Компания Zimperium обнаружила масштабную мошенническую кампанию, в рамках которой почти 250 вредоносных приложений для Android без ведома пользователей активируют платные услуги и списывают средства с мобильных счетов. Эти программы мастерски имитируют популярные сервисы, такие как TikTok, Minecraft, Instagram Threads или Facebook Messenger, заставляя владельцев устройств загружать их из неофициальных источников. После установки вредоносный код начинает действовать незаметно, используя уязвимости системы для автоматического оформления ненужных подписок по завышенным тарифам.
Техническая реализация схемы оказалась чрезвычайно избирательной, поскольку злоумышленники настроили программное обеспечение на работу исключительно с определенными операторами связи в Малайзии, Таиланде, Румынии и Хорватии. Программа считывает данные SIM-карты, и если пользователь не принадлежит к целевой группе, приложение демонстрирует вполне безопасный контент, избегая разоблачения. Если же параметры совпадают, активируется скрытый алгоритм, который с помощью инъекций JavaScript и автоматизации WebView оформляет платные услуги через биллинг-порталы операторов.
Для обхода стандартных систем безопасности хакеры злоупотребляют официальными инструментами, например, API для перехвата SMS-сообщений, что позволяет им получать коды подтверждения без участия владельца смартфона. Более того, третья версия этого вредоносного программного обеспечения автоматически отправляет уведомления об успешных кражах через мессенджер Telegram. Это позволяет организаторам схемы в режиме реального времени отслеживать эффективность атаки, оптимизировать свои действия и оперативно менять стратегию для получения максимальной прибыли от каждого зараженного устройства.
Статистика свидетельствует о высокой концентрации атак, где 50 процентов всех жертв использовали SIM-карты малайзийских операторов DiGi, Celcom и U Mobile. Пользователи из Таиланда и Румынии составили по 15 процентов пострадавших соответственно, тогда как в Хорватии зафиксирован 1 процент случаев. Кампания, которую обнаружили в марте 2025 года, достигла своего пика в сентябре того же года, а активная деятельность инфраструктуры злоумышленников продолжала фиксироваться экспертами по крайней мере до января 2026 года включительно.
Несмотря на заявления Google о том, что ни одно из этих 250 приложений не было доступно в официальном магазине Play Store, эксперты по кибербезопасности указывают на системную слабость защиты. Использование официально документированных функций, таких как CookieManager API, доказывает, что механизмы контроля доступа к критическим данным не успевают за методами их эксплуатации. Это ставит под сомнение эффективность защитных решений типа Google Play Protect, которые, по словам представителей корпорации, должны автоматически блокировать известные версии этих угроз.
Анализ инцидента подчеркивает глубокую проблему доверия к программной среде, где даже легитимные инструменты могут быть превращены в инструменты для финансового мошенничества. Специалисты отмечают, что ситуация не является исключением, поскольку ранее исследователи уже обнаруживали сотни вредоносных расширений для браузера Google Chrome, которые собирали частные данные миллионов пользователей. Подобные инциденты демонстрируют, что сугубо пользовательской бдительности недостаточно для противодействия современным методам обхода безопасности, поскольку даже опытные люди не способны различить профессионально созданную копию известного интерфейса.
Если вы стремитесь защитить свой мобильный счет от подобных манипуляций, первым шагом должен стать строгий отказ от загрузки приложений с любых сторонних сайтов, форумов или подозрительных ссылок в сообщениях. Пользователям стоит проверить список активных подписок в кабинете своего оператора мобильной связи, поскольку вредоносные программы часто активируют платные услуги, которые не отображаются в обычном интерфейсе настроек смартфона, а фиксируются только в детализации расходов вашего лицевого счета у соответствующего провайдера услуг.
Вторым шагом необходимо просмотреть настройки разрешений для уже установленных программ, ограничивая им доступ к SMS-сообщениям и фоновой работе в сети, если это не является критически важным для функционирования сервиса. Вы можете воспользоваться ресурсом GitHub, где Zimperium публикует индикаторы компрометации, чтобы самостоятельно проверить наличие файлов или процессов, связанных с этими угрозами, хотя для обычного пользователя такой путь является технически сложным и требует навыков системного анализа или по крайней мере опыта работы с файловой структурой ОС Android.
Третий этап защиты предусматривает установку лимитов на расходы мобильного счета, если ваш оператор предоставляет такую функцию, или полное отключение возможности осуществления платежей через WAP-биллинг. В случае обнаружения подозрительной активности необходимо немедленно удалить приложение, очистить кэш браузера и обратиться в службу поддержки вашего оператора для принудительной отмены всех активных подписок, поскольку простое удаление вредоносной программы не гарантирует автоматического прекращения списаний средств за уже активированные через серверные API услуги.
Четвертый шаг — регулярное обновление операционной системы до последней доступной версии, поскольку разработчики Android часто закрывают уязвимости, которые используются для подобных атак, даже если Google заявляет о высоком уровне безопасности по умолчанию. Однако помните, что ни одно программное обновление не защитит от социальной инженерии, когда мошенники убеждают вас в необходимости предоставления определенных прав доступа под видом аутентификации игрового аккаунта или иной безопасной процедуры, что заставляет быть максимально скептичными к любым запросам приложений на доступ к системным функциям.
