GriftHorse Android Trojan

En massiv attackkampanj som har påverkat över 10 miljoner Android -användare har upptäckts av säkerhetsforskare. De hittade över 130 vapenstillämpade applikationer som distribuerade en ny mobil Android -trojan som heter GriftHorse. Applikationerna sträckte sig över många olika kategorier och var tillgängliga på Google Play, samt appbutiker från tredje part. Ansträngningarna i dessa trojaniserade applikationer varierade mycket, med vissa som hade grundläggande funktionalitet, men inte kunde göra någonting.

Målet för hackarna och GriftHorses huvudaktivitet är att utföra ett system som kallas 'fleeceware'. Det handlar om att prenumerera de intet ont anande offren på dyra premiumtjänster. Taktiken avslöjas först när användarna får sin nästa månadsräkning från sin mobiloperatör. Med det genomsnittliga prenumerationspriset uppskattat till $ 42 per månad (€ 36) tror forskarna att cyberkriminella bakom GriftHorse har kunnat samla in hundratals miljoner euro från användare spridda över 70 länder.

Attackdetaljer

När de levererats till användarens Android -enhet börjar GriftHorse bombardera dem med varningar som hävdar att de har vunnit ett pris som måste hämtas omedelbart. Dessa varningar skulle genereras minst fem gånger per timme. Vid interaktion med varningen skulle användarna presenteras med en dynamiskt genererad sida baserad på flera faktorer, såsom enhetens IP-adress, geolokalisering, det lokala språket och kontextanpassad text. På dessa sidor uppmanas offren att ange sina telefonnummer i sken av att använda dem som en "verifieringsåtgärd". Istället prenumererade GriftHorse offret på en utvald premium -mobiltjänst.

Förutom användningen av icke-repeterbara sidor och undvikande av hårdkodade webbadresser använde hackarna också ytterligare taktik för att undvika upptäckt och förbli obemärkt. Till exempel utvecklade de vapenbehandlade applikationer med hjälp av Apache Cordova, vilket gör att de kan skicka uppdateringar utan att det behövs någon användarinteraktion. Dessutom innefattar kampanjen sofistikerad infrastruktur med flera Command-and-Control-servrar och stark kryptering med hjälp av AES-kryptografiska algoritmen.