Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mobile Malware CallPhantom-Android-Betrug

CallPhantom-Android-Betrug

Von Mezo in Mobile Malware
Übersetzen Sie in:

Die CallPhantom-Kampagne enthüllte, wie Cyberkriminelle die öffentliche Neugier und Fehlinformationen ausnutzen, um mit betrügerischen Android-Apps massive Gewinne zu erzielen. Die 28 schädlichen Apps, die über den offiziellen Google Play Store verbreitet wurden, gaben fälschlicherweise vor, Anruflisten, SMS-Verläufe und WhatsApp-Aktivitäten beliebiger Telefonnummern abrufen zu können. Bevor Google die Apps entfernte, hatte die Kampagne bereits über 7,3 Millionen Downloads erreicht.

Unmögliche Ansprüche, getarnt als legitime Dienstleistungen

Alle Anwendungen des CallPhantom-Clusters warben mit derselben irreführenden Funktionalität. Nutzer wurden aufgefordert, eine Telefonnummer einzugeben, woraufhin die Apps angeblich vollständige Kommunikationsverläufe generierten, einschließlich Anrufprotokollen, SMS und WhatsApp-Konversationen.

Aus technischer Sicht waren diese Behauptungen völlig unmöglich. Die Sicherheits- und Berechtigungsarchitektur von Android verhindert, dass Anwendungen auf die privaten Kommunikationsdaten anderer Nutzer zugreifen. Anstatt echte Informationen abzurufen, zeigten die Apps gefälschte Ergebnisse an, die aus fest codierten Telefonnummern, vordefinierten Namen und zufällig zugewiesenen Zeitstempeln generiert wurden, die direkt im Anwendungscode eingebettet waren.

Die Forscher identifizierten zwei primäre operative Modelle, die während der gesamten Kampagne zum Einsatz kamen:

  • Eine Gruppe von Apps zeigte sofort nur begrenzte, gefälschte Ergebnisse an und verlangte dann eine Zahlung, um den angeblichen „vollständigen Verlauf“ freizuschalten.
  • Eine andere Gruppe sammelte die E-Mail-Adressen der Nutzer, versprach, detaillierte Aufzeichnungen per E-Mail zu liefern, und verlangte eine Zahlung, bevor angeblich irgendwelche Ergebnisse versendet würden.

In beiden Fällen zahlten die Opfer für Daten, die nie existierten.

Manipulative Zahlungssysteme, die darauf ausgelegt sind, Rückerstattungen zu vermeiden

Die Betreiber von CallPhantom nutzten verschiedene Zahlungsmethoden, um ihre Einnahmen zu maximieren und gleichzeitig die Wahrscheinlichkeit erfolgreicher Rückerstattungen zu verringern. Einige Transaktionen wurden über die offizielle Google Play-Abrechnungsinfrastruktur abgewickelt, was Nutzern nur begrenzte Möglichkeiten bot, Gebühren anzufechten. Viele Apps umgingen die Google Play-Abrechnung jedoch vollständig, indem sie die Nutzer zu Drittanbieter-UPI-Zahlungsanwendungen oder eingebetteten Kartenzahlungsformularen weiterleiteten.

Diese Taktiken verstießen gegen die Google-Richtlinien und erschwerten den Rückerstattungsprozess für betroffene Nutzer erheblich. Bestimmte Varianten erhöhten die operative Flexibilität durch das dynamische Abrufen von Zahlungs-URLs von Firebase-Servern. Dies ermöglichte es den Angreifern, Zahlungskonten nach Belieben zu wechseln und erschwerte die automatische Erkennung durch Sicherheitssysteme erheblich.

Eine besonders perfide Variante nutzte psychologische Manipulation. Versuchte ein Nutzer, die App zu schließen, ohne die Zahlung abzuschließen, erschienen gefälschte Benachrichtigungen, die behaupteten, die angeforderten Anruflistenergebnisse seien soeben im Posteingang eingegangen. Diese Benachrichtigungen dienten einzig und allein dazu, die Nutzer zur Rückkehr und zum Abschluss der Zahlung zu drängen.

