Gra dla mobilnych okazała się groźną pułapką

Aplikacja z Google Play automatycznie zapisuje użytkownika do dwóch płatnych subskrypcji oferowanych przez holenderskie firmy.

Ataki skierowane przeciwko użytkownikom Androida zostały zapoczątkowane przez SMS Premium. Niespełna sześć lat temu stanowiły one największe zagrożenie, ale od tego czasu wiele się zmieniło. Hakerzy są coraz bardziej zuchwali i sięgają po wyrafinowane i perfidne narzędzia. Najnowszym przykładem jest aplikacja zapisująca niczego nieświadomych użytkowników do płatnych subskrypcji. Oprogramowanie, wyłudzające pieniądze od użytkowników Androida, było dostępne na platformie Google Play przez kilka tygodni. To ciekawy przypadek.

Nasze śledztwo pozwoliło dotrzeć do wielu interesujących informacji. Poniżej znajduje się krótkie podsumowanie najważniejszych faktów, szersze informacje można znaleźć w części „Blend Color Puzzle bez tajemnic”.

Podsumowanie:

Bardzo interesująca, a zarazem perfidna, forma dystrybucji: użytkownicy są kuszeni do pobrania legalnej aplikacji Blend Color Puzzle, która tak naprawdę jest malwarem.
Po zainstalowaniu i uruchomieniu aplikacji, użytkownik bezwiednie zostaje zapisany do płatnych subskrypcji oferowanych przez dwie holenderskie firmy.
Aplikacja blokuje komunikację poprzez Wi-Fi oraz wykorzystuje WAP billing – metodę płatności stosowaną dla mobilnych urządzeń.
Wcześniej znane były przypadki związane ze stosowaniem aplikacji WAP, wówczas użytkownik wpadał w pułapkę po kliknięciu w baner internetowy. Przykład Blend Color Puzzle pokazuje, że w tej chwili nie jest to wymagane.
Abonament opłaca się za pośrednictwem spółki pośredniczącej, co utrudnia odnalezienie sprawców i podjęcie działań naprawczych.
W Internecie pojawiły się negatywne opinie na temat gry, nie można jednak znaleźć klarowanych informacji o twórcy aplikacji, a także o innych projektach tego developera.
Eksperci G DATA poinformowali Google o istnieniu szkodliwej aplikacji i została ona usunięta z platformy.

„Blend Color Puzzle bez tajemnic”

Mechanizm oszustwa najlepiej przedstawić na konkretnym przykładzie. Jedną z ofiar Blend Color Puzzle została moja przyjaciółka. Jak do tego doszło? Jest ona użytkowniczką bezpłatnej aplikacji randkowej, oferującej dodatkowe funkcje premium, za które trzeba zapłacić lub wypełnić określone zadania. Ale nie martwcie się, te ostatnie nie wiążą się z żadnymi niemoralnymi propozycjami. Istnieje kilka opcji. Można pobrać aplikację z dostępnej listy lub wykonać zalecane czynności. Nagradzane jest również zapraszanie znajomych i wypełnianie kwestionariuszy. Dostawca aplikacji zarabia pieniądze kojarząc pary. Każda akcja przeprowadzona przez zalotnych użytkowników przynosi developerowi zyski. Reguły tej zabawy wydają się być dość klarowne. Cóż mogłoby pójść źle? Okazało się, że jedna z aplikacji pobranych przez moją znajomą to wyrafinowany malware.

Gra w kolory

Gra Blend Color Puzzle polegała na rozpoznaniu, a następnie dotknięciu odpowiedniego odcienia koloru. Gra prezentowała się całkiem nieźle. Ale co tak naprawdę skusiło moją przyjaciółkę do pobrania gry? Jej ulubiona aplikacja randkowa zaoferowała darmową godzinę usług Premium w zamian za pobranie Blend Color Puzzle. Niby niewiele, ale przecież można było połączyć miłe z pożytecznym. Co ciekawe, autor programu ( [email protected] ) lub ( GHR Corp ) dopiero co zadebiutował na Google Play. Na platformie nie ma zatem innych aplikacji stworzonych przez tę osobę bądź firmę. Warto zaznaczyć, że gra wizualnie bardzo przypominała popularną aplikację Blendoku, poza tym jej ikonkę wyświetlano w bliskim sąsiedztwie znanej i lubianej aplikacji. To tłumaczy stosunkowo dużą ilość pobrań, ale o tym trochę później.

