Peneliti Kaspersky telah mengamati scammers yang secara aktif menyebarkan Trojan, dan secara diam-diam membuat pengguna berlangganan layanan berbayar. Trojan ini menyamar sebagai berbagai aplikasi seluler, termasuk gim populer, aplikasi perawatan kesehatan, dan editor foto.

Sebagian besar Trojan ini meminta akses ke pesan dan notifikasi pengguna, sehingga para scammers kemudian dapat mencegat pesan yang berisi kode konfirmasi. Pengguna tidak secara sadar berlangganan layanan ini, tetapi justru menjadi korban para pelaku kejahatan siber. 

Para korban sering tidak menyadari bahwa langganan ini ada sampai akun ponsel mereka menunjukkan kejanggalan. Menurut peneliti Kaspersky, Trojan yang paling banyak menyebar yang mendaftarkan pengguna ke langganan yang tidak diinginkan adalah:

Jocker

Trojan dari keluarga Trojan.AndroidOS.Jocker dapat mencegat kode yang dikirim dalam pesan teks dan mem-bypass solusi anti-fraud. Mereka biasanya tersebar di Google Play, tempat para scammers mengunduh aplikasi yang sah dari toko, menambahkan kode berbahaya ke dalamnya, lalu mengunggahnya kembali dengan nama yang berbeda. Dalam kebanyakan kasus, aplikasi yang terinfeksi trojan ini memenuhi tujuannya dan pengguna tidak pernah curiga bahwa mereka adalah sumber ancaman.

Sejauh ini pada 2022, Jocker paling banyak menyerang pengguna di Arab Saudi (21.20 persen), Polandia (8,98 persen) dan Jerman (6,01 persen).

MobOk

MobOk dianggap sebagai Trojan berlangganan paling aktif dengan lebih dari 70 persen pengguna ponsel telah berhadapan dengan ancaman ini. Trojan MobOK sangat terkenal karena kemampuan tambahannya, selain membaca kode dari pesan, memungkinkannya untuk melewati CAPTCHA.

MobOk melakukan ini dengan mengirimkan gambar secara otomatis ke layanan yang dirancang untuk menguraikan kode yang ditampilkan. Sejak awal tahun, MobOk Trojan paling sering menyerang pengguna di Rusia (31,01 persen), India (11,17 persen) dan Indonesia (11,02 persen).