Regionale Ausrichtung und finanzielle Risiken

Die Kampagne richtete sich primär an Nutzer in Indien und im gesamten asiatisch-pazifischen Raum. Viele Anwendungen wählten automatisch die indische Ländervorwahl +91, um den Eindruck von Seriosität bei den Nutzern vor Ort zu verstärken. Die Abonnements kosteten zwischen ca. 5 € und 80 US-Dollar und wurden mit wöchentlichen, monatlichen und jährlichen Zahlungsoptionen angeboten.

Über den unmittelbaren finanziellen Verlust hinaus können Opfer, die Zahlungskarteninformationen über inoffizielle In-App-Bezahlformulare eingegeben haben, weiteren Risiken ausgesetzt sein, darunter unautorisierte Abbuchungen oder der Missbrauch von Zahlungsdaten.

Wie CallPhantom das Vertrauen ohne gefährliche Berechtigungen ausnutzte

Einer der bemerkenswertesten Aspekte der CallPhantom-Betrugsmasche war ihre Fähigkeit, erheblichen finanziellen Schaden anzurichten, ohne sensible Android-Berechtigungen anzufordern. Der gesamte Betrug basierte auf Social Engineering und nicht auf technischer Ausnutzung. Nutzer wurden dazu gebracht, unmögliche Behauptungen zu glauben, für erfundene Informationen zu bezahlen und unwissentlich Geld über schlecht geschützte Zahlungskanäle zu überweisen.

Obwohl Kampagnen wie CallPhantom relativ selten sind, setzen die meisten Cyberkriminellen stark auf Angst, Dringlichkeit oder Täuschung, um Benutzer dazu zu bringen, Software herunterzuladen, Käufe zu tätigen oder sensible Informationen preiszugeben.

Warnschilder und Schutzmaßnahmen

Alle identifizierten CallPhantom-Apps wurden über den offiziellen Google Play Store mit irreführenden Namen, erfundenen Beschreibungen und künstlich aufgeblähten Bewertungen verbreitet, um vertrauenswürdig zu wirken. Obwohl Google die Apps entfernt hat, können Geräte, auf denen sie vor der Entfernung installiert waren, die Software weiterhin enthalten.

Folgende Sicherheitsmaßnahmen können dazu beitragen, das Risiko ähnlicher Betrugsmaschen zu verringern:

  • Überprüfen Sie regelmäßig die installierten Anwendungen und entfernen Sie jegliche Software, die mit verdächtigen Behauptungen oder unbekannten Entwicklern in Verbindung steht.
  • Laden Sie Anwendungen nur von vertrauenswürdigen Quellen wie dem Google Play Store oder verifizierten Entwickler-Websites herunter und hinterfragen Sie Rezensionen kritisch, die übermäßig vage oder durchweg positiv erscheinen.
  • Behandeln Sie jede Anwendung, die behauptet, auf die private Kommunikation, den Standortverlauf oder die Anrufprotokolle einer anderen Person zugreifen zu können, grundsätzlich als betrügerisch.
  • Halten Sie Ihre mobilen Betriebssysteme auf dem neuesten Stand und nutzen Sie seriöse mobile Sicherheitslösungen, um den Schutz vor neuen Bedrohungen zu verbessern.

Ein deutlicher Hinweis zu Mobilfunkbetrug

Die CallPhantom-Kampagne verdeutlicht eindrücklich, dass betrügerische Anwendungen nicht immer auf Schadsoftware oder ausgeklügelte Sicherheitslücken angewiesen sind. Oft genügt psychologische Manipulation allein, um Millionen von Downloads und erhebliche finanzielle Verluste zu generieren. Jede Anwendung, die unberechtigten Zugriff auf private Daten verspricht, sollte sofort als unseriös und potenziell gefährlich eingestuft werden.

Im Trend

Am häufigsten gesehen

Wird geladen...