Ψεύτικες Android εφαρμογές μιμούνται δημοφιλείς τίτλους και χρεώνουν απευθείας τον λογαριασμό κινητής των θυμάτων — πάνω από 200 τέτοιες εφαρμογές εντόπισε η Zimperium.
Ψεύτικες Android εφαρμογές: μιμητές δημοφιλών τίτλων
Οι κακόβουλες εφαρμογές παραπέμπουν σε γνωστά apps για να παραπλανήσουν χρήστες που τις εγκαθιστούν χωρίς δεύτερη σκέψη. Η λίστα περιλαμβάνει μιμητές του TikTok, του Minecraft, του Grand Theft Auto, του Instagram Threads και του Facebook Messenger. Μόλις το θύμα εγκαταστήσει μία από αυτές, ενεργοποιείται μια αυτόματη εγγραφή σε ψεύτικες premium υπηρεσίες και οι χρεώσεις εμφανίζονται στον λογαριασμό κινητής.
Τριφασική επίθεση και τεχνικές κάλυψης
Σύμφωνα με την Zimperium, η επίθεση λειτουργεί σε τρία στάδια. Στο πρώτο στάδιο, ένας αυτοματοποιημένος μηχανισμός εγγράφει το θύμα σε πλαστές υπηρεσίες χωρίς να απαιτείται παρέμβαση του χρήστη.
Στο δεύτερο στάδιο, η εφαρμογή αποκτά πρόσβαση στην κάρτα SIM και ελέγχει αν ο πάροχος του χρήστη υποστηρίζει χρεώσεις premium. Αν ο πάροχος δεν υποστηρίζει τέτοιες χρεώσεις, εμφανίζεται μια αθώα σελίδα και η διαδικασία σταματά. Αν ο πάροχος τις υποστηρίζει, ανοίγει μια σελίδα κοινωνικής μηχανικής που μιμείται επιβεβαίωση λογαριασμού παιχνιδιού για να πείσει τον χρήστη να προχωρήσει.
Στο τρίτο στάδιο χρησιμοποιούνται τεχνικές όπως JavaScript injection, υποκλοπή κωδικών μίας χρήσης και WebView automation για να καλυφθούν τα ίχνη της απάτης και να ολοκληρωθούν οι εγγραφές χωρίς εμφανή σημάδια στο κινητό.
Στόχευση: Μαλαϊσία και Ευρώπη
Το 85% των θυμάτων βρέθηκαν στη Μαλαισία, αφού οι δράστες στόχευσαν συγκεκριμένα τον πάροχο DiGi. Επιθέσεις καταγράφηκαν επίσης σε Ταϊλάνδη, Ρουμανία και Κροατία. Συνολικά, πάνω από 10 πάροχοι μπήκαν στο στόχαστρο, ανάμεσά τους οι Vodafone, Orange, Telekom και AIS.
Η δραστηριότητα εντοπίστηκε για πρώτη φορά τον Μάρτιο του 2025, η κορύφωση σημειώθηκε τον Σεπτέμβρης του 2025 και η τελευταία καταγεγραμμένη κίνηση ήταν τον Ιανουάριο του 2026. Παρά τους χρόνους ανίχνευσης, τμήματα της υποδομής παραμένουν ενεργά.
Το Google Play Store και η προστασία
Η Google επιβεβαίωσε ότι καμία από τις σχεδόν 250 κακόβουλες εφαρμογές δεν βρίσκεται στο Play Store. Η εταιρεία αναφέρει ότι το Google Play Protect, που είναι ενεργοποιημένο by default σε συσκευές με Google Play Services, προστατεύει από γνωστές παραλλαγές αυτού του malware. Παρ’ όλα αυτά, η Zimperium επισημαίνει ότι η επίθεση αποκαλύπτει σοβαρά κενά ασφαλείας που χρειάζονται αντιμετώπιση.
Συμβουλές: τι να κάνετε αν δείτε χρεώσεις
Όπως σημειώνει το Techblog, το scam είναι ύπουλο γιατί δεν κλέβει κωδικούς ή τραπεζικά στοιχεία αλλά ανεβάζει σιγά σιγά τον λογαριασμό κινητής, κάτι που πολλοί δεν παρατηρούν άμεσα. Το βασικό μάθημα είναι απλό: εγκαθιστούμε εφαρμογές μόνο από επίσημα καταστήματα και προσέχουμε pop-up σελίδες που ζητούν επιβεβαίωση.
Αν εντοπίσετε ανεξήγητες χρεώσεις, ελέγξτε άμεσα τον κατάλογο συνδρομών με τον πάροχό σας και αναφέρετε οποιαδήποτε ύποπτη κίνηση.
