Кампания Android-вредоносов накрыла четыре страны: мошенники воруют деньги через премиум-подписки

Злоумышленники создали почти 250 вредоносных программ, которые притворялись безобидными утилитами, играми и клиентами соцсетей. В ход пошли подделки под Facebook* Messenger, Instagram* Threads, TikTok, а также под культовые игры вроде Minecraft и Grand Theft Auto. Пользователь скачивал такую программу, и на этом его контроль над ситуацией заканчивался. Вредоносное приложение начинало действовать по одному из трёх сценариев, каждый из которых был заточен под конкретного мобильного оператора.

Кампания стартовала в марте 2025 года и оставалась активной по крайней мере до второй недели января 2026 года. Специалисты zLabs обнаружили в этой кампании три отчётливых варианта вредоносного кода, которые различаются уровнем сложности и степенью автоматизации.

Первый вариант, названный Automated Subscription Engine, представляет собой наиболее продвинутый механизм мошенничества. Приложение немедленно считывает данные SIM-карты жертвы и сверяет их с жёстко заданным списком операторов. Для абонентов Малайзии этот список включает DiGi, Celcom, Maxis и U Mobile. Если совпадение найдено, запускается преступная цепочка. Если нет - программа показывает безобидную веб-страницу и не привлекает к себе внимания.

Сложнее всего приходится абонентам DiGi, где оператор использует одноразовые пароли для подтверждения платных подписок. Вредоносная программа подменяет стандартное окно ввода на поддельный диалог на малайском языке. Жертва думает, что подтверждает авторизацию в игровом аккаунте, а на деле санкционирует списание средств. При этом вредоносная программа перехватывает одноразовый пароль, используя легитимный механизм Google SMS Retriever API. Обычно этот API помогает приложениям автоматически считывать коды подтверждения, но здесь он превращён в орудие мошенничества.

Параллельно программа загружает в скрытых окнах браузера официальный портал оператора DiGi для оплаты подписок. С помощью JavaScript-команд приложение автоматически нажимает кнопку запроса пароля, вводит перехваченный код и подтверждает транзакцию. Всё происходит в фоне и занимает секунды. Чтобы механизм сработал, вредоносная программа отключает WiFi и переводит устройство на передачу данных через сотовую сеть, так как carrier billing требует именно мобильного соединения.

Для абонентов Maxis схема проще: программа отправляет платные SMS на короткие номера со случайным выбором ключевых слов, чтобы не вызвать подозрений у системы безопасности оператора. Абонентов U Mobile ждёт похожая участь с отправкой сообщений на номер 32128.

Второй вариант вредоносной программы получил название Multi-Stage Subscription Engine with Cookie Theft. Он нацелен на пользователей из Таиланда и использует комбинацию SMS-мошенничества с кражей сессионных cookie-файлов. Получив доступ, программа сразу отправляет несколько платных сообщений, но делает это не одновременно, а с задержками в 60 и 90 секунд. Так создаётся иллюзия ручного ввода, что помогает обходить системы обнаружения аномальной активности.

Затем вредоносная программа загружает скрытые окна WebView с порталами операторов. Для абонентов TrueMove H она отключает WiFi, принудительно переключая трафик на сотовую сеть, и невидимо открывает страницу авторизации. Когда браузер естественным образом сохраняет сессионные cookie-файлы, программа извлекает их с помощью штатного Android API CookieManager. Эти cookie-файлы позволяют злоумышленникам поддерживать аутентифицированный сеанс связи с биллинговой системой оператора и совершать операции от имени жертвы.

Третий вариант дополняет прежние схемы мгновенным уведомлением злоумышленников через Telegram. Каждый раз, когда программа устанавливается, получает разрешения или отправляет платное SMS, она отправляет отчёт в частный Telegram-канал. В сообщении содержатся уникальный идентификатор устройства, временная метка, название поддельного приложения, источник распространения, мобильный оператор и совершённое действие. Такая интеграция позволяет мошенникам моментально узнавать о новых жертвах, оценивать эффективность каналов распространения и отслеживать технические сбои.

С точки зрения инфраструктуры, преступники используют несколько доменов, которые выполняют разные функции. Основные серверы управления автоматизируют подписки, отслеживают жертв и собирают данные. Например, домен apizep.mwmze[.]com обслуживает страницы подписки для DiGi, а modobomz[.]com выступает центральным инструментом для отслеживания рефералов и аналитики кампании. Разделённые функции делают инфраструктуру устойчивее к блокировкам.

