Các nhà nghiên cứu an ninh mạng đã phát hiện ra các ứng dụng lừa đảo trên Google Play Store chính thức dành cho Android. Những ứng dụng này mạo danh cung cấp quyền truy cập vào lịch sử cuộc gọi của bất kỳ số điện thoại nào, nhưng thực chất là để lừa người dùng đăng ký các gói thuê bao cung cấp dữ liệu giả mạo và gây thiệt hại về tài chính.
Tổng cộng 28 ứng dụng đã thu về hơn 7,3 triệu lượt tải xuống, trong đó chỉ riêng một ứng dụng đã chiếm hơn 3 triệu lượt tải trước khi bị gỡ bỏ khỏi cửa hàng ứng dụng chính thức. Hoạt động này, được công ty an ninh mạng ESET của Slovakia đặt mã hiệu là CallPhantom, chủ yếu nhắm vào người dùng Android ở Ấn Độ và khu vực Châu Á - Thái Bình Dương rộng lớn hơn.
"Các ứng dụng vi phạm mà chúng tôi đặt tên là CallPhantom dựa trên những tuyên bố sai sự thật của chúng, tuyên bố cung cấp quyền truy cập vào lịch sử cuộc gọi, hồ sơ SMS và thậm chí cả nhật ký cuộc gọi WhatsApp cho bất kỳ số điện thoại nào," nhà nghiên cứu bảo mật của ESET, Lukáš Štefanko, cho biết trong một báo cáo chia sẻ với The Hacker News. "Để mở khóa tính năng giả định này, người dùng được yêu cầu trả tiền — nhưng tất cả những gì họ nhận được chỉ là dữ liệu được tạo ngẫu nhiên."
Danh sách các ứng dụng đã được xác định
- Call history : any number deta (calldetaila.ndcallhisto.rytogetan.ynumber)
- Call History of Any Number (com.pixelxinnovation.manager)
- Call Details of Any Number (com.app.call.detail.history)
- Call History Any Number Detail (sc.call.ofany.mobiledetail)
- Call History Any Number Detail (com.cddhaduk.callerid.block.contact)
- Call History Of Any Number (com.basehistory.historydownloading)
- Call History of Any Numbers (com.call.of.any.number)
- Call History Of Any Number (com.rajni.callhistory)
- Call History Any Number Detail (com.callhistory.calldetails.callerids.callerhistory.callhostoryanynumber.getcall.history.callhistorymanager)
- Call History Any Number Detail (com.callinformative.instantcallhistory.callhistorybluethem.callinfo)
- Call History Any Number detail (com.call.detail.caller.history)
- Call History Any Number Detail (com.anycallinformation.datadetailswho.callinfo.numberfinder)
- Call History Any Number Detail (com.callhistory.callhistoryyourgf)
- Call History Any Number (com.calldetails.smshistory.callhistoryofanynumber)
- Call History Any Number Detail (com.callhistory.anynumber.chapfvor.history)
- Call History of Any Number (com.callhistory.callhistoryany.call)
- Call History Any Number Detail (com.name.factor)
- Call History Of Any Number (com.getanynumberofcallhistory.callhistoryofanynumber.findcalldetailsofanynumber)
- Call History Of Any Number (com.chdev.callhistory)
- Phone Call History Tracker (com.phone.call.history.tracke)
- Call History- Any Number Deta (com.pdf.maker.pdfreader.pdfscanner)
- Call History Of Any Number (com.any.numbers.calls.history)
- Call History Any Number Detail (com.callapp.historyero)
- Call History - Any Number Data (all.callhistory.detail)
- Call History For Any Number (com.easyranktools.callhistoryforanynumber)
- Call History of Numbers (com.sbpinfotech.findlocationofanynumber)
- Call History of Any Number (callhistoryeditor.callhistory.numberdetails.calleridlocator)
- Call History Pro (com.all_historydownload.anynumber.callhistorybackup)
Thủ đoạn xây dựng lòng tin giả và vi phạm chính sách thanh toán
Ít nhất một trong những ứng dụng bị đánh dấu đã được phát hành dưới tên nhà phát triển "Indian gov.in" nhằm tạo ra cảm giác tin tưởng giả tạo và đánh lừa người dùng tải xuống.
Tuy nhiên, mánh khóe này che giấu một mục đích xấu xa, nơi các nạn nhân được yêu cầu thanh toán để xem chi tiết lịch sử cuộc gọi và SMS của một số điện thoại. Sau khi thanh toán xong, người dùng được cung cấp các số điện thoại và tên hoàn toàn hư cấu được nhúng trực tiếp vào mã nguồn. Bằng chứng cho thấy hoạt động này có thể đã bắt đầu ít nhất từ tháng 11 năm 2024.
