🔍 Contexte
Publié le 20 mai 2026 par Zimperium (zLabs), cet article présente les résultats d’une investigation sur une campagne de fraude par facturation opérateur mobile (carrier billing fraud) ciblant des utilisateurs Android dans quatre pays : Malaisie, Thaïlande, Roumanie et Croatie. La campagne a été active d’au moins mars 2025 à janvier 2026 (~10 mois), avec des portions d’infrastructure encore opérationnelles à la date de publication.
🎯 Ciblage et distribution
La campagne comprend près de 250 applications malveillantes distribuées via TikTok, Facebook et Google, se faisant passer pour des applications populaires :
- Réseaux sociaux : Facebook Messenger, Instagram Threads, TikTok
- Jeux : Minecraft, GTA, Fortnite, Counter-Strike 2, Farming Simulator 25
Le ciblage est opérateur-spécifique avec des listes hardcodées de MCC-MNC :
- Malaisie : DiGi, Celcom, Maxis, U Mobile
- Thaïlande : TrueMove H et autres opérateurs thaïlandais
- Roumanie : Vodafone, Orange, Telekom
- Croatie : A1/VIP, Telemach, T-Mobile
🦠 Trois variants malveillants
Variant 1 – Moteur d’abonnement automatisé (Malaisie)
- Vérifie l’opérateur via les informations SIM
- Charge des WebViews cachées pointant vers les portails de facturation DiGi
- Injection JavaScript pour cliquer automatiquement sur « Request TAC », remplir l’OTP et confirmer
- Abus de l’API Google SMS Retriever pour intercepter les OTP sans interaction utilisateur
- Désactive le WiFi pour forcer le trafic cellulaire
- Pour Maxis/U Mobile : envoi de SMS premium vers des shortcodes (+33293, +32133, 32128)
- Mécanisme de repli : affiche le site apkafa[.]com si l’opérateur n’est pas ciblé
Variant 2 – Moteur multi-étapes avec vol de cookies (Thaïlande)
- Envoi immédiat de SMS premium vers plusieurs shortcodes
- Récupération dynamique des cibles d’abonnement depuis un serveur C2
- Messages SMS échelonnés à 60 et 90 secondes pour éviter la détection
- Vol de cookies de session via Android CookieManager API sur les portails opérateurs
- Exfiltration du code source HTML des pages chargées vers le C2
- Simulation de navigation humaine en foreground (clics aléatoires, scroll)
Variant 3 – Reporting temps réel via Telegram
- Combine les capacités des variants précédents
- Envoie des rapports instantanés à un canal Telegram privé à chaque action significative
- Données exfiltrées : identifiant appareil, timestamp, nom de l’app factice, source de distribution, opérateur mobile, action effectuée
🏗️ Infrastructure C2
Domaines principaux identifiés :
apizep.mwmze[.]com– pages d’abonnement DiGimodobomz[.]com– tracking de référents et analyticsapi.modobomco[.]com– endpoint C2 alternatifonesignalmdb.modobomz[.]com– tracking victimes, retourne shortcodes/keywordsonesignal.mwmze[.]com– exfiltration de métadonnées et HTML
Système de référents : les samples embarquent des headers HTTP suivant le pattern {FakeAppName}-{Country}-{Platform}-{OperatorCode} pour mesurer l’efficacité des canaux de distribution.
📊 Shortcodes SMS premium exploités
| Pays | Shortcodes | Keywords |
|---|---|---|
| Roumanie | +1280, 4541545, +4541341, etc. | MOGA, DA, CYGA, OK, FUVI, BM, GET, CC, VGF, HIH, RTH |
| Malaisie | +33293, +32133, 32128 | ON HITZ, ON GAM1, ON A3 |
| Croatie | 866866 | GYGO |
📋 Type d’article
Il s’agit d’une publication de recherche technique produite par l’équipe zLabs de Zimperium, visant à documenter en détail les mécanismes d’une campagne de fraude mobile active, ses variants, son infrastructure et ses indicateurs de compromission.
🧠 TTPs et IOCs détectés
TTP
- T1476 — Deliver Malicious App via Other Means (Initial Access)
- T1603 — Scheduled Task/Job (Execution)
- T1628.001 — Hide Artifacts: User Evasion (Defense Evasion)
- T1422 — System Network Configuration Discovery (Discovery)
- T1426 — System Information Discovery (Discovery)
- T1412 — Capture SMS Messages (Collection)
- T1417 — Input Capture (Collection)
- T1437.001 — Application Layer Protocol: Web Protocols (Command and Control)
- T1646 — Exfiltration Over C2 Channel (Exfiltration)
- T1643 — Carrier Billing Fraud (Impact)
- T1582 — SMS Control (Impact)
IOC
- Domaines :
apizep.mwmze.com— VT · URLhaus · ThreatFox - Domaines :
modobomz.com— VT · URLhaus · ThreatFox - Domaines :
api.modobomco.com— VT · URLhaus · ThreatFox - Domaines :
onesignalmdb.modobomz.com— VT · URLhaus · ThreatFox - Domaines :
onesignal.mwmze.com— VT · URLhaus · ThreatFox - Domaines :
apkafa.com— VT · URLhaus · ThreatFox
Malware / Outils
- Android Carrier Billing Fraud Malware - Variant 1 (other)
- Android Carrier Billing Fraud Malware - Variant 2 (other)
- Android Carrier Billing Fraud Malware - Variant 3 (other)
🟢 Indice de vérification factuelle : 65/100 (haute)
- ⬜ zimperium.com — source non référencée (0pts)
- ✅ 16551 chars — texte complet (fulltext extrait) (15pts)
- ✅ 6 IOCs (IPs/domaines/CVEs) (10pts)
- ✅ 3/3 IOCs confirmés (ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 11 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
apizep.mwmze.com(domain) → VT (11/91 détections)modobomz.com(domain) → VT (13/91 détections)api.modobomco.com(domain) → VT (12/91 détections)
🔗 Source originale : https://zimperium.com/blog/premium-deception-uncovering-a-global-android-carrier-billing-fraud-campaign