Publika podržava Tom's Guide. Kada kupujete putem poveznica na našoj stranici, možemo zaraditi proviziju za partnere. Saznajte više

Otkrivena je Android "fleeceware" kampanja koja je započela prije gotovo dvije godine, a uključivala je oko 470 aplikacija u trgovini Google Play koji su preuzeti najmanje 105 milijuna puta i možda su ukrali stotine milijuna dolara od korisnika telefona diljem svijeta svijet.

Istraživači u zaštitarskoj tvrtki Zimperium su kampanju nazvali "Tamna haringa". U izvješću objavljenom jučer (26. siječnja) objasnili su da su aplikacije sami su zapravo radili kako su obećali - kao igre, aplikacije za zabavu, alati za produktivnost, foto filteri i tako dalje na.

No, aplikacije su mnoge korisnike poslale i na varljive web-stranice, prilagođene jezicima korisnika i zemljama prebivališta. Te su stranice tražile od korisnika da unesu svoje telefonske brojeve za "provjeru", ali su u stvari prijavljivale korisnike na ponavljajuće troškove koji su u prosjeku iznosili 15 USD mjesečno - mnogo novca u nekim dijelovima svijeta.

Istraživači Zimperiuma nazvali su Dark Herring "jednom od najopsežnijih i najuspješnijih kampanja zlonamjernog softvera po mjeri samog broja aplikacija" koju su vidjeli 2021.

"Ukupni iznos novca koji je prevaren od nesuđenih korisnika mogao bi... biti dobro u stotinama milijuna dolara", dodali su.

Kako izbjeći i riješiti se ovih zlonamjernih aplikacija

Zlonamjerne aplikacije sada su nestale iz trgovine Google Play, ali ih se i dalje može pronaći na "off-road" tržištima aplikacija, navodi Zimperium. Želite izbjeći instaliranje jednog, a ako ga već imate na telefonu, htjet ćete ga deinstalirati.

Tamo je puni popis aplikacija povezanih s Dark Herringom na ovoj web stranici. Nažalost, popis nije u nekom posebnom redoslijedu.

Najbolje je da taj popis učitate u desktop web-preglednik, pritisnete Control-F na tipkovnici i potražite nazive svih aplikacija na svom telefonu (ili u trgovini aplikacija) u koje možda sumnjate.

Ako dobijete podudaranje u nazivu, možete potvrditi radi li se zapravo o istoj aplikaciji pomoću naziva paketa lijevo od naziv — to je tekstualni niz koji počinje "com". (Mnoge Android aplikacije imaju identične ili slične nazive, ali nazivi paketa su jedinstveni.) 

U trgovini aplikacija možete ga uočiti jer je naziv paketa često dio URL-a stranice s popisom aplikacije. A ako mislite da je jedna od ovih aplikacija na vašem telefonu, kopirajte i zalijepite ovaj URL u adresnu traku web-preglednika vašeg stolnog računala:

https://play.google.com/store/apps/details? id=

... ali nemojte još pritisnuti Enter ili Return. Umjesto toga, kopirajte naziv paketa sumnjive aplikacije s popisa aplikacija Dark Herring. Zalijepite naziv paketa na kraj URL-a, nakon znaka jednakosti, a zatim pritisnite Return ili Enter.

Ako dobijete uglavnom praznu stranicu Google Playa s natpisom "Žao nam je, traženi URL nije pronađen na ovom poslužitelju", onda je aplikacija uklonjena s Google Playa. Deinstalirajte ga sa svog telefona.

Ako dobijete običnu stranicu aplikacije, onda aplikacija nije uključena u ovu kampanju zlonamjernog softvera i možete je zadržati na svom telefonu.

Kako funkcionira kampanja tamne haringe

Dark Herring djeluje zlouporabom izravne naplate putem mobilnog operatera, što je uobičajena značajka u mnogim zemljama po kojoj korisnici telefona mogu kupiti fizičke artikle ili digitalne usluge koristeći svoje telefone.

Funkcionalno, izravna naplata mobilnog operatera je slična Apple Pay ili Google Pay, osim što se troškovi prikazuju na korisnikovom telefonskom računu umjesto na Apple ili Google računu.

Umjesto čišćenja gotovine korisnika, kao bankovni trojanac ako bi to učinio na bankovni saldo, Dark Herring jednostavno muze korisnički račun mobilnog operatera, naplaćujući dodatne ponavljajuće troškove koje korisnik možda neće primijetiti. (Cinik bi tvrdio da mnogi fiksni i mobilni operateri već rade nešto slično.)

Dio podmetanja je da aplikacije Dark Herring nisu lažne i rade kako se reklamira tako da korisnik ne bi otkrio ništa loše.

"Za razliku od mnogih drugih zlonamjernih aplikacija koje ne pružaju funkcionalne mogućnosti, žrtva može koristiti te aplikacije", Zimperiumovo izvješće kaže, "što znači da često ostaju instalirani na telefonima i tabletima dugo nakon početne instalacije."

Opet, same aplikacije ne napadaju telefone i ne sadrže nikakav očito zlonamjeran kod, što je vjerojatno i način na koji su uspjeli proći provjere zlonamjernog softvera Google Playa. Zapravo, mnoge od najbolji Android antivirus Ni motori aplikacija za otkrivanje zlonamjernog softvera nisu ih označili kada smo provjeravali hashova aplikacija u Virus Ukupno u vrijeme pisanja ovog teksta.

Umjesto toga, aplikacije preuzimaju dodatne skripte koje određuju jezik na koji je svaki telefon postavljen i u kojoj se zemlji telefon nalazi - sumnjivo, ali ni zlonamjerno ni neobično. Te se informacije učitavaju na poslužitelj za naredbu i kontrolu koji donosi odluku hoće li pokušati prevariti korisnika.

Ako je odluka potvrdna, aplikacija tada učitava zlonamjernu web-stranicu, koja odgovara zemlji i jeziku korisnika, koja od korisnika traži da pošalje telefonski broj "na provjeru".

"Korisnicima je općenito ugodnije dijeljenje informacija na web stranici na njihovom lokalnom jeziku", napisao je Zimperium. "Ali u stvarnosti, oni šalju svoj telefonski broj na uslugu izravne naplate putem mobilnog operatera koja im počinje naplaćivati ​​u prosjeku 15 USD mjesečno."

Žrtve tamne haringe otkrivene su u više od 70 zemalja diljem planeta, uključujući gotovo sve zemlje u Americi, Europi, Oceaniji i istočnoj Aziji.

Međutim, korisnici u desetak i pol zemalja, uglavnom na Bliskom istoku, južnoj Aziji, Skandinaviji i baltičkim državama, bili su posebno ranjivi "zbog nedostatka [zaštite] potrošača od ovih vrsta prijevara s izravnim naplatom putem operatera", napisao je Zimperium.

Paul Wagenseil
Paul Wagenseil.

Paul Wagenseil je viši urednik u Tom's Guide-u usredotočen na sigurnost i privatnost. Bio je i perač suđa, kuhar za prženje, vozač na duge relacije, kod majmuna i video montažer. On se više od 15 godina bavi informacijsko-sigurnosnim prostorom na FoxNews.com, SecurityNewsDaily, TechNewsDaily i Tom's Guide, predstavio je razgovore na hakerske konferencije ShmooCon, DerbyCon i BSides u Las Vegasu, prikazane u nasumičnim televizijskim vijestima, pa čak i moderirali panel raspravu na CEDIA home-technology konferencija. Njegove poruge možete pratiti na Twitteru na adresi @snd_wagenseil.