Эксперты компании Avast обнаружили масштабную мошенническую кампанию, активную с мая 2021 года, в которой были задействованы более 150 приложений для Android, суммарно загруженные около 10,5 млн раз. Все эти приложения использовались для подписки пользователей на премиальные сервисы без их ведома.
Исследователи назвали эту кампанию UltimaSMS, и сообщили, что обнаружили 80 связанных с ней приложений в официальном магазине Google Play. Хотя специалисты Google быстро отреагировали на сообщение исследователей и удалили приложения из каталога, злоумышленники, вероятно, успели «заработать» миллионы долларов на таких подписках.
В общей сложности в кампании UltimateSMS было задействовано 151 приложение. Малварь маскировалась под игры, настраиваемые клавиатуры, сканеры QR-кодов, видео- и фоторедакторы, блокировщики спам-звонков, фильтры для камеры и многое другое.
При первом запуске такого приложения использовались данные, полученные со смартфона (включая информацию о местоположении и IMEI), чтобы установить язык в соответствии со страной. Затем приложение предлагало пользователю ввести номер своего мобильного телефона и адрес электронной почты, якобы для получения доступа ко всем функциям.
После этого, получив номер телефона и необходимые разрешения, приложение подписывало жертв на SMS-сервис стоимостью до 40 долларов в месяц. Мошенники получали процент от этой суммы в качестве «партнеров». Хуже того, Avast сообщает, что авторы приложений создали специальную систему, которая взимала с жертв максимально возможную сумму в зависимости от их местоположения. После подписки на такой платный сервис приложение продолжало отображать дополнительные параметры для подписки, либо вообще переставало работать.
Специалисты пишут, что, невзирая на постоянные жалобы пользователей и действия со стороны Google, кампания была крайне успешной за счет большого числа использованных приложений. Мошенники попросту задействовали для UltimaSMS все новые и новые приложения, обеспечивая себе постоянный приток новых жертв.
По информации компании Sensor Tower, большего всего от этой кампании пострадали пользователи из Египта, Саудовской Аравии, Пакистана и ОАЭ. Количество заражений в этих странах исчисляется миллионами.
Полный список обнаруженных исследователями вредоносных приложений доступен на GitHub. Эксперты напоминают, что удаление вредоносного приложения предотвратит создание новых подписок, но не предотвратит оплату уже существующих. Поэтому пострадавшим необходимо связаться со своим оператором связи и попросить отменить все активные SMS-подписки.
