Sklep Google Play: wykryto 28 fałszywych aplikacji na Androida

Analitycy firmy ESET zidentyfikowali 28 aplikacji, które w sklepie Google Play zachęcały obietnicą dostępu do logów połączeń oraz historii komunikatora WhatsApp. Pakiet programów nazwano roboczo CallPhantom. Z ustaleń ESET wynika, że aplikacje nie dostarczały realnych danych, a użytkownicy płacili za treści tworzone losowo.

Aplikacje miały prosty wygląd i nie wymagały przyznania szczególnie inwazyjnych uprawnień. To mogło obniżać czujność instalujących oprogramowanie. Schemat działania był podobny: użytkownik wpisywał numer telefonu, a następnie przechodził do płatności, po czym dostawał zestaw informacji udających rejestry połączeń.

ESET wskazuje, że aplikacje w praktyce generowały dane, które nie miały związku z rzeczywistością. Zamiast prawdziwych informacji pojawiały się losowe numery, przypisane do stałych nazwisk oraz fikcyjnych czasów trwania rozmów.

"Analiza wykazała, że dane dostarczane po dokonaniu opłaty były całkowicie nieprawdziwe" - wyjaśnia Kamil Sadkowski, analityk cyberbezpieczeństwa ESET. "Aplikacja generowała losowe numery telefonów i dopasowywała je do stałych nazwisk oraz fikcyjnych czasów trwania rozmów. Użytkownik płacił za losowo wygenerowane treści, które jedynie udają prawdziwe logi połączeń" - dodaje.

Według ESET omawiane aplikacje pobrano łącznie ponad 7,3 mln razy. Firma przekazała swoje ustalenia Google, a aplikacje usunięto ze sklepu.

ESET zwraca uwagę na sposoby pobierania opłat. Obok subskrypcji rozliczanych oficjalnie przez Google Play (które użytkownik może łatwiej anulować), pojawiały się zachęty do płacenia na zewnętrznych stronach lub przez formularze w samej aplikacji. To właśnie te warianty, jak podkreślają analitycy, niosą największe konsekwencje.

Sadkowski wyjaśnia, że gdy transakcja odbywa się poza oficjalnym systemem bilingowym Google Play, Google nie ma technicznej możliwości anulowania subskrypcji ani przeprowadzenia zwrotu. W efekcie reklamacja nie przebiega automatycznie przez platformę, a poszkodowani muszą kontaktować się z bankiem lub wydawcą karty, by uruchomić procedurę chargebacku.

ESET dołączył zestaw wskazówek, które mają pomóc unikać podobnych aplikacji i pułapek płatniczych:

1. Podchodź ostrożnie do obietnic sprzedażowych. Według ESET uzyskanie rejestru połączeń lub historii WhatsApp bez fizycznego dostępu do telefonu jest technicznie niemożliwe dla zwykłej aplikacji, więc takie zapewnienia należy traktować jako próbę oszustwa.
2. Trzymaj się rozliczeń w oficjalnych sklepach. ESET podkreśla, że najbezpieczniej płacić przez systemy rozliczeń Google Play (lub App Store). Jeśli aplikacja przekierowuje na zewnętrzną stronę albo prosi o dane karty w formularzu wewnątrz programu, to sygnał ostrzegawczy.
3. Rozważ wirtualną kartę z niskim limitem. W ocenie ESET taki wariant może ograniczyć skutki ewentualnego wycieku danych lub nieautoryzowanych obciążeń.
4. Sprawdzaj opinie i szukaj sygnałów ostrzegawczych. ESET zwraca uwagę, że fałszywe pozytywne recenzje są dziś łatwe do wygenerowania, dlatego warto dokładnie czytać także negatywne komentarze dotyczące aplikacji.

CallPhantom pokazuje, że ryzyko nie zawsze wiąże się z agresywnymi uprawnieniami czy skomplikowanym działaniem aplikacji. W tym przypadku kluczowe były obietnice nierealnych funkcji oraz model płatności, w którym użytkownik mógł zostać wyprowadzony poza narzędzia ochronne oferowane przez Google Play.