Un nefasto trojan Android, chiamato GriftHorse e nascosto in un'aggressiva campagna di servizi premium mobile ha rubato centinaia di milioni di euro. La scoperta arriva dai ricercatori di Zimperium zLabs che hanno scoperto che il trojan utilizzava applicazioni Android dannose per sfruttare le interazioni dell'utente per una più ampia diffusione e infezione.
“Queste applicazioni Android dannose sembrano innocue quando si guarda la descrizione del negozio e le autorizzazioni richieste, ma questo falso senso di fiducia cambia quando gli utenti vengono addebitati mese dopo mese per il servizio premium a cui sono abbonati a loro insaputa e senza il loro consenso,” il rapporto ha rivelato.
Il Trojan Android GriftHorse si sta diffondendo da novembre 2020
Le prove forensi indicano che l'attore di minacce GriftHorse gestisce le sue operazioni da novembre 2020. Non sorprende, le app Android dannose coinvolte sono state distribuite tramite Google Play, ma sono stati sfruttati anche gli app store di terze parti. A seguito di una divulgazione a Google, la società ha rimosso le app dannose dal Play Store. La cattiva notizia è che le app sono ancora disponibili per il download su repository di app di terze parti.
Impatto e capacità dei trojan Android GriftHorse
L'operazione dannosa ha preso di mira utenti da più di 70 paesi servendo pagine dannose in base alla loro posizione geografica e alla lingua locale. Questa è una tattica di ingegneria sociale di grande successo, poiché gli utenti tendono a sentirsi più a loro agio nel condividere informazioni su un sito Web nella loro lingua, i ricercatori hanno sottolineato.
Una volta infettato, il dispositivo Android è “bombardati da avvisi sullo schermo che informavano che avevano vinto un premio e che dovevano richiederlo immediatamente.” La cosa più interessante è che i pop-up continueranno ad apparire fino a quando l'utente non accetterà con successo l'offerta. Una volta finalizzato l'invito ad accettare il premio, il malware reindirizza la vittima a una pagina Web geografica specifica invitandola a rivelare i propri numeri di telefono.
“Ma in realtà, stanno inviando il loro numero di telefono a un servizio SMS premium che inizierebbe ad addebitare la bolletta telefonica oltre € 30 al mese. La vittima non si accorge immediatamente dell'impatto del furto, e la probabilità che continui per mesi prima che venga rilevata è alta, con poca o nessuna possibilità di riavere i propri soldi,” i ricercatori disse.
In una prospettiva tecnologica, il Trojan GriftHorse è sviluppato utilizzando Apache Gordova, un framework per lo sviluppo di app mobili. La piattaforma consente agli sviluppatori di utilizzare tecnologie web standard, come HTML5, CSS3, e JavaScript per lo sviluppo mobile multipiattaforma. Inoltre, il framework consente agli sviluppatori di rilasciare aggiornamenti alle loro app senza richiedere sforzi manuali da parte dell'utente.
Più di 10 milioni di utenti Android sono stati ingannati da questa campagna a livello globale, con conseguenti enormi perdite finanziarie per le vittime e un bel guadagno per i criminali informatici.
“E mentre le vittime lottano per riavere i loro soldi, i criminali informatici sono fuggiti con milioni di euro attraverso questa campagna Trojan tecnicamente nuova ed efficace,” Zimperium concluso.
Solo un paio di giorni fa, un altro pericoloso trojan Android è stato rivelato dai ricercatori di ThreatFabric. Chiamato ERMAC, il malware sembra essere stato coniato dai cybercriminali BlackRock e si basa sulle radici del famigerato Cerberus.
Il trojan è già distribuito in campagne attive e targeting 378 app bancarie e portafogli con overlay. Le prime campagne sono state avviate molto probabilmente alla fine di agosto 2021. Gli attacchi ora si sono ampliati, comprese numerose app come banche, lettori multimediali, app governative, soluzioni antivirus.