Nadużycia Android Carrier Billing: cztery aplikacje powiązane z oszustwami rozliczeniowymi

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

Carrier billing to model płatności, w którym koszt usług cyfrowych jest doliczany bezpośrednio do rachunku telefonicznego użytkownika lub pobierany z salda prepaid. Rozwiązanie to jest wygodne, ale jednocześnie tworzy atrakcyjną powierzchnię ataku dla cyberprzestępców, którzy mogą próbować uruchamiać płatne subskrypcje bez świadomej zgody ofiary.

W analizowanym przypadku zagrożenie dotyczyło czterech aplikacji na Androida wykorzystywanych do oszustw rozliczeniowych. Mechanizm nie polegał na klasycznej destrukcji urządzenia, lecz na ukrytym generowaniu kosztów poprzez nadużycie procesu płatności operatora komórkowego.

W skrócie

Cztery aplikacje na Androida zostały powiązane z kampanią wykorzystującą mechanizmy carrier billing do nakładania nieautoryzowanych opłat na użytkowników. Schemat opierał się na automatyzacji procesu subskrypcji usług premium, rozpoznawaniu operatora oraz dostosowywaniu działania do warunków sieciowych i lokalizacji.

Aplikacje mogły ukrywać swoją rzeczywistą funkcję.
Atak wykorzystywał sieć komórkową zamiast Wi‑Fi, aby zwiększyć skuteczność autoryzacji przez operatora.
Proces subskrypcji mógł być realizowany w tle z użyciem komponentów WebView i automatyzacji interfejsu.
Skutkiem były realne straty finansowe oraz ryzyko dalszej kompromitacji urządzenia.

Kontekst / historia

Nadużycia billingowe od lat stanowią istotny element krajobrazu zagrożeń mobilnych. Wcześniejsze kampanie często opierały się na wiadomościach SMS premium, jednak współczesne warianty coraz częściej wykorzystują direct carrier billing oraz złożone łańcuchy ataku, w których aplikacja analizuje operatora, region i typ połączenia, a następnie uruchamia płatną subskrypcję.

Cyberprzestępcy coraz częściej sięgają po aplikacje wyglądające legalnie, zewnętrzne komponenty reklamowe, dynamiczne pobieranie kodu i osadzone przeglądarki. Taka kombinacja pozwala ukryć szkodliwą logikę przed automatycznymi systemami analizy i utrudnia wykrycie na etapie publikacji lub testów bezpieczeństwa.

Analiza techniczna

Techniczny przebieg oszustwa carrier billing zwykle rozpoczyna się od rozpoznania środowiska urządzenia. Aplikacja może zbierać informacje o operatorze, kraju, języku systemu, typie połączenia oraz konfiguracji sieciowej. Celem jest ustalenie, czy urządzenie spełnia warunki potrzebne do skutecznego naliczenia opłat.

Kolejnym etapem jest wymuszenie lub preferowanie transmisji przez sieć komórkową. W wielu modelach direct carrier billing operator identyfikuje abonenta automatycznie na podstawie połączenia mobilnego, co eliminuje potrzebę ręcznego logowania. Z perspektywy przestępców zwiększa to szansę na ukryte uruchomienie subskrypcji.

Następnie aplikacja otwiera stronę usługi premium lub ładuje ją w komponencie WebView. W bardziej zaawansowanych wariantach złośliwy kod może automatyzować kliknięcia, ukrywać okna, manipulować elementami HTML i JavaScript albo dynamicznie pobierać dodatkowe moduły z infrastruktury sterującej. Taka architektura ogranicza liczbę oczywistych artefaktów w samym pakiecie APK i utrudnia analizę statyczną.

Istotnym elementem jest również selektywna aktywacja. Złośliwa funkcja może pozostać nieaktywna, jeśli urządzenie nie znajduje się w odpowiednim kraju, nie korzysta z obsługiwanego operatora lub działa w środowisku testowym. Dzięki temu kampanie tego typu są trudniejsze do wykrycia przez automatyczne systemy bezpieczeństwa oraz analityków.