Особого внимания заслуживает система отслеживания рефералов. Каждый вредоносный образец содержит заказной HTTP-заголовок referrer, который следует жёсткому шаблону: "https://{Название_поддельного_приложения}-{Страна}-{Платформа}-{Код_оператора}". Такая маркировка позволяет злоумышленникам с высокой точностью измерять, какие поддельные приложения, на каких платформах и в каких странах приносят наибольший доход.

По состоянию на момент публикации часть инфраструктуры кампании остаётся работоспособной. Это означает, что угроза не исчезла и может вернуться с новой силой. Пользователям стоит быть предельно внимательными при установке приложений из неофициальных источников, особенно если речь идёт о копиях популярных игр и соцсетей. Мошенники делают ставку на нашу доверчивость и желание получить бесплатный доступ к известным сервисам. Любое приложение, которое запрашивает доступ к SMS и звонкам, должно вызывать подозрение, если это не банковское приложение или мессенджер с понятным объяснением таких разрешений.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.

Domains

• api.modobomco.com
• apichecksubs.modobomz.com
• apizep.modobomz.com
• apizep.mwmze.com
• apkafe.com
• apkhype.com
• filesub.modobomco.com
• gamemixes.com
• gamemuchs.com
• gameshtml5.thacyber.com
• grannygames.net
• lpbigfun.thacyber.com
• minecraft-mdb.s3.ap-southeast-1.amazonaws.com
• onesignal.mwmze.com
• onesignalmdb.modobomz.com
• portal.bigfunspace.com
• sunny-mobi.com
• tobegame.com
• topboxinggames.com
• topstickmangames.com
• wap.lpalice2appsmart.com
• wap-cpa.digi.com.my

