Összesen közel 300 átverős mobilappot távolítottak el a Google és az Apple alkalmazásboltjaiból. Az appok olcsó és gyors hitel ígéretével vonzottak be embereket, majd zsarolni kezdték a hiteleseket. Az áldozatokat több szinten is átverték: egyrészt a hitelre felszámoltak egy sor – jellemzően bonyolult szerződésben elrejtett – díjat, ami az egekbe vitte a törlesztőrészletet. Másrészt az appok hozzáférést kértek érzékeny adatokhoz, például az SMS-ekhez, a fényképekhez, a telefonos előzményekhez és a névjegyzékhez, melyeket azonnal kiszivárogtattak, így az appok üzemeltetői azokon keresztül is zsarolhatták az áldozataikat.

A módszer jó ideje, és elsősorban a fejlődő országokban terjed. A Bitport a nyáron ismertette a Rest of World riportját, amely hasonló mexikói eseteteket mutatott be. A mostani ügyet azonban nem egy nonprofit online kiadvány, hanem egy neves biztonsági kutatócég, a Lookout Threat Lab tárta fel, és erre már azért gyorsabban reagált a két platformszolgáltató. Az azonosított veszélyes appokat elsősorban délkelet-ázsiai és afrikai országokban, valamint Indiában, Kolumbiában és Mexikóban használták.

A Lookout kutatói összesen 251 androidos és 35 iOS-es alkalmazást találtak, amelynek a funkciói alkalmasak voltak ilyen zsaroló tevékenységre. A letöltési számok alapján összesen mintegy 15 millió ember lehet érintett. Az iOS appoknak volt még egy érdekessége: mindegyik a regionális alkalmazásboltok 100 legjobb pénzügyi alkalmazása között szerepelt.

Bár az összes alkalmazás működése hasonló logikát követ, a kutatók több tucat független üzemeltetőt feltételeznek mögöttük, mert az appok kódbázisa csak néhány esetben mutatott egyezést. A csalók nemzetisége sem beazonosítható, de szinte csak olyan országokban tevékenykednek, melyekben lazábbak a pénzügyi szabályozások, az emberek alacsonyabb jövedelműek, ám a mobilhasználat elterjedt. Ez a magyarázata annak is, hogy a Google Playben nagyságrenddel több ilyen zsaroló appot találtak: a fejlődő országokban (sőt: az USA-n kívül) az Android sokkal elterjedtebb, jellemzően a helyi piac több mint 70 százalékát fedi le.

300 app? Csepp a tengerben

Az egy dolog, bár dicséretes, hogy most az Apple és Google lépett, és a veszélyes alkalmazásokat törölte, de a Lookout által azonosított pár száz veszélyes app csak csepp a tengerben – hívta fel a figyelmet Chris Clements, a Cerberus Sentinel kiberbiztonsági vállalat alelnöke a The Registernek. Persze ez nem túl merész becslés, hiszen a Statista szerint a Google Playben közel 2,7 millió, az Apple Store-ban kb. 1,6 millió alkalmazás van.

Clements egyébként ugyanarra jut, mint amiről nyáron a mexikói eset kapcsán is írtunk: ezek az appok a felszínen ügyelnek a törvényesség látszatára. A hitelt igénylőknek el kell fogadniuk a bonyolult és etikátlan szerződési feltételeket, így utólag lehet hivatkozni arra, hogy teljesen legális, a felek közös megegyezésén alapuló ügyletről van szó. Ez pedig a hatóságokat is mentesíti a cselekvés alól. Egyedül India lépett fel eddig határozottabban az ilyen appok üzemeltetői ellen: az indiai központi bank idén már vagy kétezer hitelezési appot távolíttatott el a Google online áruházából.