Aproape 250 de aplicații Android false au executat fraude de facturare în tăcere, abonând victimele fără știrea lor la servicii premium cu plată. România se numără printre țările vizate, alături de Malaezia, Thailanda și Croația.
Cum funcționa schema de fraudă
Aplicațiile rău intenționate imitau jocuri și platforme populare — TikTok, Minecraft, Grand Theft Auto, Instagram Threads și Facebook Messenger. Odată instalate, porneau automat procese de abonare la servicii cu tarif premium, fără nicio interacțiune din partea utilizatorului.
Campania a fost detectată pentru prima dată în martie 2025 de grupul de securitate cibernetică Zimperium și a rămas activă cel puțin până în ianuarie 2026.
Malware-ul citea cartela SIM a dispozitivului și se activa doar pentru anumiți operatori de telecomunicații vizați. Dacă victima nu era conectată la o rețea de interes, aplicația afișa pagini web inofensive pentru a evita detectarea. Metodele tehnice folosite includeau injecție JavaScript, interceptarea parolelor de unică folosință și automatizare prin WebView.
Trei variante de atac, fiecare mai sofisticată
Prima variantă de malware a implementat un „motor automat de abonare” care înscria utilizatorii în servicii premium fără consimțământ. Aplicația abuza de Google SMS Retriever API pentru a intercepta coduri de autentificare, după care folosea comenzi JavaScript pe pagini web ascunse pentru a finaliza abonarea prin portalul de facturare al operatorului. Victimele vedeau un ecran care simula autentificarea unui cont de joc — un truc de inginerie socială bine conceput.
A doua variantă viza utilizatorii din Thailanda prin mesaje SMS premium și folosea un sistem pe mai multe etape pentru a masca activitatea malițioasă. Potrivit Zimperium, malware-ul afișa pagini aparent legitime în prim-plan, în timp ce, în fundal, accesa portaluri de facturare ascunse prin ferestre WebView invizibile. Această variantă folosea și o tehnică avansată de furt de cookie-uri pentru a menține sesiunile autentificate cu sistemele de facturare ale operatorilor.
A treia versiune combina capabilitățile de fraudă SMS cu notificări în timp real trimise atacatorilor printr-un canal Telegram. Integrarea Telegram le permitea escrocilor să urmărească succesul operațiunii și să optimizeze strategia în timp real — un semn clar al profesionalizării atacurilor cibernetice organizate.
Cât de mare a fost impactul în România
Peste jumătate dintre victime foloseau cartele SIM din Malaezia. Utilizatorii din Thailanda și România au reprezentat fiecare aproximativ 15% din totalul atacurilor, în timp ce Croația a fost afectată în proporție de 1%. Cel puțin zece operatori de telefonie mobilă au fost vizați, printre care Orange și Vodafone — prezente și pe piața românească. Activitatea campaniei a atins apogeul în septembrie 2025, deși porțiuni din infrastructura de atac rămân funcționale și în prezent, conform raportului Zimperium.
Google susține că aplicațiile nu au ajuns în Play Store
Un reprezentant Google a declarat, citat de Dark Reading, că niciuna dintre cele 250 de aplicații nu a fost disponibilă în Google Play. Compania a adăugat că utilizatorii Android sunt protejați automat de versiunile cunoscute ale acestui malware prin Google Play Protect, activ implicit pe dispozitivele cu Google Play Services.
Cu toate acestea, experții atrag atenția că atacul evidențiază vulnerabilități sistemice în securitatea platformelor mobile. Cercetătoarea Vineeta Sangaraju a subliniat că atacatorii nu au exploatat breșe obscure, ci funcționalități documentate și utilizate pe scară largă — precum Google SMS Retriever și CookieManager API — ale căror mecanisme de control nu au ținut pasul cu potențialul lor de abuz.
Ce trebuie să facă utilizatorii din România
Zimperium a publicat pe GitHub indicatori de compromitere pe care utilizatorii și administratorii de sistem îi pot consulta pentru a verifica dacă dispozitivele lor au fost afectate. Este recomandată evitarea instalării aplicațiilor din surse externe magazinelor oficiale și verificarea periodică a abonamentelor active prin intermediul operatorului de telefonie mobilă.
Campania descoperită de Zimperium ilustrează o tendință îngrijorătoare la nivel global: în aprilie 2026, cercetătorii de la Socket au identificat peste 100 de extensii Google Chrome care exfiltrau datele de navigare ale utilizatorilor, iar anul trecut, 150 de extensii Chrome au fost transformate în instrumente de atac, infectând peste 4,3 milioane de browsere. Atacurile de tip billing fraud pe mobil nu sunt fenomene izolate — ele reflectă o nevoie urgentă de revizuire a întregului cadru de securitate al ecosistemelor de aplicații mobile și desktop.
