GriftHorse Android Trojan

Beveiligingsonderzoekers hebben een massale aanvalscampagne ontdekt die meer dan 10 miljoen Android-gebruikers heeft getroffen. Ze vonden meer dan 130 bewapende applicaties die een nieuwe mobiele Android-trojan met de naam GriftHorse verspreidden. De applicaties omvatten tal van verschillende categorieën en waren beschikbaar op Google Play, evenals app-stores van derden. De inspanning die in deze getrojaanse applicaties werd gestoken, varieerde enorm, sommige hadden basisfunctionaliteit, terwijl ze niet in staat waren om iets te doen.

Het doel van de hackers en de hoofdactiviteit van GriftHorse is het uitvoeren van een schema dat bekend staat als 'fleeceware'. Het gaat om het abonneren van de nietsvermoedende slachtoffers op dure premium mobiele diensten. De tactiek wordt pas onthuld wanneer de gebruikers hun volgende maandelijkse factuur van hun mobiele provider ontvangen. Met een gemiddelde abonnementsprijs van $ 42 per maand (€ 36), denken de onderzoekers dat de cybercriminelen achter GriftHorse honderden miljoenen euro's hebben kunnen innen van gebruikers verspreid over 70 landen.

Aanvalsdetails

Eenmaal afgeleverd op het Android-apparaat van de gebruiker, begint GriftHorse ze te bombarderen met waarschuwingen die beweren dat ze een prijs hebben gewonnen die onmiddellijk moet worden geclaimd. Deze waarschuwingen zouden ten minste vijf keer per uur worden gegenereerd. Bij interactie met de waarschuwing krijgen gebruikers een dynamisch gegenereerde pagina te zien op basis van verschillende factoren, zoals het IP-adres van het apparaat, de geolocatie, de lokale taal en tekst die past bij de context. Deze pagina's vragen de slachtoffers om hun telefoonnummers in te voeren onder het mom dat ze deze als 'verificatie'-maatregel gebruiken. In plaats daarvan heeft GriftHorse het slachtoffer geabonneerd op een gekozen premium mobiele service.

Naast het gebruik van niet-herhaalbare pagina's en het vermijden van hardgecodeerde URL's, gebruikten de hackers ook aanvullende tactieken om detectie te voorkomen en onopgemerkt te blijven. Ze ontwikkelden bijvoorbeeld bewapende applicaties met behulp van Apache Cordova, waarmee ze updates kunnen pushen zonder tussenkomst van de gebruiker. Verder omvat de campagne een geavanceerde infrastructuur met meerdere Command-and-Control-servers en sterke codering met behulp van het AES-cryptografische algoritme.