У Google Play знайшли 28 шкідливих додатків, які крадуть гроші: перевірте свій смартфон

Магазин Google Play знову опинився в центрі уваги через виявлення масштабної мережі шкідливого ПЗ. Експерти з кібербезпеки ідентифікували десятки програм, які обіцяли неможливе, заманивши в пастку понад сім мільйонів людей по всьому світу та змусивши їх віддати гроші ні за що.

Дослідники безпеки з компанії ESET виявили в офіційному магазині Google Play 28 шкідливих додатків, які отримали спільну назву CallPhantom. Ці програми обіцяли користувачам доступ до конфіденційної інформації інших людей: історії викликів, записів SMS та навіть логів дзвінків у WhatsApp для будь-якого номера телефону. Попри те, що такі функції технічно неможливі, цікавість аудиторії призвела до того, що ці додатки були встановлені понад 7,3 мільйона разів, пишеPhoneArena.

Дивіться такожЦей простий метод допоможе створити нездоланний пароль, який ви точно запам'ятаєте

Аналіз показав, що вся надана програмами інформація була цілковитою фальсифікацією. Замість реальних даних користувачі отримували випадково згенеровані номери телефонів, які поєднувалися з жорстко закодованими в програмному коді іменами, часом та тривалістю викликів.

Як зазначено у звіті, шахраї навіть використовували скриншоти з підробленими кодами у самому описі додатків у Play Store, щоб переконати жертв у дієздатності сервісу.

Один із шахрайських застосунків, що був орієнтований на Індію / Скриншоти ESET

Шахрайська кампанія була чітко структурована. Фахівці виділили два основні кластери додатків:

Цікаво, що розробники намагалися виглядати максимально легітимно. Один із найпопулярніших додатків мав назву "Call History of Any Number" і був опублікований від імені розробника Indian gov.in, тобто нібито від урядової структури. Це створювало хибне враження зв'язку з індійською владою, хоча насправді жодного стосунку до неї програма не мала.

Основним ринком для зловмисників (але не єдиним) стала Індія – другий за величиною ринок смартфонів у світі. Програми часто мали заздалегідь обраний телефонний код країни +91 та підтримували місцеву платіжну систему UPI.

Згенеровані номери, які нібито виявила програма / Скриншоти ESET

Ціни за "послуги" CallPhantom варіювалися в широкому діапазоні: від 5 євро за найдешевшу підписку до 80 доларів США за преміальні пакети.

Щоб змусити користувача заплатити, застосовувалися методи психологічного тиску. Наприклад, якщо людина виходила з програми без оплати, вона могла отримати фальшиве сповіщення, замасковане під електронний лист, про те, що результати пошуку вже прибули. Натискання на таке сповіщення вело прямо на сторінку оплати.

Програми CallPhantom / Скриншоти ESET

Лукас Стефанко, дослідник шкідливого програмного забезпечення у компанії ESET, підкреслив, що ці додатки не запитували небезпечних дозволів, оскільки вони не містили жодного функціоналу для реального збору даних із пристрою. Шахраї просто експлуатували цікавість людей.

Оскільки ESET є партнеромApp Defense Alliance, всі виявлені програми були передані Google і згодом видалені з магазину.

Проте видалення програм не вирішило всіх проблем користувачів. Ті, хто оформлював підписку через офіційну платіжну системуGoogle Play, можуть розраховувати на повернення коштів згідно з політикою платформи.

Однак деякі додатки CallPhantom використовували сторонні методи оплати – через UPI або пряме введення даних банківських карток у самій програмі. У таких випадкахGoogleне може скасувати транзакцію чи повернути гроші, тому жертвам доведеться звертатися безпосередньо до своїх банків або платіжних операторів.

Шахрайські додатки давно перестали бути примітивними "вірусами" з дивними назвами. Сьогодні вони часто виглядають як звичайні програми для редагування фото, очищення смартфона,VPN-сервіси, трекери дзвінків, криптогаманці або навіть банківські застосунки. Частина таких програм потрапляє навіть у магазин Google Play, через що користувачі помилково вважають їх безпечними лише через сам факт присутності в офіційному каталозі.

Одна з головних ознак шахрайського додатка – надто агресивні обіцянки. Якщо програма заявляє, що може показати чужі повідомленняWhatsApp, історію дзвінків іншої людини, "зламати" акаунт або миттєво прискорити смартфон у кілька разів, це майже гарантовано обман, спрямований на тих, хто хоче за будь-яку ціну шпигувати за пристроєм свого партнера, друга чи ворога, пишеTechRadar.

Ще одна ознака – дивний набір дозволів. Наприклад, калькулятор або ліхтарик не повинні просити доступ до контактів, мікрофона, SMS чи спеціальних можливостей Android Accessibility Services. Саме через Accessibility Services шкідливі програми часто отримують контроль над екраном, читають повідомлення, натискають кнопки замість користувача та навіть крадуть банківські дані.

Також варто звертати увагу на сторінку розробника. У шахрайських програм часто немає нормального сайту, політики конфіденційності, історії інших додатків чи зрозумілого опису компанії. Назви розробників можуть виглядати випадковими або змінюватися. Інколи шахраї копіюють дизайн відомих застосунків, але додають непомітні зміни у назві.

Окрема проблема – фальшиві відгуки. У Google Play давно існує цілий ринок накрутки оцінок та коментарів. Існує ціле наукове дослідження на цю тему, яке можна прочитати на сервері препринтівarXiv. У ньому автори виявили схеми, у яких додатки штучно отримували високі рейтинги через мережі ботів та куплені акаунти. Тому велика кількість п'ятизіркових оцінок сама по собі не гарантує безпеки. Підозру мають викликати короткі шаблонні коментарі на кшталт "Excellent app", "Very good" або сотні однотипних відгуків за короткий час.

Багато користувачів дивуються, чому Google взагалі пропускає небезпечні програми у свій магазин. Насправді процес перевірки дуже складний і частково автоматизований. Розробник створює акаунт, завантажує APK-файл програми, опис, скриншоти та проходить автоматичне сканування. Google використовує системи машинного навчання, поведінковий аналіз і ручні перевірки. Компанія заявляє, що у 2025 році заблокувала понад 1,75 мільйона небезпечних або шахрайських застосунків і понад 80 тисяч акаунтів розробників.

Проблема в тому, що хакери постійно адаптуються. Частина шкідливих програм поводиться "нормально" під час перевірки, але активує небезпечні функції вже після встановлення або через кілька днів за допомогою оновлення, яке впроваджує новий код.

Ситуацію ускладнює масштаб самого магазину. Google Play містить мільйони програм, а нові додатки й оновлення з'являються постійно. Навіть автоматизовані AI-системи не можуть гарантувати стовідсоткове виявлення загроз. Крім того, шахраї активно використовують обфускацію – навмисне заплутування коду, яке ускладнює аналіз програми.