GriftHorse Android Trojan

Badacze bezpieczeństwa odkryli masową kampanię ataków, która dotknęła ponad 10 milionów użytkowników Androida. Znaleźli ponad 130 uzbrojonych aplikacji, które rozpowszechniały nowego mobilnego trojana dla Androida o nazwie GriftHorse. Aplikacje obejmowały wiele różnych kategorii i były dostępne w Google Play, a także w sklepach z aplikacjami innych firm. Wysiłek włożony w te strojanizowane aplikacje znacznie się różnił, a niektóre posiadały podstawowe funkcje, ale nie były w stanie nic zrobić.

Celem hakerów i główną działalnością GriftHorse jest przeprowadzenie programu znanego jako „fleeceware”. Obejmuje subskrypcję niczego niepodejrzewających ofiar drogich usług mobilnych premium. Taktyka ujawnia się dopiero, gdy użytkownicy otrzymają kolejny miesięczny rachunek od swojego operatora komórkowego. Przy średniej cenie subskrypcji szacowanej na 42 USD miesięcznie (36 EUR), naukowcy uważają, że cyberprzestępcy stojący za GriftHorse byli w stanie zebrać setki milionów euro od użytkowników z 70 krajów.

Szczegóły ataku

Po dostarczeniu na urządzenie z systemem Android użytkownika GriftHorse zaczyna bombardować ich alertami, twierdząc, że wygrali nagrodę, którą należy natychmiast odebrać. Alerty te byłyby generowane co najmniej pięć razy na godzinę. Po wejściu w interakcję z alertem użytkownicy byliby prezentowani z dynamicznie generowaną stroną opartą na kilku czynnikach, takich jak adres IP urządzenia, geolokalizacja, język lokalny i tekst odpowiedni do kontekstu. Strony te proszą ofiary o wprowadzenie swoich numerów telefonów pod pretekstem wykorzystania ich jako środka „weryfikacji”. Zamiast tego GriftHorse zasubskrybował ofiarę do wybranej usługi mobilnej premium.

Oprócz korzystania z niepowtarzalnych stron i unikania wszelkich zakodowanych na stałe adresów URL hakerzy zastosowali również dodatkowe taktyki, aby uniknąć wykrycia i pozostać niezauważonym. Na przykład opracowali uzbrojone aplikacje przy użyciu Apache Cordova, co pozwala im przesyłać aktualizacje bez konieczności interakcji z użytkownikiem. Ponadto kampania obejmuje zaawansowaną infrastrukturę z wieloma serwerami Command-and-Control i silnym szyfrowaniem przy użyciu algorytmu kryptograficznego AES.