Дослідники з Zimperium повідомили, що у схемі використовувалося майже 250 підроблених застосунків. Серед них були копії TikTok, Minecraft, Grand Theft Auto, Instagram Threads і Facebook Messenger. Після встановлення такі програми підключали жертв до преміальних сервісів без їхньої згоди.
Як працювала схема
Кампанія вирізнялася високим рівнем автоматизації та використовувала одразу кілька методів приховування активності. Шкідливе ПЗ застосовувало JavaScript-ін’єкції, перехоплювало одноразові паролі та запускало приховані WebView-сторінки для оформлення підписок через білінгові системи мобільних операторів.
Програми аналізували SIM-карту пристрою та активувалися лише для користувачів певних операторів. Основними цілями стали жителі Малайзії, Таїланду, Румунії та Хорватії.
За даними Zimperium, вперше кампанію зафіксували в березні 2025 року, а активність зловмисників відстежували щонайменше до січня 2026-го. Водночас частина інфраструктури шахраїв досі продовжує працювати.
Google стверджує, що заражені застосунки не поширювалися через Google Play. У компанії також заявили, що Android-пристрої з сервісами Google Play автоматично захищені від відомих версій шкідливого ПЗ завдяки Play Protect.
Попри це, фахівці вважають, що ситуація вказує на серйозні проблеми безпеки мобільних маркетплейсів та екосистеми Android загалом.
Три версії шкідливого ПЗ
Хакери використовували одразу три варіанти шкідливих програм, кожен із яких був націлений на різні сценарії шахрайства.
- Перша версія автоматично оформлювала платні підписки через білінгові портали операторів зв’язку.
- Друга спеціалізувалася на преміальних SMS-сервісах і активно атакувала користувачів у Таїланді.
- Третя поєднувала SMS-шахрайство з системою сповіщень через Telegram, дозволяючи зловмисникам у реальному часі відстежувати успішні зараження.
Особливо небезпечною виявилася найпросунутіша версія. Після встановлення застосунок перевіряв SIM-карту та запускав атаку лише у разі збігу з заздалегідь визначеними операторами. Наприклад, серед цілей був малайзійський DiGi.

Щоб не викликати підозр, заражені застосунки відображали звичайні вебсторінки для користувачів, які не підпадали під умови атаки. Якщо ж пристрій відповідав потрібному оператору, програма запускала приховані механізми оформлення підписок і показувала фальшиві вікна авторизації ігрових акаунтів.
Для перехоплення кодів підтвердження зловмисники використовували Google SMS Retriever API. Після цього шкідливе ПЗ виконувало JavaScript-команди на прихованих сторінках і автоматично підключало преміальні послуги.
Крім того, дослідники виявили використання техніки викрадення cookie-файлів. Це дозволяло підтримувати активні сесії в білінгових системах операторів і обходити повторну авторизацію.
Хто став головною ціллю
Понад половину всіх атак припало на користувачів із SIM-картами Малайзії. На Таїланд і Румунію припало приблизно по 15% заражень, а Хорватія становила близько 1% активності кампанії.
Загалом шкідливе ПЗ атакувало щонайменше десять операторів зв’язку. Серед них:
- DiGi
- Celcom
- U Mobile
- Telekom
- AIS
- Orange
- Vodafone
- TrueMove H
- dtac TriNet
Пік активності шахрайської схеми припав на вересень 2025 року. Попри зниження активності на початку 2026-го, фахівці попереджають, що загроза досі залишається актуальною.
Чому експерти занепокоєні
Дослідники підкреслюють, що зловмисники використовували легітимні функції Android і сервісів Google, які самі по собі не вважаються небезпечними. Серед них — Google SMS Retriever та Android CookieManager API.
За словами інженерки з досліджень штучного інтелекту Vineeta Sangaraju, проблема полягає в тому, що чинні механізми контролю не встигають за способами зловживання цими інструментами.
Експерти також зазначають, що проблема давно вийшла за межі сторонніх магазинів застосунків. Навіть офіційні платформи продовжують пропускати шкідливе ПЗ та небезпечні розширення. Наприклад, у квітні 2026 року фахівці Socket виявили понад 100 розширень Google Chrome, які збирали дані користувачів і відстежували їхню активність в інтернеті.
Фахівці радять уважно перевіряти джерела завантаження застосунків, не встановлювати APK-файли з сумнівних ресурсів і регулярно оновлювати систему безпеки пристрою. Водночас, на думку аналітиків, цього вже недостатньо — індустрії потрібен більш глибокий перегляд підходів до захисту мобільних екосистем.
Джерело: bgr
.png)

