Во октомври, тимот на Zimperium zLabs откри детали за измамата наречена „GriftHorse“, масовна кампања за злоупотреба на мобилните премиум услуги што им се закануваше на околу 10 милиони корисници на Android ширум светот. Во обид да откријат некои други слични измами, истражувачите на zLabs открија уште една слична кампања со повеќе од 105 милиони жртви од целиот свет, која ја нарекоа „Dark Herring“. Вкупната штета што ја претрпеле измамените корисници би можела да достигне стотици милиони долари.
Измамата со претплати на премиум услуги за Android, „Dark Herring“, трае речиси две години. Измамниците користеле 470 апликации од Google Play Store, официјалниот и најдоверлив извор на апликации за Android. Првата апликација користена во операцијата беше поднесена до Google во март 2020 година.
Лажни апликации за измама се инсталирани од 105 милиони корисници во 70 земји, кои се претплатиле на услуги на кои им се наплаќале 15 долари месечно преку директно задолжување на телекомуникациските услуги на мобилен оператор. („Direct Carrier Billing“, DCB). DCB е опција за плаќање што им овозможува на луѓето да купуваат дигитална содржина од Play Store и да ги платат трошоците преку телефонска сметка.
На корисниците им се прикажуваат малициозни веб-страници во зависност од земјата во која се наоѓаат, врз основа на IP адресата и јазикот на уредот. Овој трик за социјално инженерство се покажа како исклучително успешен бидејќи на корисниците им е полесно да споделуваат информации на веб-страна на нивниот јазик.
За разлика од многу други малициозни апликации кои не го прават она што го ветуваат, овие апликации се функционални, што значи дека често остануваат инсталирани на телефоните и таблетите долго време. Оние кои ја организираа „Dark Herring“ ги уновчувале претплатите, додека корисниците често доцна дознавале што се случува, понекогаш неколку месеци по заразата.
Злонамерните апликации се дистрибуираат и преку Google Play и преку алтернативни продавници за апликации.
Zimperium zLabs го пријави своето откритие до Google, а во моментот на објавување на извештајот Zimperium zLabs, Google ги отстрани сите малициозни апликации од Play Store. Сепак, тие сè уште можат да се најдат во алтернативни продавници за апликации. Zimperium zLabs е партнер на Google и член на Google Alliance for Application Defense, чија цел е да го реши проблемот со малициозен софтвер во Play Store.
Повеќето од овие 470 апликации за дистрибуција на малициозен софтвер спаѓаат во категоријата забава. Апликациите вклучуваат фото алатки, игри, комунални услуги и апликации за продуктивност.
Еден од клучните фактори за успехот на „Dark Herring“ е недостатокот или отсуството на закони за заштита на корисниците на DCB, така што корисниците во некои земји поминаа полошо од корисниците во други земји. Во поголем ризик се Индија, Пакистан, Саудиска Арабија, Египет, Грција, Финска, Шведска, Норвешка, Бугарија, Ирак и Тунис. Дури и во земјите каде што се применуваат строги правила за заштита на DCB, ако жртвите доцна забележат измама, повратот на парите можеби нема да биде возможно.
Најпопуларните апликации Dark Herring, секоја со неколку милиони преземања, се: Smashex, Upgradem, Stream HD, Vidly Vibe, Cast It, My Translator Pro, New Mobile Games, StreamCast Pro, Ultra Stream, Photograph Labs Pro, VideoProj Lab, Drive Simulator, Speedy Cars – Final Lap, Football Legends, Football HERO 2021, Grand Mafia Auto, Offroad Jeep Simulator, Smashex Pro, Racing City, Connectool, City Bus Simulator 2.
Списокот на сите 470 малициозни апликации за Android може да се најде на оваа страница на GitHub.