CallPhantom kampány
Az ESET kutatása szerint a CallPhantom egy nagyszabású Android-alapú csalási kampány, amelyben a támadók hamis alkalmazásokkal próbálták elhitetni a felhasználókkal, hogy hozzáférhetnek bármely telefonszám híváslistájához, SMS-adataihoz vagy akár WhatsApp hívásnaplóihoz. A vizsgálat során 28 ilyen alkalmazást azonosítottak a Google Playen, amelyek összesen több mint 7,3 millió letöltést értek el.
A kampány technikai szempontból nem klasszikus malware-terjesztés volt, hanem üzleti logikára épülő csalás. Az alkalmazások nem tartalmaztak valódi adatkinyerési képességet, mivel Android sandboxing és telekommunikációs architektúra mellett technikailag nem lehetséges távoli telefonszámok hívás- vagy WhatsApp-adatainak lekérdezése ilyen módon. Ehelyett az appok előre definiált vagy véletlenszerűen generált adatokat jelenítettek meg, amelyeket a forráskódba égettek.
A csalási modell lényege az volt, hogy a felhasználó fizetett a jelentések megtekintéséért. Az alkalmazások többféle monetizációs mechanizmust használtak, egy részük a Google Play hivatalos billing rendszerét alkalmazta, mások azonban közvetlen bankkártyás fizetést vagy indiai UPI tranzakciókat integráltak az alkalmazásba, megkerülve a Google szabályzatát és megnehezítve a visszatérítést.
A kampány elsősorban indiai és ázsiai felhasználókat célzott, amit a +91 előhívó alapértelmezett használata és az UPI támogatás is jelzett. Egyes alkalmazások agresszív pszichológiai nyomást alkalmaztak, például hamis értesítésekkel próbálták rávenni a felhasználót az előfizetés megvásárlására.
