GriftHorse Android Trojan

I ricercatori della sicurezza hanno scoperto una massiccia campagna di attacchi che ha avuto un impatto su oltre 10 milioni di utenti Android. Hanno trovato oltre 130 applicazioni armate che distribuivano un nuovo Trojan mobile Android chiamato GriftHorse. Le applicazioni comprendevano numerose categorie diverse ed erano disponibili su Google Play, nonché su app store di terze parti. Lo sforzo messo in queste applicazioni trojanizzate variava notevolmente, con alcune in possesso di funzionalità di base, pur non essendo in grado di fare nulla.

L'obiettivo degli hacker e l'attività principale di GriftHorse è eseguire uno schema noto come "fleeceware". Implica l'abbonamento delle vittime ignare a costosi servizi mobili premium. La tattica viene rivelata solo quando gli utenti ricevono la loro prossima bolletta mensile dal loro operatore di telefonia mobile. Con un prezzo medio di abbonamento stimato in 42 dollari al mese (36 euro), i ricercatori ritengono che i criminali informatici dietro GriftHorse siano stati in grado di raccogliere centinaia di milioni di euro da utenti sparsi in 70 paesi.

Dettagli attacco

Una volta consegnato al dispositivo Android dell'utente, GriftHorse inizia a bombardarli con avvisi affermando che hanno vinto un premio che deve essere richiesto immediatamente. Questi avvisi verrebbero generati almeno cinque volte all'ora. Dopo aver interagito con l'avviso, agli utenti verrebbe presentata una pagina generata dinamicamente in base a diversi fattori come l'indirizzo IP del dispositivo, la geolocalizzazione, la lingua locale e il testo appropriato al contesto. Queste pagine chiedono alle vittime di inserire i loro numeri di telefono con il pretesto di usarli come misura di "verifica". Invece, il GriftHorse ha abbonato la vittima a un servizio mobile premium scelto.

Oltre all'uso di pagine non ripetibili ed evitando qualsiasi URL codificato, gli hacker hanno utilizzato anche tattiche aggiuntive per evitare il rilevamento e rimanere inosservati. Ad esempio, hanno sviluppato applicazioni armate utilizzando Apache Cordova, che consente loro di inviare aggiornamenti senza la necessità di alcuna interazione da parte dell'utente. Inoltre, la campagna prevede un'infrastruttura sofisticata con più server Command-and-Control e una crittografia avanzata che utilizza l'algoritmo crittografico AES.