Niedługo po uruchomieniu gry moja przyjaciółka otrzymała 2 SMS-y informujące o zapisaniu się do serwisów subskrypcyjnych. Ponadto jej telefon został odłączony od sieci WLAN, z której zawsze korzysta w domu. Aplikacja zainicjowała również, bez jej wiedzy, proces płatności. Niesamowite. To zupełnie nowa forma ataków, która wymaga wnikliwej analizy.

Uprawnienia

Lista uprawnień okazała się wyjątkowo szeroka biorąc pod uwagę fakt, iż mamy do czynienia z prostą grą. Znalazły się tam informacje o odłączeniu sieci WLAN, pojawił się też komunikat o prawie do otrzymywania wiadomości SMS, aczkolwiek nie było nic o ich wysyłaniu. Specjaliści od bezpieczeństwa doszli do wniosku, że aplikacja wykorzystuje do wyłudzania pieniędzy WAP Billing.

Aktywność urządzeń i aplikacji:

Aktywność urządzeń i aplikacji
Wywoływanie aktywnych aplikacji
SMS
Otrzymywanie SMS
Zdjęcia/media/pliki
Zmiana lub usuwanie treści zamieszczonych na pamięci USB
Odczytywanie treści z pamięci USB
Informacje dotyczące połączeń WLAN
Wywoływanie połączeń WLAN
Identyfikacja urządzeń oraz informacje o połączeniach
Wywoływanie statusu telefonu i tożsamości
Inne
Wyłączanie trybu bezczynności
Dostęp do wszystkich sieci
Wywoływanie połączeń sieciowych
Ustawianie i rozłączanie połączeń WLAN
Zmiana połączeń sieciowych
Uruchamianie przy rozruchu
Wyłączanie blokady ekranu
Wyświetlanie poprzez inne aplikacje.

Kod aplikacji

Developer aplikacji maksymalnie utrudnił dostęp do kodu, czyniąc go bardzo nieczytelnym. Podczas deszyfrowania udało się nam dotrzeć do danych przechowywanych w zmiennych, a następnie przypuszczalnie wysłanych na serwer:

SIM
Sieć
Status WLAN
Status naładowania baterii
Ustawienia językowe
Producent urządzenia
Model urządzenia
Rozdzielczość ekranu
Android ID
IMSI
IMEI
Numer telefonu.

Domena, którą posługuje się developer jest aktualnie hostowana w Niemczech, aczkolwiek została zarejestrowana na Wyspach Bahama, 2 listopada 2015 roku – dzień przed debiutem Blend Color Puzzle na platformie Google Play. Ogólnie, kod aplikacji ujawnia dużą liczbę zmiennych i funkcjonowanie na podstawie zależności. Dla przykładu 60 sekund po przełączeniu się z sieci WLAN do operatora telefonii komórkowej, zainicjowanej przez aplikację, zostaje wywołane webview. Oznacza to, że strona jest wywoływana, ale użytkownik tego nie widzi, nie jest wyświetlany żaden komunikat. To prowadzi do podejrzeń, że w ten sposób dostarczano dane billingowe potrzebne do zapłaty za subskrypcję. Aplikacja oczywiście została rozpoznana i unieszkodliwiona przez systemy zabezpieczeń G DATA.

Ten typ ataków to dla nas prawdziwy fenomen” – mówi Ralf Benzmüller, szef of G DATA SecurityLabs. „Mozolnie opracowany przez grupę oszustów mechanizm wyłudził opłaty od użytkowników. Złośliwa aplikacja zbiera dane na ich temat, przekierowuje do płatnych serwisów, a na dodatek sabotuje łączność mobilną”.

W podobnym tonie wypowiada się Markus Wortmann, kryminolog i policjant. „Część poszkodowanych użytkowników skontaktowała się z nami szukając pomocy. Wcześniej mieliśmy często do czynienia z innymi przypadkami. Zazwyczaj użytkownicy w pośpiechu akceptowali umowy, nie czytając dokładnie ich treści. Ale to co się stało w przypadku Blend Color Puzzle to zupełna nowość.

