A CallPhantom néven emlegetett szoftverek azzal kecsegtették a felhasználókat, hogy hozzáférést biztosítanak mások híváslistáihoz és üzeneteihez, de a valóságban csak pénzt csaltak ki a gyanútlan, de jószándékúnak azért mégsem nevezhető áldozatoktól. Bár a Google azóta eltávolította az érintett alkalmazásokat, az eset rávilágít arra, hogy a hivatalos áruház sem nyújt teljes biztonságot a jól felépített csalások ellen.
Az ESET kiberbiztonsági szakértői összesen 28 olyan alkalmazást találtak, amelyek a CallPhantom gyűjtőnevű kártékony szoftverek közé tartoznak, ezek több mint hétmillió letöltést generáltak. A szóban forgó programok azt ígérték a felhasználóknak, hogy bármilyen telefonszám megadása után hozzáférést kaphatnak az adott személy hívásnaplóihoz, szöveges üzeneteihez, vagy akár a WhatsApp chat előzményeihez is. Nagyon úgy tűnik, hogy ez a fajta kémkedési lehetőség rendkívül vonzó volt sokak számára, így az appok rövid idő alatt hatalmas népszerűségre tettek szert a hivatalos áruházban.
Mondhatjuk azt is, hogy a zsák megtalálta a foltját ebben az átverésben, de további ítélkezés helyett lássuk csak, hogyan is működik, vagy működött ez a dolog. A csalás mechanizmusa egyszerű, de hatékony: miután a felhasználó megadja a telefonszámot, az alkalmazás fizetést kér az adatok feloldásához. A valóságban azonban ezek a szoftverek semmilyen valódi hozzáféréssel nem rendelkeztek a hálózati adatokhoz vagy a titkosított üzenetekhez. A leszurkolt pénzért cserébe az áldozatok véletlenszerűen generált hamis híváslistákat, kamu neveket és üzeneteket kaptak, amelyeknek semmi közük nem volt a valósághoz.
A fizetési folyamatok során a csalók többféle módszert is alkalmaztak: egyes alkalmazások a Google Play hivatalos rendszerét használták, míg mások külső fizetési felületekre vagy közvetlen bankkártyás adathalász űrlapokra irányították a leskelődni vágyókat. Néhány szoftver még megtévesztő, e-mailnek álcázott értesítéseket is küldött, hogy visszacsalogassa a felhasználókat az előfizetési képernyőre. És hiszitek vagy sem, ez a pszichológiai nyomásgyakorlás igenis működik, sokakat rávett arra, hogy többször is fizessenek a nem létező információért.
Miután az ESET jelentette a problémát a Google felé, az összes érintett alkalmazást törölték az áruházból, de addigra már több millió embert sikerült megkárosítaniuk. Az eset tanulsága egyrészt az, hogy inkább kérdezd meg szemtől szembe a barátnődet vagy a pasidat, merre járkál péntek este, ahelyett, hogy ilyen kétes és erkölcsileg is megkérdőjelezhető módszerekhez fordulnál, másfelől pedig az, hogy még a szigorúan ellenőrzött felületeken is megjelenhetnek átverések. A szakértők a nyilvánvalóra figyelmeztetnek: soha ne fizessünk olyan appokért vagy szolgáltatásokért, amelyek mások magánszférájának megsértését ígérik, mert ezek szinte kivétel nélkül csalások, lehúzások.
Forrás: Android Authority