Nhóm ứng dụng thứ hai được tìm thấy yêu cầu người dùng nhập địa chỉ email của họ, nơi mà các chi tiết giả định về bất kỳ số điện thoại nào sẽ được gửi đến. Tương tự như trường hợp trước, không có dữ liệu nào được tạo ra cho đến khi thực hiện thanh toán.
Các khoản thanh toán dựa trên gói thuê bao thông qua hệ thống thanh toán chính thức của Google Play Store hoặc thông qua các ứng dụng bên thứ ba hỗ trợ UPI (Unified Payments Interface), một hệ thống thanh toán tức thời được sử dụng rộng rãi ở Ấn Độ. Trớ trêu thay, danh sách này bao gồm Google Pay, PhonePe (do Walmart hỗ trợ) và Paytm. Phương thức thứ ba bao gồm các biểu mẫu thanh toán bằng thẻ trực tiếp bên trong ứng dụng. Hai phương thức sau đã vi phạm chính sách của Google.
Trong ít nhất một trường hợp, các ứng dụng đã thực hiện thêm một mánh khóe để thuyết phục người dùng thanh toán. Nếu họ thoát ứng dụng mà không thực hiện bất kỳ giao dịch nào, ứng dụng sẽ hiển thị một thông báo lừa đảo tuyên bố rằng lịch sử cuộc gọi của một số điện thoại nhất định đã được gửi thành công đến địa chỉ email của họ. Việc nhấp vào thông báo sẽ dẫn người dùng trực tiếp đến màn hình đăng ký thuê bao.
Tác động và khuyến cáo
Các gói thuê bao thay đổi tùy theo ứng dụng, dao động từ khoảng 6 USD đến 80 USD. Những người dùng có thể đã trở thành nạn nhân của vụ lừa đảo này nên được hủy gói thuê bao sau khi các ứng dụng bị gỡ bỏ khỏi Google Play Store.
Điều làm cho hoạt động này đáng chú ý là các ứng dụng có giao diện người dùng đơn giản và không yêu cầu bất kỳ quyền nhạy cảm nào. Thêm vào đó, chúng thậm chí không chứa bất kỳ chức năng nào để truy xuất dữ liệu cuộc gọi, SMS hoặc WhatsApp.
"Người dùng đã đăng ký qua hệ thống thanh toán chính thức của Google Play có thể đủ điều kiện được hoàn tiền theo chính sách của Google," ESET cho biết. "Các giao dịch mua được thực hiện qua các ứng dụng thanh toán bên thứ ba hoặc thông qua nhập thẻ thanh toán trực tiếp không thể được Google hoàn tiền, khiến người dùng phải phụ thuộc vào các nhà cung cấp thanh toán bên ngoài hoặc các nhà phát triển."
Liên quan đến các chiến dịch GoldFactory tại Đông Nam Á
Tiết lộ này được đưa ra khi Group-IB cho biết các tác nhân xấu đã đánh cắp khoảng 2 triệu USD từ người dùng Indonesia như một phần của chiến dịch gian lận liên quan đến việc mạo danh nền tảng thuế của quốc gia này, CoreTax, và các thương hiệu tin cậy khác. Chiến dịch bắt đầu vào tháng 7 năm 2025 này có liên quan đến một nhóm đe dọa có động cơ tài chính được gọi là GoldFactory.
"Chuỗi tấn công tích hợp các trang web lừa đảo (phishing), kỹ thuật xã hội (WhatsApp), cài đặt mã độc APK (sideloading) và lừa đảo qua giọng nói (vishing) để đạt được sự thỏa hiệp hoàn toàn thiết bị và thực hiện các giao dịch chuyển tiền trái phép," Group-IB cho biết.
Ở cấp độ cao, các cuộc tấn công này liên quan đến việc sử dụng kỹ thuật xã hội để phân phối các ứng dụng giả mạo qua WhatsApp, khi được cài đặt, chúng sẽ triển khai các mã độc Android như Gigabud RAT, MMRat và Taotie có khả năng thu thập dữ liệu nhạy cảm và tải xuống các thành phần bổ sung. Thông tin bị đánh cắp sau đó được sử dụng để tiến hành các cuộc tấn công chiếm đoạt tài khoản và trộm cắp tài chính.
"Cơ sở hạ tầng mã độc hỗ trợ chiến dịch lừa đảo này không giới hạn ở một dịch vụ bị mạo danh duy nhất. Cơ sở hạ tầng tương tự đã được quan sát thấy đang tích cực lạm dụng hơn 16 thương hiệu đáng tin cậy, nhắm mục tiêu tập thể vào dân số rộng lớn của Indonesia với khoảng 287 triệu người," Group-IB nói thêm.
