Příběh zatím:
THousands of Indiánů s mobilními telefony ztrácí peníze po zodpovězení hovoru nebo kliknutí na zprávu. Někdy to začíná telefonním hovorem – klidným, zdvořilým a naléhavým. Hlas na druhém konci varuje před blokovaným bankovním účtem, zmeškanou vládní dotací nebo čekajícím zákonem o elektřině. O chvilku později následuje zpráva s odkazem na aplikaci, která slibuje rychlou opravu. Aplikace vypadá oficiální, nese logo důvěryhodné instituce a instaluje bez problému. Uživatel uděluje několik rutinních oprávnění – kontakty, SMS, oznámení – neuvědomuje si, že v tomto okamžiku se jejich telefon stal otevřeným trezorem.
Co se stane po instalaci uživatelů?
Za méně než 10 minut začnou peníze zmizet z bankovních účtů. Pevná ložiska jsou předčasně uzavřena a OTP zachyceny. Aplikace, která nyní běží na pozadí, monitoruje, zrcadla a doprovází vše, od míst po soukromé zprávy. Uživatel nevěděl, dokud nebude příliš pozdě. A v době, kdy je pomoc, prošly fondy vrstvami digitálního praní, nemožné je získat.
Podvod APK je dnes jednou z nejrychleji rostoucích hrozeb v oblasti počítačové kriminality v zemi. Národní portál pro hlášení kybernetického zločinu za posledních šest měsíců zaznamenal 12,47 393 různých případů. Parlament byl informován o tom, že mezi 2021 a 2025 došlo k 900% skoku v kybernetickém zločinu. Údaje z úřadu pro kybernetickou bezpečnost Telangana (TGCSB) odhalily, že celkem 2 188 takových případů bylo vykazováno mezi lednem a červencem 2025, což vedlo ke ztrátám 779,06 Crore. Úředníci uvedli, že 20 až 30 takových případů je hlášeno každý den, s denními finančními ztrátami mezi 10 a 15 ₹ lakh. V podvodech s vysokým podílem, jako jsou investice a podnikání, mohou ztráty zvýšit až 30 až 40 ₹ lakh. Tyto podvody poháněné soubory škodlivých balíčků Android Android (APK) využívají důvěru veřejnosti v digitálních systémech a zároveň používají sofistikované technické nástroje, aby zůstaly nezjištěny a fungovaly napříč státními liniemi.
Jak funguje podvod?
Soubory APK na zařízeních Android jsou podobné souborům .Exe v počítačích Windows; Oba se používají k instalaci aplikací a oba mohou podvodníci využívat k šíření malwaru.
Podvodníci vytvářejí nebo získávají tyto aplikace, aby napodobovaly vzhled a jazyk oficiálních portálů, včetně vládních dotačních systémů, jako jsou PM-Kisan, platformy pro vrácení peněz, elektrické desky nebo banky, které žádají o aktualizace KYC. Tyto falešné aplikace jsou často šířeny prostřednictvím platforem sociálních médií, jako je WhatsApp, doprovázená přesvědčováním zpráv, které nutí uživatele, aby jednali okamžitě.
Vývojáři používají šifrovací techniky, které skrývají škodlivý kód před detekčními nástroji. Tím, že během instalace zůstanou spící, tyto APKS bojovaly skenování antivirovým softwarem. Po stažení aplikace hledá více oprávnění, včetně přístupu k kontaktům, zprávám, protokolům hovorů, umístění, mikrofonu a oznámení.
Aplikace získá přístup k souborům programu telefonu, sklízí data v reálném čase a přenáší je v šifrovaných bitách na externí servery provozované podvodníky. Tyto bity, i když jsou nečitelné pro obyčejné uživatele, jsou dekódovány tak, aby mimo jiné extrahovaly cenné informace, včetně bankovních pověření, OTP, kontaktů a souřadnic polohy.
Kdo tyto aplikace provozuje?
Podvodníci, kteří obíhají tyto APK, jsou zřídka ti, kteří je staví. Místo toho jsou tyto aplikace součástí dobře strukturované podzemní ekonomiky. Úředníci počítačové kriminality odhadují, že 60 až 70% škodlivých APK používaných v Indii je lokálně vyvíjeno technickými důvtipnými mistry v Dillí NCR, Meerut, Uttar Pradesh, Jamtara a části Jharkhand. Zbývajících 30-40% pochází mezinárodní, přičemž stopy vedou k USA, Velké Británii a Číně. Kanály telegramu a tmavé webové tržiště slouží jako hlavní distribuční kanály, které nabízejí předem vytvořené soupravy a moduly APK za poplatek.
Jakmile je v oběhu, stejný soubor APK je znovu použit s menšími úpravami v rozhraní (název, logo a adresa URL nebo webová adresa souboru), což mu umožňuje detekci obcházení i po dřívějších verzích na černé listině.
Důstojníci v oblasti počítačové kriminality říkají, že ve stovkách podvodných případů každý měsíc je nalezeno pouze asi 10 odlišných souborů APK, které ukazují na rozšířené opětovné použití několika škodlivých aplikací.
Jak jsou uživatelé zaměřeni?
Volba oběti je něco jiného než náhodné. Podobně jako recce před fyzickou kriminalitou provádějí kybernetické podvodníci před zasažením rozsáhlé digitální dohled.
„Podvodníci nakupují databáze, které pocházejí z adresářů zákazníků v obchodech, nemocnicích nebo servisních portálech, snadno dostupných na temném webu, telegramu nebo dokonce místních vyhledávačích, jako je jen vytáčení,“ řekl úředník z TGCSB. „Tyto datové sady zahrnují jména, telefonní čísla, e -mailová ID, adresy a občas dokonce i příjmy nebo profesionální údaje, které pomáhají zločincům přizpůsobit jejich přístup,“ vysvětlil úředník.
Vysoce výdělkové odborníci, včetně lékařů, zaměstnanců bank, učitelů a realitních agentů, jsou často v nitkových křídlech. Pomocí částečných informací již známých o cíli, podvodníci Craft přesvědčivé, naléhavé zprávy určené k manipulaci s důvěrou a rychlou akcí.
Jak vyšetřovatelé řeší problém?
Když je zabavena podvodná aplikace, týmy kybernetických forenzních týmů ji dešifrují, aby sledovaly původ serveru nebo identifikovaly podpisy vývojářů. Výsledky jsou však smíšené. Pouze 2-3 z každých 10 APK jsou úspěšně dešifrovány. Většina odhaluje pouze adresy serveru nebo obecné struktury kódu. Zřídka vytvářejí soubory identifikovatelné podpisy vývojáře.
I když jsou dodržovány finanční stezky, obvykle končí účty mezek, dočasné bankovní nebo peněženky používané k přijímání ukradených prostředků, které se rychle přeměňují na kryptoměnu. Dochází k zatčení, zejména místních spolupachatelů, kteří spravují tyto účty mezek nebo distribuovali APK. Ale Masterminds a kodéři, zejména ti na moři, zůstávají nepolapitelné.
Google v posledních měsících odstranil téměř 50 škodlivých aplikací na základě zpráv od vyšetřovatelů. „Google nebo jakýkoli jiný zprostředkovatel nekontroluje každou aplikaci, která je hostovaná na jejich serveru. Podvodníci také používají účty Mule a identity shell k placení za hostování a publikování na vyhledávačích,“ vysvětlil úředník.
