Een snode Android-trojan, genaamd GriftHorse en verborgen in een agressieve mobiele premium services-campagne heeft honderden miljoenen euro's gestolen. De ontdekking komt van Zimperium zLabs-onderzoekers die ontdekten dat de trojan kwaadaardige Android-applicaties heeft gebruikt om gebruikersinteracties te benutten voor een groter bereik en infectie.
“Deze kwaadaardige Android-applicaties lijken onschadelijk als we kijken naar de winkelbeschrijving en de gevraagde toestemmingen, maar dit valse gevoel van vertrouwen verandert wanneer gebruikers maand na maand in rekening worden gebracht voor de premium-service waarop ze zijn geabonneerd zonder hun medeweten en toestemming,” het rapport bleek.
GriftHorse Android Trojan verspreidt zich sinds november 2020
Forensisch bewijs wijst erop dat de bedreigingsacteur van GriftHorse zijn operatie sinds november leidt 2020. Niet verrassend, de betrokken kwaadaardige Android-apps werden verspreid via Google Play, maar app-winkels van derden werden ook gebruikt. Na een melding aan Google, het bedrijf heeft de schadelijke apps uit de Play Store verwijderd. Het slechte nieuws is dat de apps nog steeds beschikbaar zijn om te downloaden in app-repository's van derden.
GriftHorse Android Trojan Impact en mogelijkheden
De kwaadaardige operatie is gericht op gebruikers van meer dan 70 landen door schadelijke pagina's weer te geven op basis van hun geolocatie en lokale taal. Dit is een zeer succesvolle social engineering-tactiek, omdat gebruikers zich meer op hun gemak voelen bij het delen van informatie op een website in hun taal, de onderzoekers wezen erop.
eenmaal besmet, het Android-apparaat is “gebombardeerd met waarschuwingen op het scherm om hen te laten weten dat ze een prijs hadden gewonnen en deze onmiddellijk moesten claimen.” Wat interessanter is, is dat de pop-ups blijven verschijnen totdat de gebruiker het aanbod met succes accepteert. Zodra de uitnodiging om de prijs te accepteren definitief is, de malware leidt het slachtoffer om naar een geospecifieke webpagina en nodigt hen uit om hun telefoonnummers te onthullen.
“Maar in werkelijkheid, ze geven hun telefoonnummer door aan een premium sms-service die hun telefoonrekening meer dan € 30 per maand in rekening brengt. Het slachtoffer merkt niet meteen de impact van de diefstal, en de kans dat het maandenlang aanhoudt voordat het wordt ontdekt, is hoog, met weinig tot geen verhaal om je geld terug te krijgen,” de onderzoekers zei.
In een technologisch perspectief, de GriftHorse trojan is ontwikkeld met behulp van Apache Gordova, een ontwikkelingsraamwerk voor mobiele apps. Het platform stelt ontwikkelaars in staat om standaard webtechnologieën te gebruiken, zoals HTML5, CSS3, en JavaScript voor platformonafhankelijke mobiele ontwikkeling. Bovendien, het framework stelt ontwikkelaars in staat om updates voor hun apps vrij te geven zonder handmatige inspanningen van de gebruiker.
Ruim 10 miljoen Android-gebruikers zijn wereldwijd voor de gek gehouden door deze campagne, wat resulteert in enorme financiële verliezen voor de slachtoffers en een behoorlijke winst voor de cybercriminelen.
“En terwijl de slachtoffers worstelen om hun geld terug te krijgen, de cybercriminelen gingen er met miljoenen euro's vandoor via deze technisch nieuwe en effectieve Trojaanse campagne,” Zimperium gesloten.
Slechts een paar dagen geleden, een andere gevaarlijke Android-trojan werd onthuld door ThreatFabric-onderzoekers. ERMAC genoemd, de malware lijkt te zijn bedacht door de BlackRock-cybercriminelen en is gebaseerd op de wortels van de beruchte Cerberus.
De trojan wordt al verspreid in actieve campagnes en targeting 378 bank- en portemonnee-apps met overlays. De eerste campagnes zijn hoogstwaarschijnlijk eind augustus gestart 2021. De aanvallen zijn nu uitgebreid, inclusief tal van apps zoals bankieren, mediaspelers, overheidsapps, antivirusoplossingen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: