Istraživači kompanije Zimperium otkrili su višemjesečnu Android kampanju pod nazivom Premium Deception, u kojoj je korišćeno gotovo 250 lažnih aplikacija za tajno prijavljivanje korisnika na premijum servise koji se naplaćuju preko mobilnog računa.
Prema analizi zLabs istraživačkog tima, kampanja je trajala od marta 2025. do sredine januara 2026. godine, ali je dio infrastrukture i dalje aktivan.
Lažne aplikacije predstavljale su se kao aplikacije popularnih brendova, uključujući Facebook Messenger, Instagram Threads, TikTok, Minecraft i Grand Theft Auto.
Istraživači su identifikovali tri varijante malvera različitog nivoa sofisticiranosti.
Najnaprednija varijanta automatizovala je čitav proces prijave na premijum servise.
Nakon što proveri kod operatera SIM kartice uređaja i potvrdi da pripada ciljanoj mreži, malver isključuje Wi-Fi kako bi sav saobraćaj prebacio na mobilnu mrežu. Zatim u skrivenom WebView prozoru otvara zvanični portal operatera i automatski izvršava proces prijave, uključujući slanje zahtjeva za TAC kod, unos jednokratne lozinke i potvrdu pretplate. Jednokratne lozinke malver prikuplja zloupotrebom Google SMS Retriever API-ja, legitimne Android funkcije namenjene automatskom čitanju verifikacionih kodova.
Druga varijanta je koristila višefazni napad sa dinamičkim ciljevima preuzetim sa komandno-kontrolnog servera. Malver je pritom zakazivao odloženo slanje SMS poruka kako bi otežao otkrivanje prevara i prikupljao kolačiće sesija sa skrivenih stranica za naplatu preko operatera.
Treća varijanta uključivala je i Telegram notifikacije koje su napadačima u realnom vremenu slale informacije o uspješnim infekcijama, dodeljenim dozvolama i poslatim premijum SMS porukama, prenosi portal "Informacija".
Istraživači navode da infrastruktura kampanje ukazuje na dobro organizovanu operaciju.
Svaki maliciozni uzorak sadržao je posebne HTTP identifikatore koji su napadačima omogućavali praćenje uspješnosti različitih lažnih aplikacija i distribucionih kanala poput TikTok-a, Facebook-a i Google oglasa.
U slučajevima kada uređaj nije koristio podržanog mobilnog operatera, malver je prikazivao bezazlen sadržaj kako bi izbjegao sumnju i ostao aktivan na uređaju.
Istraživači su identifikovali najmanje 12 premijum SMS brojeva zloupotrebljenih u Maleziji, Tajlandu, Rumuniji i Hrvatskoj, kao i komandno-kontrolnu infrastrukturu.
Korisnicima se savjetuje da izbjegavaju instalaciju Android aplikacija iz nezvaničnih prodavnica, proveravaju aplikacije koje koriste imena poznatih brendova i redovno kontrolišu mobilne račune zbog neočekivanih pretplata i troškova.