MD5

• 017ea031573137abd6625eca9ba83580
• 01edce45317ef4e51a3da5c41a73959d
• 02e5739966c558aa56b90e327d2473de
• 03d0df278887435b1c3bbfb7c1e8514e
• 046f6dc46f93176c7fe3f6d127b4a07a
• 0478a2aa9395f855f46567c753a5e4a8
• 051fa5f945b41d05a753293c685b20f0
• 05cf42e0c514a1fbe956cd74d9dc8de8
• 0686061d6f2702d48402e64b850a9461
• 06c863c0b1ec1567e063c39f596a116a
• 092ac951bec8280fd7a3976f54bd4ecb
• 09a7bde84262208bc97322a089262b56
• 0ab94dcf89bfd8156ff6ec705025cb58
• 0c8d462ff2913ecd04416523bec4da05
• 0cb4f128e7e75d32e55d0d0124abc65e
• 0e299b5b9abad22c8a976f547d8587d5
• 0efa75183b0501ccb59e5e5b05a025fd
• 0f59d3c1bac19b9207fba17ee095cd98
• 14962266a8b20f90bc01b2efa934a31b
• 181cde59295d8e060bee1ae43cd68a84
• 187056497ebe19dcc9ebbc2c2f86fb79
• 18866cf0842cb47eddaa9234f80662e8
• 193c4a0dfa17e4f183402d503327bfcb
• 1988fea17666f1cae43892d75bae714a
• 1b7b8b200e0755335b272b4442f9f997
• 1c63cfa3e2b95b569e5816765b864751
• 1e017f45212e16641a0af7e380ad2ec9
• 1fc6cb4b583ce33f6225bea031231561
• 2018d8606734a6755f45223d40bdbd5b
• 207f339afa4d246f089bb132900d72ff
• 217997a522b2040a7e339d95f2b2c4d9
• 22649986f213041fcc27a8d6c682ba3a
• 2464e09c00b8fd5e5f4d79c61eef3663
• 2535bd9b97ce9d9ade52dbb4b2c747e7
• 2628bb40699e4dffe6e78dc589fce234
• 264f1a6ac68630da2e9c4c4b881f4e33
• 26a344dbcf273bfd5b820b2d47f4f0de
• 27c950143615b7e5a1238ecd35b853fc
• 286f660b3a8c055dc5b0c59cb00bbb15
• 2bb58ac67ae0b0744aeb345aeb0c2387
• 2e09920beb06f5eccbaddc2a89fbb68b
• 2ea2afccca69678600408582dd98fcea
• 2fdd8d62da6c1f8dddc0ac18f1f0616f
• 3543ba6897bdb41829b19508c0c611ea
• 35683ee3a7399d85d1c0e5b7445a1d53
• 38fa1af7866698c8a584378a2ed69308
• 39b7ae6421027f64cd826e95a5325c75
• 39fe73bac312031d8c774ba30f2181cc
• 3a81a444ec81dfdd2433b74f2cc0d028
• 3e4a737b74479f22bf7902d7632f78dc
• 3edd1e69bf8feabc9e4e06eee4171a08
• 3f1daf3943a19522b90d4088da481f76
• 3fe62c901b74d199840484b349eecab9
• 410efb1341dff33456ecd5fc3954070a
• 4483beff90db3a90bd3092d3967fd2ef
• 44bb1fbbbcb08a31615aeccfa8b65782
• 44c7f1d58e6bfc800b563616cc228f2e
• 4595ce58f39b04a60da45ebfd9967877
• 4598ce6b04ca2a84a6c5aa7e5cd8a717
• 45de8c6b4cac7546c389e942d0ee3a40
• 45f1043a6d05400e6dde6c932291b035
• 4648fcaba36ca3b74e59477bdd90faf4
• 4ae7bc5f3d0e948eac832841b47fcb1b
• 4c706f4ae96cf1bb4e6c5b321844baee
• 4cb054ca772afbbd6372bb4affe9836b
• 4f789d7bdaa839e1d9cbbaa03e9fe182
• 50f3dda4698b6e0e9f449fa4fffd9871
• 515e835c9e2520be86d90192648308db
• 519f2d0451d1f3c8b92b5b53da89cc0c
• 528f1e4d56813c7f4600cafd5cc53725
• 53393c3df07540925c75d10da933ed8b
• 5346135f90edb339e0be03d5e5653d60
• 536a942d2503bc3f75a6f3b777c26928
• 58c612673d2ecad853e589f5d9a16bb6
• 594aeeee1e9fe61ae6fb1442e5bfb2fd
• 5bcc864e91d8600a5523c9440c6f3498
• 5c7a1baa321e1206283ca85f84d67ffd
• 5e0bbf53dde3498daf46eff6fe809159
• 5e86cd389df2950a9d8973431ee50c07
• 5f3a04babe025c9c175d42379897a7d2
• 60d471d14e9903723b440f8e83f6384c
• 62fd9716a8b84191045b391a78b007fb
• 64927a8cdc68e02afd3c63d32a07f7b6
• 649d096872939758c55e851a6e070fde
• 64e126904611f981eae0523f7031a678
• 64f6fac79cc2a34f0db0acd728fc3535
• 6898e6e69757b0394078319915281b4e
• 695484416ba461fb32c2d592128cc1be
• 6a943e23f8307585f0c15a92920d22b7
• 6b5f6d86d16c2d0b0294cec9518cc8da
• 6bb1d8ba947613c25f63d44b1741475b
• 6bd72afa30df7959cb82cae1afe46320
• 6d1f010df8f2aabb710bb2b98edfae4d
• 6d9b80602bd989afc2468be03296ea36
• 6e01fba3c98f541803a6b3c922e50ed4
• 6f5504b1cab0a5d9f0aa1c53861fc5ec
• 6ff89731e5afd4a49eab95ee2d8f3b02
• 702a122a658a8673c9605d2c3e60ddfe
• 72c7107a196cf3e5ab0b2ffd6a7036de
