Threat Database Banking Trojan GriftHorse Android Trojan

GriftHorse Android Trojan

Uma massiva campanha de ataque que afetou mais de 10 milhões de usuários do Android foi descoberta pelos pesquisadores de segurança. Eles descobriram mais de 130 aplicativos armados que distribuíam um novo Trojan para o Android, chamado GriftHorse. Os aplicativos abrangeram várias categorias diferentes e estavam disponíveis no Google Play, bem como em lojas de aplicativos de terceiros. O esforço colocado nesses aplicativos trojanizados variou muito, com alguns possuindo funcionalidade básica, embora não fossem capazes de fazer nada.

O objetivo dos hackers e a atividade principal do GriftHorse é executar um esquema conhecido como 'fleeceware'. Envolve a inscrição de vítimas desavisadas em serviços móveis premium caros. A tática só é revelada quando o usuário recebe a próxima fatura mensal da operadora de celular. Com o preço médio da assinatura estimado em US $42 por mês (€ 36), os pesquisadores acreditam que os cibercriminosos por trás do GriftHorse conseguiram arrecadar centenas de milhões de euros de usuários espalhados por 70 países.

Detalhes do Ataque

Uma vez entregue no dispositivo Android do usuário, o GriftHorse começa a bombardeá-los com alertas, alegando que eles ganharam um prêmio que deve ser reclamado imediatamente. Esses alertas seriam gerados pelo menos cinco vezes por hora. Ao interagir com o alerta, os usuários seriam apresentados a uma página gerada dinamicamente com base em vários fatores, como endereço IP do dispositivo, geolocalização, idioma local e texto apropriado ao contexto. Essas páginas pedem às vítimas que insiram seus números de telefone sob o pretexto de usá-los como uma medida de 'verificação'. Em vez disso, o GriftHorse inscreveu a vítima em um serviço móvel premium escolhido.

Além do uso de páginas não repetíveis, e evitando quaisquer URLs codificados, os hackers também usaram táticas adicionais para evitar a detecção e passarem despercebidos. Por exemplo, eles desenvolveram aplicativos armados usando o Apache Cordova, o que lhes permite enviar atualizações sem a necessidade de qualquer interação do usuário. Além disso, a campanha envolve infraestrutura sofisticada com vários servidores de comando e controle e criptografia forte usando o algoritmo criptográfico AES.

Tendendo

Mais visto

Carregando...