Дослідники кібербезпеки виявили шахрайський додаток для Android, який перетворює смартфони звичайних користувачів на одноразовий телефонний номер для реєстрації в онлайн-сервісах. Сьогодні таку реєстрацію вимагає майже кожен сайт. Шахрайський додаток уже завантажили понад 100 000 разів з Google Play Store.
Вказування телефонного номера при реєстрації в онлайнових сервісах призводить до витоків приватних даних, надходження спаму та зменшенню рівня анонімності. Тому багато юзерів, включаючи кіберзловмисників, шукають одноразові телефонні номери для проходження реєстрації.
Дослідник Максим Інграо з компанії кібербезпеки Evina виявив додаток Symoo, який рекламує себе як «простий додаток для SMS». Натомість усе, що він робить – це пересилає коди реєстрації (OTP-коди) на основі SMS анонімним користувачам.
Коли звичайні користувачі-жертви встановлюють програму, вона запитує дозволи на SMS. Це не повинно викликати тривоги, враховуючи, що додаток описаний як програма для SMS. Потім він запитує номер телефону користувача, і якщо він надає його, відображається підроблений екран завантаження з індикатором виконання.
У фоновому режимі додаток спонукатиме віддалених операторів надіслати кілька SMS-повідомлень двофакторної автентифікації, допомагаючи їм створювати облікові записи в різних онлайн-сервісах. Після завершення цього етапу програма зависає та виглядає нефункціональною.
Symoo ділиться викраденими SMS-даними з іншим додатком під назвою Virtual Number, який більше не доступний у Play Store. Однак у розробника є подібний додаток під назвою «Activation PW – Virtual numbers», який пропонує автентичні номери телефонів, щоб допомогти будь-кому створити облікові записи.
За $0,50 користувачі можуть отримати номер телефону та використати його для підтвердження облікового запису за допомогою SMS. Ця програма має понад 10 000 завантажень.
Хоча в службі віртуальних номерів немає нічого поганого, навіть Google пропонує її у формі Google Voice, користувачам рекомендується якомога швидше видалити цю конкретну програму, щоб не стати жертвою шахраїв.