Konsekwencje / ryzyko

Najbardziej bezpośrednim skutkiem są nieautoryzowane opłaty doliczane do rachunku telefonicznego lub pobierane z konta prepaid. Dla użytkowników indywidualnych oznacza to straty finansowe i problemy z identyfikacją źródła kosztów. W środowiskach firmowych ryzyko jest jeszcze większe, szczególnie jeśli organizacja zarządza dużą liczbą urządzeń mobilnych i nie monitoruje szczegółowo mikropłatności operatora.

Zagrożenie nie ogranicza się wyłącznie do kosztów billingowych. Aplikacja zdolna do manipulowania ruchem sieciowym, pobierania dodatkowego kodu i osadzania zewnętrznych treści może zostać łatwo rozbudowana o phishing, kradzież danych uwierzytelniających, nadużycia reklamowe czy instalację kolejnych modułów. Taki incydent może być więc początkiem szerszej kompromitacji urządzenia.

Dodatkowym problemem pozostaje niska wykrywalność. Jeżeli szkodliwa logika uruchamia się wyłącznie w określonych warunkach geograficznych i sieciowych, tradycyjne testy jakościowe oraz skanery sygnaturowe mogą nie ujawnić pełnej skali zagrożenia.

Rekomendacje

Najskuteczniejszym sposobem ograniczenia ryzyka jest wyłączenie carrier billing tam, gdzie nie jest on potrzebny biznesowo. Dotyczy to zwłaszcza urządzeń służbowych i flot mobilnych zarządzanych centralnie. Organizacje powinny również egzekwować instalację aplikacji wyłącznie z zaufanych źródeł oraz blokować sideloading.

Monitorować zachowania aplikacji pod kątem nietypowych połączeń WebView i dynamicznego pobierania kodu.
Kontrolować uprawnienia aplikacji i ograniczać je do niezbędnego minimum.
Regularnie analizować rachunki operatora oraz aktywne subskrypcje premium.
Wdrażać telemetrię mobilną i korelować ją z danymi finansowymi oraz operatora.
Traktować fraud billingowy jako pełnoprawne zagrożenie mobilne i finansowe.

Użytkownicy, którzy zauważą nieznane opłaty, powinni niezwłocznie odinstalować podejrzane aplikacje, przeprowadzić skan bezpieczeństwa, skontaktować się z operatorem i zablokować usługi premium. Dobrą praktyką pozostaje także regularna aktualizacja Androida i wykorzystywanych mechanizmów ochronnych.

Podsumowanie

Przypadek czterech aplikacji wykorzystywanych do oszustw Android carrier billing pokazuje, że mobilne zagrożenia finansowe nadal ewoluują i nie wymagają pełnego przejęcia urządzenia, aby przynosić zyski atakującym. Wystarczy nadużycie procesu płatności operatora, odpowiednia automatyzacja i ograniczenie widoczności szkodliwych działań.

Dla użytkowników oznacza to konieczność regularnej kontroli rachunków i subskrypcji, a dla organizacji potrzebę twardszych polityk bezpieczeństwa mobilnego, lepszej telemetrii oraz większej uwagi poświęconej fraudowi aplikacyjnemu.

Źródła

Infosecurity Magazine — https://www.infosecurity-magazine.com/news/android-carrier-billing-fraud-four/
Microsoft Security Blog, Toll fraud malware: How an Android application can drain your wallet — https://www.microsoft.com/en-us/security/blog/2022/06/30/toll-fraud-malware-how-an-android-application-can-drain-your-wallet/
Google Android Security PHA Classifications — https://ppc.land/content/files/2025/12/1adde-google_android_security_pha_classifications.pdf
Bitdefender, Hundreds of Malicious Google Play-Hosted Apps Bypassed Android 13 Security With Ease — https://www.bitdefender.com/en-us/blog/labs/malicious-google-play-apps-bypassed-android-security