• 741261f68c1f443a2bf3ead1ccc0c571
• 7420fe3c2550a0ca763d507531572a28
• 76a81f30cacbba6a4d1bfb29891bee61
• 775f49ac6e5b0921af7fad9be200dfec
• 81798ca53cb16a5125c78fde5f02423c
• 822d6772565cafc3bc5c506ea40b428c
• 82ca98ccdf0db582fd232c2c0f312969
• 834ee8993e50b280caf3e573c319c0fb
• 848a2948274c4c10898fde54b9803958
• 85623429a8624f4e944e5116776506cc
• 863f3753f7be29d97aeb910edd5df2df
• 88bb8152324664389bddb22bf9f5f4ef
• 89035bfa90eca5cd50aca6f258a355fb
• 8aa0cb2b00155a7e670923f0a9ac1061
• 8ac5b4c2ade5ead9f082bb6b718af6a4
• 8d6b571ef72b3b19dcaeccb946300c6d
• 8d9c4d790120dcacfbe85810dad12172
• 8fbf34f64e55f1ebf09f5755ec25281f
• 901a950b4515935a44110922b9a8d319
• 92c348445dcee63f58c4c634de690442
• 92e4fc1bf0d4f28700150d4f09fa3a57
• 94014620147de1a46d07ad34b217369f
• 95b8778fb5156d62294664d80fdc6f0a
• 96e76ae096ac34ae09b15adfa166961f
• 977cb63eb94772779bab8bbd0969f618
• 9a457659633418aa66dcdc7b5f5edd2f
• 9a6eba81dc47427afa573b8ff290bff0
• 9adfb1f4b34d88d6cd23d86c012306dc
• 9b811b1568f94f7f4dc97af6ac3859ed
• 9c804db4ce76c2787e60a4cdc7816c63
• 9d13730dc7f0a543d4c4a1647a8c3afb
• 9f27336f24a86c3d77ba355a1520a822
• 9f800e4b2839247a7dbf0e3cadd6f40f
• a2f94d5a454577c934030f06c6a81192
• a2fd8f837a99887ffe2b8b869364476d
• a391d5d3f834b21a5f5de00e1638c8d5
• a49dfac6e682c29537750e45a7011a24
• a4f24cffd229b7341923ff85e5495f10
• a5ac42f0996be5300d0ea9dd7101292c
• a8755f85a7f696b5132507293c30cf4f
• a9d1da8a1393d3990ca8121a8b875f93
• aa7b04931d543b83b3ef052d6a69331b
• ae0495da25fd970ed961d92625c14cfd
• af0fac752b97b1cab8374a2cf2f5549f
• b01f2839d0e2df6047f89db9245cdd23
• b12411add93cf02515a47d9879a58228
• b1df9d3c02abb0d53970fbf4dabe84ec
• b25061eb976ca7ba691a5ed0d0291320
• b3b9ef49f73e472bb17f7f3470752617
• b498d8fe8c4154b60ba2d7ad1b2095fb
• b7892df057264295cc672f5d3e692208
• b8b07cbb4eaf1b8e5e52e2287a3afb91
• b9362ed08a719225f97d799169e2d02f
• b98a7207be4a05ef0b5fbb2c48300f42
• b9b3d18865703b577e8b1573b3e995e8
• bd2a426d46eb92cb13bc39686356a302
• bd9cd5ed898c7aab9e18d4952c97ccb3
• be0c31d49d18aa92d0b52391825c2ce8
• bf66f797047ad894bda1b2ec4c18dce7
• c573aafcd6cebc92e1104930fa20ad16
• c7d5ede439d92c4449adcf21cc9032e0
• c82e4f4ebc1f1ba32fa18a050c60383b
• c912ca70ebdb581564be77568d3c8f82
• c921d459c4cf98f7043e9fb074cc114b
• c9528583c28b2c54d94151ddb6eed153
• ca605d9f09c9272435c185ca6fe9e39d
• cc34143c4cdeb6c1c73e1bba088add2f
• cc97f2e68da79d434210bbd930ef9fcd
• cde08520473411073003893da9056396
• cf586160cb33c0f3d0a6fe7ee65f2fd8
• d237368fbe56bfea321a6dd16db7b692
• d8343404354866ed7c1d02c093bcdec1
• d9b907fdec254805d6457afcda7d311d
• dd8cda9754db25ab68a3875143d7b51e
• e2b51176a5b39b3b1a8485dbbfe4f322
• e3e5a168a1dc3097f6ec2f548c72f893
• e4ad4c1f067c3b706742339edd621292
• e4fa88a50ce69e6ab0385a05d5a0dc13
• e57366a3a1ed05a1de6246cc8cd9b9f0
• e661ca3b8a40d49508af836231847b70
• e9897a03230bfbc5c86b6f692a08e5ff
• ea28ad4769603b2fff732ca2f881240d
• ea6d52c41e4d76b815d4a9331328992c
• eadd92707a854f9f9450412d51680ca3
• ebb307cd48964a3b7fd5375d890ec521
• edf7678378b6c9d1f86381d478398dcd
• f1cfcd135fe4eccac5cad53254afd72a
• f1f1c67cb0902a5ced741aa0e3376905
• f44e4cdc42d0b32ea4a5c15295efc478
• f4c4aba2bec2e060c616dbae14a82d4d
• f5269c961eca5301ff048ed78ce79334
• f5c401690dacbd58a27509db3fa5d3f4
• f76e85c652e5c6aa59daf292f5e1276f
• f8103cf50adb7b7251c54501e92f7331
• fb27f9c6fbe6a89993213e3b9213cec0
• fc2e35fffbd64929ccd5a65dac469e4c
• fe0713812cc098bc358ad89ca5e35566
• fe3a1367fafd49a35e0b99aa3f9ce60e
• ffb58cff43ecfb3e86e6b392de5d16d2