Φαντάσου την απογοήτευση που νιώθεις όταν επενδύεις χρήματα σε μια υπηρεσία που σου υπόσχεται πρόσβαση σε ιστορικό κλήσεων και μηνύματα WhatsApp, μόνο για να διαπιστώσεις ότι όλα όσα βλέπεις είναι ψευδή. Δυστυχώς, αυτό είναι το άσχημο αποτέλεσμα που βίωσαν εκατομμύρια χρήστες Android σε όλο τον κόσμο. Η ESET, μια κορυφαία εταιρεία στον τομέα της κυβερνοασφάλειας, αποκάλυψε μια εξαιρετικά καλά οργανωμένη απάτη που ονομάζεται CallPhantom, η οποία είχε καταφέρει να διεισδύσει στο επίσημο κατάστημα της Google (Google Play Store) και να συγκεντρώσει περισσότερες από 7,3 εκατομμύρια εγκαταστάσεις, εκμεταλλευόμενη τις αδυναμίες των χρηστών.
Πώς λειτουργούσε η παγίδα του CallPhantom
Οι δημιουργοί των 28 εφαρμογών του CallPhantom εκμεταλλεύτηκαν την περιέργεια των χρηστών και την ανάγκη τους για έλεγχο των επικοινωνιών τους. Υποσχέθηκαν πρόσβαση σε ιστορικά κλήσεων και SMS οποιουδήποτε αριθμού, μια υπόσχεση που φυσικά δεν είχε καμία νόμιμη βάση. Καμία εφαρμογή Android δεν έχει το δικαίωμα να συλλέγει ή να προβάλλει ιδιωτικά δεδομένα τρίτων.
Μόλις ο χρήστης εγκαθιστούσε την εφαρμογή, εμφανιζόταν μια οθόνη η οποία «ταξίδευε» στην «επεξεργασία» δεδομένων. Στην πραγματικότητα, όμως, ο κώδικας της εφαρμογής παρήγαγε τυχαίους αριθμούς τηλεφώνου και τους συνέδεε με ονόματα και χρονικές στήλες που ήδη υπήρχαν στο εσωτερικό της εφαρμογής. Για να δει ο χρήστης το περιβόητο «αποτέλεσμα», απαιτείτο φυσικά να πληρώσει μια συνδρομή.
Ψεύτικες ειδοποιήσεις και ακριβές συνδρομές
Η απάτη δεν περιορίστηκε μόνο στην παρουσίαση ψεύτικων δεδομένων. Οι απατεώνες χρησιμοποίησαν έξυπνα τεχνάσματα για να πιέσουν τους χρήστες να προχωρήσουν σε αγορά. Ειδικότερα, αν κάποιος προσπάθησε να κλείσει την εφαρμογή χωρίς να αποκτήσει συνδρομή, δέχονταν ψεύτικες ειδοποιήσεις μέσω email, οι οποίες τον ενημέρωναν ότι “το ιστορικό κλήσεων του είναι έτοιμο” – μια τακτική που προσπαθούσε να ενθαρρύνει τον χρήστη να επιστρέψει και να πληρώσει.
Οι τιμές για αυτά τα ανύπαρκτα δεδομένα κυμαίνονταν από 5 ευρώ έως και 80 δολάρια. Αυτό που κάνει την υπόθεση ακόμα πιο αποκαρδιωτική είναι το γεγονός ότι οι δημιουργοί των εφαρμογών προσπαθούσαν να εμφανιστούν ως αξιόπιστοι, χρησιμοποιώντας ονόματα που παρέπεμπαν σε κυβερνητικές υπηρεσίες, όπως για παράδειγμα το “Indian gov.in”, παρόλα ταύτα, δεν είχαν καμία σχέση με αυτές.
Το πρόβλημα με τις επιστροφές χρημάτων
Η Google αντέδρασε γρήγορα και αφαίρεσε τις σχετικές εφαρμογές μόλις ενημερώθηκε για την απάτη από την ESET. Ωστόσο, η διαδικασία αποκατάστασης για τα θύματα αποδεικνύεται εξαιρετικά δύσκολη. Πολλές από τις εφαρμογές είχαν καταφέρει να παρακάμψουν το επίσημο σύστημα πληρωμών της Google Play, χρησιμοποιώντας εξωτερικές φόρμες ή άλλες πλατφόρμες πληρωμών, όπως το UPI.
Αυτό σημαίνει ότι η Google μπορεί να ακυρώσει μόνο τις συνδρομές που έγιναν μέσω του επίσημου συστήματός της και να επιστρέψει χρήματα για αυτές. Για τις άλλες περιπτώσεις, οι χρήστες είναι υποχρεωμένοι να επικοινωνήσουν με τις τράπεζές τους, μια διαδικασία που συχνά οδηγεί σε αδιέξοδο και απογοήτευση.
