En uhyggelig Android -trojan, kaldet GriftHorse og skjult i en aggressiv kampagne for mobile premium -tjenester har stjålet hundredvis af millioner af euro. Opdagelsen kommer fra Zimperium zLabs -forskere, der opdagede, at trojaneren har brugt ondsindede Android -applikationer til at udnytte brugerinteraktioner til større spredning og infektion.
“Disse ondsindede Android -applikationer fremstår ufarlige, når de ser på butiksbeskrivelsen og anmodede tilladelser, men denne falske følelse af tillid ændrer sig, når brugerne bliver opkrævet måned for måned for den premium service, de får abonnement på uden deres viden og samtykke,” rapporten afsløret.
GriftHorse Android Trojan -spredning siden november 2020
Retsmedicinske beviser peger på, at GriftHorse -trusselsaktøren har kørt sin drift siden november 2020. Ikke overraskende, de involverede ondsindede Android -apps blev distribueret igennem Google Play, men tredjeparts app-butikker blev også gearet. Efter en videregivelse til Google, virksomheden fjernede de ondsindede apps fra Play Butik. Den dårlige nyhed er, at apps stadig er tilgængelige til download på tredjeparts app-arkiver.
GriftHorse Android Trojan Impact and Capabilities
Den ondsindede handling har været målrettet mod brugere fra mere end 70 lande ved at vise ondsindede sider baseret på deres geografiske placering og lokale sprog. Dette er en meget vellykket social engineering taktik, da brugere har en tendens til at føle sig mere trygge ved at dele oplysninger til et websted på deres sprog, forskerne påpegede.
Når smittet, Android -enheden er “bombarderet med advarsler på skærmen, der lader dem vide, at de havde vundet en præmie og havde brug for at gøre krav på det med det samme.” Hvad der er mere interessant er, at pop-ups vil fortsætte med at blive vist, indtil brugeren accepterer tilbuddet. Når invitationen til at acceptere præmien er færdiggjort, malware omdirigerer offeret til en geospecifik webside, der inviterer dem til at afsløre deres telefonnumre.
“Men i virkeligheden, de sender deres telefonnummer til en præmie -SMS -tjeneste, der ville begynde at opkræve deres telefonregning over € 30 pr. måned. Offeret opdager ikke umiddelbart tyveriets indvirkning, og sandsynligheden for, at det fortsætter i flere måneder, før detektionen er høj, med lidt eller ingen mulighed for at få sine penge tilbage,” forskerne sagde.
I et teknologisk perspektiv, GriftHorse -trojanen er udviklet ved hjælp af Apache Gordova, en mobilapp -udviklingsramme. Platformen giver udviklere mulighed for at bruge standard webteknologier, f.eks. HTML5, CSS3, og JavaScript til mobiludvikling på tværs af platforme. Endvidere, rammen giver udviklere mulighed for at frigive opdateringer til deres apps uden at kræve manuel indsats fra brugeren.
Mere end 10 millioner Android -brugere er blevet narret af denne kampagne globalt, resulteret i enorme økonomiske tab for ofrene og ganske gevinst for cyberkriminelle.
“Og mens ofrene kæmper for at få deres penge tilbage, cyberkriminelle tjente med millioner af euro gennem denne teknisk nye og effektive trojanske kampagne,” Zimperium afsluttet.
Bare et par dage siden, en anden farlig Android -trojan blev afsløret af ThreatFabric -forskere. Kaldes ERMAC, malware ser ud til at være opfundet af BlackRock -cyberkriminelle og er baseret på rødderne af den berygtede Cerberus.
Trojanen er allerede distribueret i aktive kampagner og målretning 378 bank- og tegnebogsapps med overlays. De første kampagner blev sandsynligvis igangsat i slutningen af august 2021. Angrebene er nu udvidet, herunder mange apps som f.eks. bank, medieafspillere, offentlige apps, antivirus løsninger.