Un cheval de Troie Android néfaste, appelé GriftHorse et caché dans une campagne agressive de services mobiles premium a volé des centaines de millions d'euros. La découverte provient des chercheurs de Zimperium zLabs qui ont découvert que le cheval de Troie utilisait des applications Android malveillantes pour tirer parti des interactions des utilisateurs pour une portée et une infection plus larges..
“Ces applications Android malveillantes semblent inoffensives lorsque l'on regarde la description du magasin et les autorisations demandées, mais ce faux sentiment de confiance change lorsque les utilisateurs sont facturés mois après mois pour le service premium auquel ils sont abonnés à leur insu et sans leur consentement,” le rapport a révélé.
Le cheval de Troie Android GriftHorse se propage depuis novembre 2020
Des preuves médico-légales indiquent que l'acteur menaçant GriftHorse dirige ses opérations depuis novembre 2020. Sans surprise, les applications Android malveillantes impliquées ont été distribuées via Google Play, mais les magasins d'applications tiers ont également été exploités. Suite à une divulgation à Google, la société a supprimé les applications malveillantes du Play Store. La mauvaise nouvelle est que les applications sont toujours disponibles en téléchargement sur des référentiels d'applications tiers.
Impact et capacités du cheval de Troie Android GriftHorse
L'opération malveillante a ciblé des utilisateurs de plus de 70 pays en servant des pages malveillantes en fonction de leur géolocalisation et de leur langue locale. C'est une tactique d'ingénierie sociale très efficace, puisque les utilisateurs ont tendance à se sentir plus à l'aise pour partager des informations sur un site Web dans leur langue, les chercheurs ont souligné.
Une fois infecté, l'appareil Android est “bombardés d'alertes à l'écran leur faisant savoir qu'ils avaient gagné un prix et qu'ils devaient le réclamer immédiatement.” Ce qui est plus intéressant, c'est que les pop-ups continueront à apparaître jusqu'à ce que l'utilisateur accepte avec succès l'offre. Une fois l'invitation à accepter le prix finalisée, le malware redirige la victime vers une page Web géo-spécifique l'invitant à révéler ses numéros de téléphone.
“Mais en réalité, ils soumettent leur numéro de téléphone à un service SMS premium qui commencerait à facturer leur facture de téléphone à plus de 30 € par mois. La victime ne remarque pas immédiatement l'impact du vol, et la probabilité qu'elle se poursuive pendant des mois avant la détection est élevée, avec peu ou pas de recours pour récupérer son argent,” les chercheurs dit.
Dans une perspective technologique, le cheval de Troie GriftHorse est développé en utilisant Apache Gordova, un cadre de développement d'applications mobiles. La plate-forme permet aux développeurs d'utiliser des technologies Web standard, comme HTML5, CSS3, et JavaScript pour le développement mobile multiplateforme. En outre, le cadre permet aux développeurs de publier des mises à jour de leurs applications sans nécessiter d'efforts manuels de la part de l'utilisateur.
Plus que 10 des millions d'utilisateurs d'Android ont été trompés par cette campagne dans le monde, entraînant d'énormes pertes financières pour les victimes et tout un gain pour les cybercriminels.
“Et pendant que les victimes luttent pour récupérer leur argent, les cybercriminels se sont emparés de millions d'euros grâce à cette campagne de Troie techniquement nouvelle et efficace,” Zimperium conclu.
Il y a seulement quelques jours, un autre cheval de Troie Android dangereux a été révélé par des chercheurs de ThreatFabric. Appelé ERMAC, le malware semble avoir été inventé par les cybercriminels BlackRock et est basé sur les racines du tristement célèbre Cerberus.
Le cheval de Troie est déjà distribué dans les campagnes actives et le ciblage 378 applications bancaires et de portefeuille avec superpositions. Les premières campagnes ont vraisemblablement été lancées fin août 2021. Les attaques se sont maintenant étendues, y compris de nombreuses applications telles que la banque, lecteurs multimédia, applications gouvernementales, solutions antivirus.