GriftHorse Android Trojan

10 milyondan fazla Android kullanıcısını etkileyen büyük bir saldırı kampanyası, güvenlik araştırmacıları tarafından ortaya çıkarıldı. GriftHorse adlı yeni bir mobil Android Truva Atı dağıtan 130'dan fazla silahlı uygulama buldular. Uygulamalar çok sayıda farklı kategoriyi kapsıyordu ve Google Play'de ve üçüncü taraf uygulama mağazalarında mevcuttu. Bu truva atı uygulamalarına harcanan çaba, bazıları temel işlevselliğe sahipken hiçbir şey yapamayacak şekilde büyük ölçüde değişiyordu.

Bilgisayar korsanlarının amacı ve GriftHorse'un ana faaliyeti, 'fleeceware' olarak bilinen bir şema gerçekleştirmektir. Şüphelenmeyen kurbanları pahalı premium mobil hizmetlere abone olmayı içerir. Taktik, yalnızca kullanıcılar mobil operatörlerinden bir sonraki aylık faturalarını aldıklarında ortaya çıkar. Ortalama abonelik fiyatının aylık 42 ABD Doları (36 €) olarak tahmin edilmesiyle araştırmacılar, GriftHorse'un arkasındaki siber suçluların 70 ülkeye yayılmış kullanıcılardan yüz milyonlarca avro toplayabildiğine inanıyor.

Saldırı Detayları

Kullanıcının Android cihazına teslim edildikten sonra GriftHorse, hemen talep edilmesi gereken bir ödül kazandıklarını iddia eden uyarılarla onları bombardımana tutmaya başlar. Bu uyarılar saatte en az beş kez oluşturulur. Uyarıyla etkileşime girdikten sonra, kullanıcılara cihazın IP adresi, coğrafi konum, yerel dil ve bağlama uygun metin gibi çeşitli faktörlere dayalı olarak dinamik olarak oluşturulmuş bir sayfa sunulur. Bu sayfalar, kurbanlardan telefon numaralarını bir 'doğrulama' önlemi olarak kullanma kisvesi altında girmelerini ister. Bunun yerine GriftHorse, kurbanı seçilmiş bir premium mobil hizmete abone etti.

Bilgisayar korsanları, tekrarlanamayan sayfaların kullanılmasının ve sabit kodlanmış URL'lerden kaçınmanın yanı sıra, tespit edilmekten kaçınmak ve fark edilmemek için ek taktikler de kullandılar. Örneğin, Apache Cordova kullanarak, herhangi bir kullanıcı etkileşimine ihtiyaç duymadan güncellemeleri göndermelerini sağlayan silahlaştırılmış uygulamalar geliştirdiler. Ayrıca kampanya, birden çok Komuta ve Kontrol sunucusuna sahip gelişmiş bir altyapı ve AES şifreleme algoritmasını kullanan güçlü şifreleme içerir.