Minecraft, TikTok и GTA. Эти 250 поддельных приложений тайно подписывают владельцев Android на платные сервисы
NewsMakerХакеры придумали хитрую схему опустошения мобильных счетов.
Мошенники запустили крупную кампанию против владельцев Android-смартфонов и тайно подключали пользователей к платным сервисам через мобильный счёт. По данным zLabs, вредоносные приложения маскировались под Facebook*, Instagram*, TikTok, Minecraft, GTA и другие популярные сервисы и игры.
Специалисты нашли почти 250 вредоносных приложений. Кампания затронула Малайзию, Таиланд, Румынию и Хорватию. Приложения проверяли оператора связи по данным SIM-карты и атаковали только нужных пользователей. Если оператор не подходил, программа открывала обычную веб-страницу и выглядела безобидно. Кампания началась в марте 2025 года и оставалась активной до второй недели января 2026 года. Часть инфраструктуры, по данным zLabs, работает до сих пор.
Злоумышленники стремились оформить платные подписки через счёт мобильного оператора. В одном из вариантов вредоносная программа автоматически открывала скрытые страницы оплаты, запрашивала одноразовый код, перехватывала его через законный механизм Google для чтения SMS с кодами и подтверждала подписку без участия владельца телефона.
Для некоторых операторов схема работала проще. Приложение само отправляло SMS на платные короткие номера с командами вроде «ON HITZ», «ON GAM1» или «ON A3». В Таиланде вредоносная программа могла получать новые номера и команды с сервера злоумышленников, поэтому преступникам не нужно было обновлять приложение для смены целей.
Чтобы оплата прошла через мобильную сеть, вредоносное приложение могло отключать Wi-Fi. В отдельных случаях программа загружала скрытые страницы оператора, крала файлы сеанса и отправляла содержимое страниц на сервер злоумышленников. Так преступники проверяли, какие способы срабатывают, и улучшали схему.
Ещё один вариант вредоноса отправлял отчёты в закрытый канал Telegram . Злоумышленники получали сведения об установке, выданных разрешениях, операторе, модели устройства, времени события и отправленных SMS. Такой механизм помогал быстро видеть успешные заражения и оценивать, какие поддельные приложения и площадки дают больше жертв.
zLabs связывает кампанию с распределённой инфраструктурой доменов, которые управляли атакой, собирали данные, отслеживали переходы и автоматически оформляли подписки. Вредоносные приложения также передавали специальные метки источника, по которым злоумышленники понимали, откуда пришла жертва: из TikTok, Facebook, Google или другой площадки.
Всего специалисты нашли не менее 12 платных коротких номеров, которые использовались в схеме. Атаки затрагивали абонентов DiGi, Celcom, Maxis, U Mobile, TrueMove H, Vodafone, Orange, Telekom, A1/VIP, Telemach и T-Mobile в разных странах.
Пользователям Android стоит особенно внимательно относиться к приложениям, скачанным не из официального магазина, даже если значок и название выглядят знакомо. Поддельная игра или «клиент» популярной социальной сети может оказаться программой, которая за несколько секунд оформит платную подписку и спишет деньги через мобильного оператора.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
Мошенники запустили крупную кампанию против владельцев Android-смартфонов и тайно подключали пользователей к платным сервисам через мобильный счёт. По данным zLabs, вредоносные приложения маскировались под Facebook*, Instagram*, TikTok, Minecraft, GTA и другие популярные сервисы и игры.
Специалисты нашли почти 250 вредоносных приложений. Кампания затронула Малайзию, Таиланд, Румынию и Хорватию. Приложения проверяли оператора связи по данным SIM-карты и атаковали только нужных пользователей. Если оператор не подходил, программа открывала обычную веб-страницу и выглядела безобидно. Кампания началась в марте 2025 года и оставалась активной до второй недели января 2026 года. Часть инфраструктуры, по данным zLabs, работает до сих пор.
Злоумышленники стремились оформить платные подписки через счёт мобильного оператора. В одном из вариантов вредоносная программа автоматически открывала скрытые страницы оплаты, запрашивала одноразовый код, перехватывала его через законный механизм Google для чтения SMS с кодами и подтверждала подписку без участия владельца телефона.
Для некоторых операторов схема работала проще. Приложение само отправляло SMS на платные короткие номера с командами вроде «ON HITZ», «ON GAM1» или «ON A3». В Таиланде вредоносная программа могла получать новые номера и команды с сервера злоумышленников, поэтому преступникам не нужно было обновлять приложение для смены целей.
Чтобы оплата прошла через мобильную сеть, вредоносное приложение могло отключать Wi-Fi. В отдельных случаях программа загружала скрытые страницы оператора, крала файлы сеанса и отправляла содержимое страниц на сервер злоумышленников. Так преступники проверяли, какие способы срабатывают, и улучшали схему.
Ещё один вариант вредоноса отправлял отчёты в закрытый канал Telegram . Злоумышленники получали сведения об установке, выданных разрешениях, операторе, модели устройства, времени события и отправленных SMS. Такой механизм помогал быстро видеть успешные заражения и оценивать, какие поддельные приложения и площадки дают больше жертв.
zLabs связывает кампанию с распределённой инфраструктурой доменов, которые управляли атакой, собирали данные, отслеживали переходы и автоматически оформляли подписки. Вредоносные приложения также передавали специальные метки источника, по которым злоумышленники понимали, откуда пришла жертва: из TikTok, Facebook, Google или другой площадки.
Всего специалисты нашли не менее 12 платных коротких номеров, которые использовались в схеме. Атаки затрагивали абонентов DiGi, Celcom, Maxis, U Mobile, TrueMove H, Vodafone, Orange, Telekom, A1/VIP, Telemach и T-Mobile в разных странах.
Пользователям Android стоит особенно внимательно относиться к приложениям, скачанным не из официального магазина, даже если значок и название выглядят знакомо. Поддельная игра или «клиент» популярной социальной сети может оказаться программой, которая за несколько секунд оформит платную подписку и спишет деньги через мобильного оператора.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.