiastowych alarmów.
W tym przypadku problemem była sama obietnica: dostęp do prywatnych danych innych osób. Tego typu funkcja nie tylko powinna budzić wątpliwości etyczne, ale także techniczne. Legalna aplikacja nie może po prostu pokazać historii połączeń, SMS-ów czy komunikatora WhatsApp dla dowolnego numeru telefonu.
Dla użytkowników najważniejsza zasada jest prosta: jeśli aplikacja obiecuje dostęp do cudzej prywatnej komunikacji, najprawdopodobniej jest oszustwem.
Jak chronić się przed podobnymi aplikacjami?
Eksperci ESET zalecają przede wszystkim sceptycyzm wobec aplikacji, które obiecują zbyt dużo. Szczególną ostrożność warto zachować przy programach sugerujących możliwość podglądania cudzych danych, historii połączeń, wiadomości lub aktywności w komunikatorach.
Użytkownicy powinni również zwracać uwagę na sposób płatności. Najbezpieczniej korzystać z oficjalnych systemów bilingowych Google Play lub App Store. Jeżeli aplikacja próbuje przekierować płatność na zewnętrzną stronę, prosi o dane karty we własnym formularzu albo oferuje „tańszą” płatność poza sklepem, jest to poważny sygnał ostrzegawczy.
Warto też analizować opinie, ale nie traktować wysokiej oceny jako jedynego kryterium zaufania. Fałszywe pozytywne recenzje są łatwe do wygenerowania, szczególnie przy użyciu botów. Dużo ważniejsze mogą być negatywne komentarze, powtarzające się skargi, informacje o problemach z anulowaniem subskrypcji albo wzmianki o tym, że aplikacja nie działa zgodnie z obietnicą.
Dobrym rozwiązaniem przy płatnościach online jest korzystanie z kart wirtualnych z niskim limitem. Nie eliminuje to ryzyka oszustwa, ale ogranicza potencjalne straty w przypadku wycieku danych karty lub nieuczciwego naliczenia płatności.
Co zrobić, jeśli zapłaciliśmy za podejrzaną aplikację?
Osoby, które skorzystały z podobnej aplikacji, powinny w pierwszej kolejności sprawdzić aktywne subskrypcje w Google Play i anulować te, których nie rozpoznają lub z których nie chcą korzystać. Jeśli płatność została dokonana przez oficjalny system Google, warto skorzystać z procedury reklamacyjnej dostępnej w ramach platformy.
Jeżeli jednak użytkownik podał dane karty poza Google Play, powinien jak najszybciej skontaktować się z bankiem lub wydawcą karty. W zależności od sytuacji konieczne może być zastrzeżenie karty, ustawienie niższych limitów, zgłoszenie nieautoryzowanych transakcji albo rozpoczęcie procedury chargeback.
Warto także usunąć aplikację z telefonu i sprawdzić, czy nie zainstalowano innych programów pochodzących od tego samego twórcy. Dodatkowo dobrze jest mieć włączoną usługę Google Play Protect oraz regularnie aktualizować system i aplikacje.
CallPhantom pokazuje, jak zmieniają się cyberoszustwa
Przypadek CallPhantom jest ważny, bo pokazuje zmianę w sposobie działania oszustów. Nie zawsze potrzebują oni zaawansowanego malware, przełamywania zabezpieczeń czy skomplikowanej infrastruktury technicznej. Czasem wystarczy atrakcyjna obietnica, prosty interfejs, obecność w oficjalnym sklepie i płatność za usługę, której nie da się realnie dostarczyć.
Dla użytkowników Androida najważniejszy wniosek jest prosty: bezpieczeństwo nie kończy się na pobraniu aplikacji z Google Play. Trzeba jeszcze ocenić, co dana aplikacja obiecuje, jak chce pobrać pieniądze i czy jej działanie ma sens z technicznego oraz prawnego punktu widzenia.
Jeśli aplikacja obiecuje dostęp do cudzej historii połączeń, SMS-ów lub WhatsAppa, nie jest narzędziem do „sprawdzania informacji”. Jest sygnałem alarmowym.
Zostaw komentarz