В Google Play нашли приложения для фейкового пробива звонков и WhatsApp

В Google Play нашли приложения для фейкового пробива звонков и WhatsApp

В Google Play нашли приложения для фейкового пробива звонков и WhatsApp

Специалисты ESET обнаружили в Google Play крупную сеть мошеннических приложений, которые обещали показать историю звонков, СМС и вызовов WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) по любому номеру телефона. До удаления из магазина эти приложения успели набрать более 7,3 млн скачиваний.

В ESET назвали эту схему CallPhantom. Всего специалисты нашли 28 приложений, внешне они отличались друг от друга, но работали по одной и той же схеме. Пользователь вводил номер телефона, платил за доступ к истории коммуникаций, а в ответ получал поддельные данные.

По данным исследователей, часть приложений просто генерировала случайные номера и подставляла к ним заранее зашитые в код имена и детали звонков. Другие просили указать адрес электронной почты, на который якобы должны были отправить найденную историю. На деле приложения не запрашивали опасных разрешений и не имели технической возможности получить такие данные.

Отдельная ирония этой истории в том, что жертв заманивали довольно сомнительным обещанием. Приложения предлагали не условные обои, прогноз погоды или ускоритель телефона, а доступ к чужой личной переписке и звонкам. Другими словами, наживка сама по себе выглядела как что-то, что должно было насторожить.

С оплатой тоже было не всё гладко. Некоторые приложения использовали официальную платёжную систему Google Play, что теоретически могло помочь пользователям оформить возврат. Но другие уводили людей в сторонние платёжные приложения или показывали формы для ввода банковской карты прямо внутри приложения.

В одном случае мошенники пошли ещё дальше: когда пользователь пытался закрыть приложение, оно показывало обманчивое уведомление в стиле нового письма, будто результаты уже готовы и пришли на почту. После этого человека снова возвращали на экран оформления подписки.

ESET сообщила о 28 приложениях в Google 16 декабря. К моменту публикации отчёта все они уже были удалены из Google Play.

Бесплатные VPN для Android сливают трафик и светят данные пользователей

Исследователи проверили 281 популярное бесплатное VPN-приложение из Google Play и выяснили неприятный, но закономерный факт: многие из них проваливают базовую задачу VPN — защищать трафик пользователя. Проблемные приложения суммарно установили более 2,4 млрд раз.

Проверку провели (PDF) специалисты Мичиганского университета, Университета Нью-Мексико и IIT Delhi с помощью системы MVPNalyzer.

Она создана для регулярного аудита VPN для Android и показывает, что у части таких сервисов приватность существует скорее в описании, чем в реальности.

 

У 29 приложений трафик утекал мимо зашифрованного туннеля. В 24 случаях наружу уходили DNS-запросы, по которым видно, какие сайты открывает пользователь.

Ещё шесть приложений пропускали полноценный веб-трафик вне туннеля, а четыре вообще работали без шифрования. Отличный VPN, если ваша цель — чтобы вас было видно всем.

 

Самая неприятная находка — пять приложений, которые скачивали конфигурационные файлы без шифрования. Такой файл сообщает приложению, к какому серверу подключаться. Если его можно перехватить и подменить, атакующий в той же сети, например в публичном Wi-Fi, способен перенаправить VPN-подключение на свой сервер. Пользователь увидит привычное «connected», а весь трафик пойдёт через чужие руки.

 

Слежка тоже никуда не делась. 76 приложений отправляли рекламный идентификатор устройства, а 246 связывались с известными рекламными и трекинговыми серверами. Некоторые передавали модель телефона, версию ОС, размер экрана и другие данные, из которых легко собрать цифровой отпечаток. Одно приложение, по данным исследования, отправляло даже точные GPS-координаты.

Отдельный сюрприз — слабые настройки OpenVPN. Из 108 разобранных конфигураций только одна соответствовала всем проверенным практикам безопасности. Встречались устаревшие шифры вроде Blowfish и 3DES, а в отдельных случаях шифрование фактически отключалось.

RSS: Новости на портале Anti-Malware.ru