GriftHorse Android троянски

Изследователи по сигурността разкриха огромна кампания за атака, която засегна над 10 милиона потребители на Android. Те откриха над 130 оръжейни приложения, които разпространяваха нов мобилен Android троянец на име GriftHorse. Приложенията обхващат много различни категории и са налични в Google Play, както и в магазини за приложения на трети страни. Усилията, положени в тези троянизирани приложения, варират значително, като някои от тях притежават основна функционалност, като същевременно не са в състояние да направят нищо.

Целта на хакерите и основната дейност на GriftHorse е да изпълнят схема, известна като „fleeceware“. Това включва абониране на нищо неподозиращите жертви за скъпи първокласни мобилни услуги. Тактиката се разкрива едва когато потребителите получат следващата си месечна сметка от мобилния си оператор. Тъй като средната цена на абонамента се оценява на 42 долара на месец (36 евро), изследователите смятат, че киберпрестъпниците зад GriftHorse са успели да съберат стотици милиони евро от потребители, разпространени в 70 държави.

Подробности за атаката

След като бъде доставен на устройството на Android на потребителя, GriftHorse започва да ги бомбардира със сигнали, в които се твърди, че са спечелили награда, която трябва да бъде изискана незабавно. Тези сигнали ще се генерират поне пет пъти на час. При взаимодействие с предупреждението, потребителите ще бъдат представени с динамично генерирана страница въз основа на няколко фактора, като например IP адреса на устройството, геолокация, местен език и подходящ за контекста текст. Тези страници искат жертвите да въведат своите телефонни номера под прикритието да ги използват като мярка за „проверка“. Вместо това GriftHorse абонира жертвата за избрана първокласна мобилна услуга.

Освен използването на неповторими страници и избягването на твърдо кодирани URL адреси, хакерите използваха и допълнителни тактики, за да избегнат откриването и да останат незабелязани. Например, те разработиха оръжейни приложения, използвайки Apache Cordova, което им позволява да пускат актуализации, без да е необходимо взаимодействие с потребителя. Освен това кампанията включва сложна инфраструктура с множество сървъри за управление и управление и силно криптиране, използвайки криптографския алгоритъм AES.