У Google Play знайшли 28 шкідливих додатків, які крадуть гроші: перевірте свій смартфон

• Експерти з кібербезпеки виявили 28 шкідливих додатків у Google Play, які замість реальних даних надавали фальсифіковану інформацію і вимагали оплату за "послуги".
• Ці додатки, встановлені понад 7,3 мільйона разів, були видалені з магазину, проте користувачам, які використовували сторонні методи оплати, доведеться звертатися до своїх банків для повернення коштів.

Магазин Google Play знову опинився в центрі уваги через виявлення масштабної мережі шкідливого ПЗ. Експерти з кібербезпеки ідентифікували десятки програм, які обіцяли неможливе, заманивши в пастку понад сім мільйонів людей по всьому світу та змусивши їх віддати гроші ні за що.

Як працювала схема і чому мільйони людей їй повірили?

Дослідники безпеки з компанії ESET виявили в офіційному магазині Google Play 28 шкідливих додатків, які отримали спільну назву CallPhantom. Ці програми обіцяли користувачам доступ до конфіденційної інформації інших людей: історії викликів, записів SMS та навіть логів дзвінків у WhatsApp для будь-якого номера телефону. Попри те, що такі функції технічно неможливі, цікавість аудиторії призвела до того, що ці додатки були встановлені понад 7,3 мільйона разів, пише PhoneArena.

Дивіться також Цей простий метод допоможе створити нездоланний пароль, який ви точно запам'ятаєте

Аналіз показав, що вся надана програмами інформація була цілковитою фальсифікацією. Замість реальних даних користувачі отримували випадково згенеровані номери телефонів, які поєднувалися з жорстко закодованими в програмному коді іменами, часом та тривалістю викликів.

Як зазначено у звіті, шахраї навіть використовували скриншоти з підробленими кодами у самому описі додатків у Play Store, щоб переконати жертв у дієздатності сервісу.

Один із шахрайських застосунків, що був орієнтований на Індію / Скриншоти ESET

Шахрайська кампанія була чітко структурована. Фахівці виділили два основні кластери додатків:

• Програми першої групи показували користувачу часткові "результати" з вигаданими даними та вимагали оплату за перегляд повного списку.
• Додатки другого кластера просили ввести адресу електронної пошти, на яку нібито мали надіслати зібрану історію дзвінків, але жодна генерація даних не починалася до моменту оформлення підписки.

Цікаво, що розробники намагалися виглядати максимально легітимно. Один із найпопулярніших додатків мав назву "Call History of Any Number" і був опублікований від імені розробника Indian gov.in, тобто нібито від урядової структури. Це створювало хибне враження зв'язку з індійською владою, хоча насправді жодного стосунку до неї програма не мала.

Основним ринком для зловмисників (але не єдиним) стала Індія – другий за величиною ринок смартфонів у світі. Програми часто мали заздалегідь обраний телефонний код країни +91 та підтримували місцеву платіжну систему UPI.

Згенеровані номери, які нібито виявила програма / Скриншоти ESET

Скільки це коштувало жертвам?

Ціни за "послуги" CallPhantom варіювалися в широкому діапазоні: від 5 євро за найдешевшу підписку до 80 доларів США за преміальні пакети.

Щоб змусити користувача заплатити, застосовувалися методи психологічного тиску. Наприклад, якщо людина виходила з програми без оплати, вона могла отримати фальшиве сповіщення, замасковане під електронний лист, про те, що результати пошуку вже прибули. Натискання на таке сповіщення вело прямо на сторінку оплати.

Програми CallPhantom / Скриншоти ESET

Лукас Стефанко, дослідник шкідливого програмного забезпечення у компанії ESET, підкреслив, що ці додатки не запитували небезпечних дозволів, оскільки вони не містили жодного функціоналу для реального збору даних із пристрою. Шахраї просто експлуатували цікавість людей.

Оскільки ESET є партнером App Defense Alliance, всі виявлені програми були передані Google і згодом видалені з магазину.

Програми видалили, але…

Проте видалення програм не вирішило всіх проблем користувачів. Ті, хто оформлював підписку через офіційну платіжну систему Google Play, можуть розраховувати на повернення коштів згідно з політикою платформи.

Однак деякі додатки CallPhantom використовували сторонні методи оплати – через UPI або пряме введення даних банківських карток у самій програмі. У таких випадках Google не може скасувати транзакцію чи повернути гроші, тому жертвам доведеться звертатися безпосередньо до своїх банків або платіжних операторів.

Вам також буде цікаво дізнатися: як не попастися на гачок шахрайських додатків – основні ознаки обману

Шахрайські додатки давно перестали бути примітивними "вірусами" з дивними назвами. Сьогодні вони часто виглядають як звичайні програми для редагування фото, очищення смартфона, VPN-сервіси, трекери дзвінків, криптогаманці або навіть банківські застосунки. Частина таких програм потрапляє навіть у магазин Google Play, через що користувачі помилково вважають їх безпечними лише через сам факт присутності в офіційному каталозі.

Одна з головних ознак шахрайського додатка – надто агресивні обіцянки. Якщо програма заявляє, що може показати чужі повідомлення WhatsApp, історію дзвінків іншої людини, "зламати" акаунт або миттєво прискорити смартфон у кілька разів, це майже гарантовано обман, спрямований на тих, хто хоче за будь-яку ціну шпигувати за пристроєм свого партнера, друга чи ворога, пише TechRadar.

Ще одна ознака – дивний набір дозволів. Наприклад, калькулятор або ліхтарик не повинні просити доступ до контактів, мікрофона, SMS чи спеціальних можливостей Android Accessibility Services. Саме через Accessibility Services шкідливі програми часто отримують контроль над екраном, читають повідомлення, натискають кнопки замість користувача та навіть крадуть банківські дані.

Також варто звертати увагу на сторінку розробника. У шахрайських програм часто немає нормального сайту, політики конфіденційності, історії інших додатків чи зрозумілого опису компанії. Назви розробників можуть виглядати випадковими або змінюватися. Інколи шахраї копіюють дизайн відомих застосунків, але додають непомітні зміни у назві.

Окрема проблема – фальшиві відгуки. У Google Play давно існує цілий ринок накрутки оцінок та коментарів. Існує ціле наукове дослідження на цю тему, яке можна прочитати на сервері препринтів arXiv. У ньому автори виявили схеми, у яких додатки штучно отримували високі рейтинги через мережі ботів та куплені акаунти. Тому велика кількість п'ятизіркових оцінок сама по собі не гарантує безпеки. Підозру мають викликати короткі шаблонні коментарі на кшталт "Excellent app", "Very good" або сотні однотипних відгуків за короткий час.

Чому Google Play не здатен повністю зупинити небезпечні програми?

Багато користувачів дивуються, чому Google взагалі пропускає небезпечні програми у свій магазин. Насправді процес перевірки дуже складний і частково автоматизований. Розробник створює акаунт, завантажує APK-файл програми, опис, скриншоти та проходить автоматичне сканування. Google використовує системи машинного навчання, поведінковий аналіз і ручні перевірки. Компанія заявляє, що у 2025 році заблокувала понад 1,75 мільйона небезпечних або шахрайських застосунків і понад 80 тисяч акаунтів розробників.

Проблема в тому, що хакери постійно адаптуються. Частина шкідливих програм поводиться "нормально" під час перевірки, але активує небезпечні функції вже після встановлення або через кілька днів за допомогою оновлення, яке впроваджує новий код.

Ситуацію ускладнює масштаб самого магазину. Google Play містить мільйони програм, а нові додатки й оновлення з'являються постійно. Навіть автоматизовані AI-системи не можуть гарантувати стовідсоткове виявлення загроз. Крім того, шахраї активно використовують обфускацію – навмисне заплутування коду, яке ускладнює аналіз програми.

Як перевірити Android-смартфон після встановлення підозрілого застосунку?

• Якщо користувач уже встановив підозрілий додаток, насамперед потрібно перевірити дозволи програми. У налаштуваннях Android варто відкрити розділ "Дозволи" та подивитися, до чого застосунок має доступ. Особливу увагу потрібно звернути на SMS, Accessibility Services, мікрофон, камеру, контакти та функції адміністратора пристрою, радить 24 Канал.
• Після цього варто перевірити список встановлених програм. Деякі трояни маскуються під системні сервіси або взагалі прибирають свою іконку. Якщо смартфон почав швидше розряджатися, перегріватися, показувати дивну рекламу або самостійно відкривати сторінки – це тривожні сигнали.
• Також потрібно відкрити Google Play Protect. Ця система вбудована в Android і регулярно сканує встановлені застосунки. Вона може автоматично попереджати про небезпечні програми або навіть видаляти їх. За даними Google, Play Protect щодня перевіряє сотні мільярдів застосунків і у 2025 році виявив понад 27 мільйонів шкідливих програм поза Google Play.
• Після видалення підозрілого застосунку варто змінити паролі від банківських сервісів, електронної пошти та соціальних мереж, особливо якщо програма мала доступ до Accessibility Services або могла бачити вміст екрана. У випадку банківських троянів цього достатньо для перехоплення кодів підтвердження та входу в акаунти.
• У складніших випадках найнадійнішим рішенням залишається повне скидання смартфона до заводських налаштувань. Це особливо актуально, якщо програма отримала права адміністратора пристрою або почала блокувати видалення. Перед скиданням важливо зберегти фотографії та документи, але не переносити APK-файли чи резервні копії сумнівних програм назад на пристрій.