Компанія Zimperium виявила масштабну шахрайську кампанію, у межах якої майже 250 шкідливих додатків для Android без відома користувачів активують платні послуги та списують кошти з мобільних рахунків. Ці програми майстерно імітують популярні сервіси, такі як TikTok, Minecraft, Instagram Threads або Facebook Messenger, змушуючи власників пристроїв завантажувати їх з неофіційних джерел. Після інсталяції шкідливий код починає діяти непомітно, використовуючи вразливості системи для автоматичного оформлення непотрібних підписок за завищеними тарифами.
Технічна реалізація схеми виявилася надзвичайно вибірковою, оскільки зловмисники налаштували програмне забезпечення на роботу виключно з певними операторами зв’язку в Малайзії, Таїланді, Румунії та Хорватії. Програма зчитує дані SIM-карти, і якщо користувач не належить до цільової групи, додаток демонструє цілком безпечний контент, уникаючи викриття. Якщо ж параметри збігаються, активується прихований алгоритм, що за допомогою ін’єкцій JavaScript та автоматизації WebView оформлює платні послуги через білінг-портали операторів.
Для обходу стандартних систем безпеки хакери зловживають офіційними інструментами, наприклад, API для перехоплення SMS-повідомлень, що дозволяє їм отримувати коди підтвердження без участі власника смартфона. Понад те, третя версія цього шкідливого програмного забезпечення автоматично надсилає сповіщення про успішні крадіжки через месенджер Telegram. Це дозволяє організаторам схеми в режимі реального часу відстежувати ефективність атаки, оптимізувати свої дії та оперативно змінювати стратегію для отримання максимального прибутку від кожного зараженого пристрою.
Статистика свідчить про високу концентрацію атак, де 50 відсотків усіх жертв використовували SIM-карти малайзійських операторів DiGi, Celcom та U Mobile. Користувачі з Таїланду та Румунії склали по 15 відсотків постраждалих відповідно, тоді як у Хорватії зафіксовано 1 відсоток випадків. Кампанія, яку виявили у березні 2025 року, досягла свого піку у вересні того ж року, а активна діяльність інфраструктури зловмисників продовжувала фіксуватися експертами принаймні до січня 2026 року включно.
Попри заяви Google про те, що жоден із цих 250 додатків не був доступний в офіційному магазині Play Store, експерти з кібербезпеки вказують на системну слабкість захисту. Використання офіційно задокументованих функцій, як-от CookieManager API, доводить, що механізми контролю за доступом до критичних даних не встигають за методами їх експлуатації. Це ставить під сумнів ефективність захисних рішень типу Google Play Protect, які, за словами представників корпорації, мають автоматично блокувати відомі версії цих загроз.
Аналіз інциденту підкреслює глибоку проблему довіри до програмного середовища, де навіть легітимні інструменти можуть бути перетворені на інструменти для фінансового шахрайства. Фахівці зазначають, що ситуація не є винятком, оскільки раніше дослідники вже виявляли сотні шкідливих розширень для браузера Google Chrome, які збирали приватні дані мільйонів користувачів. Подібні інциденти демонструють, що суто користувацької пильності недостатньо для протидії сучасним методам обходу безпеки, оскільки навіть досвідчені люди не здатні розрізнити професійно створену копію відомого інтерфейсу.
Якщо ви прагнете захистити свій мобільний рахунок від подібних маніпуляцій, першим кроком має стати сувора відмова від завантаження додатків із будь-яких сторонніх сайтів, форумів чи підозрілих посилань у повідомленнях. Користувачам варто перевірити список активних підписок у кабінеті свого оператора мобільного зв’язку, оскільки шкідливі програми часто активують платні послуги, які не відображаються у звичайному інтерфейсі налаштувань смартфона, а фіксуються лише в деталізації витрат вашого особового рахунку у відповідного провайдера послуг.
Другим кроком необхідно переглянути налаштування дозволів для вже встановлених програм, обмежуючи їм доступ до SMS-повідомлень та фонової роботи в мережі, якщо це не є критично важливим для функціонування сервісу. Ви можете скористатися ресурсом GitHub, де Zimperium публікує індикатори компрометації, щоб самостійно перевірити наявність файлів або процесів, пов’язаних із цими загрозами, хоча для звичайного користувача такий шлях є технічно складним і потребує навичок системного аналізу або принаймні досвіду роботи з файловою структурою ОС Android.
Третій етап захисту передбачає встановлення лімітів на витрати мобільного рахунку, якщо ваш оператор надає таку функцію, або повне вимкнення можливості здійснення платежів через WAP-білінг. У разі виявлення підозрілої активності необхідно негайно видалити додаток, очистити кеш браузера та звернутися до служби підтримки вашого оператора для примусового скасування всіх активних підписок, оскільки просте видалення шкідливої програми не гарантує автоматичного припинення списань коштів за вже активовані через серверні API послуги.
Четвертий крок — регулярне оновлення операційної системи до останньої доступної версії, оскільки розробники Android часто закривають вразливості, які використовуються для подібних атак, навіть якщо Google заявляє про високий рівень безпеки за замовчуванням. Однак пам’ятайте, що жодне програмне оновлення не захистить від соціальної інженерії, коли шахраї переконують вас у необхідності надання певних прав доступу під виглядом автентифікації ігрового облікового запису чи іншої безпечної процедури, що змушує бути максимально скептичними до будь-яких запитів додатків на доступ до системних функцій.
