GriftHorse Android Trojan

En massiv angrebskampagne, der har påvirket over 10 millioner Android -brugere, er blevet afdækket af sikkerhedsforskere. De fandt over 130 våbenprogrammer, der distribuerede en ny mobil Android -trojan ved navn GriftHorse. Applikationerne spænder over mange forskellige kategorier og var tilgængelige på Google Play samt tredjeparts appbutikker. Indsatsen i disse trojaniserede applikationer varierede meget, hvor nogle havde grundlæggende funktionalitet, mens de ikke var i stand til at gøre noget.

Målet med hackere og hovedaktiviteten i GriftHorse er at udføre en ordning kendt som 'fleeceware'. Det indebærer at abonnere de intetanende ofre på dyre premium -mobile tjenester. Taktikken afsløres først, når brugerne modtager deres næste månedlige regning fra deres mobiloperatør. Da den gennemsnitlige abonnementspris anslås til $ 42 pr. Måned (€ 36), mener forskerne, at cyberkriminelle bag GriftHorse har været i stand til at indsamle hundredvis af millioner af euro fra brugere fordelt på 70 lande.

Angrebsdetaljer

Når det er leveret til brugerens Android -enhed, begynder GriftHorse at bombardere dem med advarsler, der hævder, at de har vundet en præmie, der skal gøres gældende med det samme. Disse advarsler vil blive genereret mindst fem gange i timen. Ved interaktion med advarslen vil brugerne blive præsenteret for en dynamisk genereret side baseret på flere faktorer såsom enhedens IP-adresse, geolokalisering, det lokale sprog og kontekst-passende tekst. Disse sider beder ofrene om at indtaste deres telefonnumre under dække af at bruge dem som en "verifikations" foranstaltning. I stedet abonnerede GriftHorse offeret på en valgt premium mobiltjeneste.

Udover brugen af sider, der ikke kan gentages, og undgå hardcodede webadresser, brugte hackerne også yderligere taktik for at undgå opdagelse og forblive ubemærket. For eksempel udviklede de våbnede applikationer ved hjælp af Apache Cordova, som giver dem mulighed for at skubbe opdateringer uden behov for brugerinteraktion. Desuden involverer kampagnen sofistikeret infrastruktur med flere Command-and-Control-servere og stærk kryptering ved hjælp af AES kryptografiske algoritme.