Opinie

Gra Blend Color Puzzle doczekała się ponad 1000 komentarzy, w tym 25 procent stanowią negatywne opinie. Pierwsza nieprzychylna aplikacji recenzja pojawiła się 6 listopada – trzy dni po debiucie na Google Play. Wkrótce potem użytkownicy opublikowali kolejne negatywy. Niemniej na szczególną uwagę zasługują pozytywne recenzje. Ich dokładna analiza pokazuje, że wiele komentarzy nijak ma się do samego charakteru gry. Niektórzy autorzy wpisów chwalą się ilością pokonanych poziomów. Problem polega na tym, że w Blend Color Puzzle nie ma takowej gradacji, a grę zaczyna się za każdym razem od początku. Inni piszą coś o niebieskich kropkach. Kolejny fałsz, bowiem taki element w ogóle nie występuje w tej grze. Również dane części komentatorów są egzotyczne i sztuczne. Czasami ci sami ludzie posługują się tym samym zdjęciem lub podają się za kogoś innego np. aktora Jackson Rathbone’a. Oczywiście zdarza się, że fani zamieszczają w swoich profilach zdjęcia gwiazd, niemniej w tym przypadku wiele wskazuje na działania oszustów.

Kto stoi za subskrypcją?

Wiadomości SMS otrzymane przez moją przyjaciółkę, wskazują, że w proceder płatności zaangażowały się trzy podmioty: net mobile AG oraz dwie firmy holenderskie – Telefuture Nederland B.V. i Globway B.

Z kolei produkty nosiły nazwy ABO MOBIMANIACS DOWNLOAD i ABO DE.APPTIPS.ME. Każdy z nich kosztował 4,99 € za 7 dni.

AG mobilny net pełnił rolę pośrednika pomiędzy operatorem i dwoma holenderskimi firmami. Kiedy przyjaciółka skontaktowała się z tą firmą, reakcja była szybka – subskrypcje anulowano.

Niemniej, żeby odzyskać pieniądze, musiała zwrócić się do holenderskich firm.

Globway B.V. jest częścią grupy Telefuture, stąd siedziby obu firmy znajdują się obok siebie i są zlokalizowane kilka kilometrów na północ od centrum Rotterdamu. Ich nazwy przewijają się na forach internetowych, grupach dyskusyjnych w kontekście nieuczciwie pobieranych opłat za subskrypcje.

Na swojej stronie internetowej, Globway B.V. oficjalnie informuje o cenach i metodach płatności stosowanych w poszczególnych krajach. Dla przykładu w Niemczech jeśli usługa kosztuje 4,99 euro i jest sprzedawana za pośrednictwem T-Mobile w kasie holenderskiej firmy pozostaje 2,68 euro po opodatkowaniu. Jeszcze bardziej opłaca się współpraca z siecią Vodafone, gdzie Globway B.V zarabia na czysto 2.86 euro. Powyższe dane są dobrym wskaźnikiem potencjalnych zysków z transakcji.

Wnioski

Możemy być pewni, że pułapki abonamentowe będą poważnym zagrożeniem dla użytkowników mobilnych aplikacji. W opisywanym przypadku, pułapka została zastawiona w wyjątkowo perfidny sposób. Użytkownik jest zapisywany do płatnej subskrypcji bez wyrażenia zgody. To kompletnie nowe zjawisko. Powyższa historia po raz kolejny udowadnia, że „za darmo” nie zawsze jest najtańszą opcją. Z perspektywy czasu okazuje się, że bardziej opłacalne byłoby opłacanie funkcji premium za 9,99 euro, wówczas przyjaciółka otrzymałaby 250 bitcoinów, co oznaczałoby miesiąc korzystania z usług najwyższej jakości. A do tego dochodzi przecież jeszcze niepotrzebny stres i stracony czas, który trzeba poświęcić na anulowanie subskrypcji i ewentualne odzyskanie pieniędzy.

Jak się chronić

Użytkownicy powinni skontaktować się ze swoim operatorem i poprosić o blokadę usług świadczonych przez innych dostawców. To zatrzyma proces płatności świadczonych na rzecz nieznanych providerów.
Należy stosować kompleksowe narzędzia do ochrony danych. Przykładem takiego rozwiązania jest G DATA INTERNET SECURITY for Android
Warto dokładnie śledzić komentarze oraz oceny wystawiane przez użytkowników mobilnych aplikacji. Duża ilość negatywnych opinii stanowi swojego rodzaju sygnał ostrzegawczy dla potencjalnego użytkownika.

Jeśli się już zdarzy

Skontaktuj się z operatorem telefonii komórkowej i złóż reklamację dotyczącą płatności
Zdobądź od swojego operatora informacje na temat pośrednika oraz firm trzecich
Skontaktuj się prawnikiem i zapytaj czy warto skierować sprawę na drogę prawną.