GriftHorse Android Trojan

安全研究人员发现了一场影响超过 1000 万 Android 用户的大规模攻击活动。他们发现了 130 多个武器化应用程序，这些应用程序正在分发名为 GriftHorse 的新移动 Android 木马。这些应用程序涵盖了许多不同的类别，可在 Google Play 和第三方应用程序商店中使用。投入到这些木马应用程序中的努力千差万别，有些拥有基本功能，但不能做任何事情。

黑客的目标和 GriftHorse 的主要活动是执行一种称为“抓绒软件”的计划。它涉及让毫无戒心的受害者订阅昂贵的高级移动服务。只有当用户从他们的移动运营商那里收到下个月的账单时，才会透露这种策略。研究人员认为，平均订阅价格为每月 42 美元（36 欧元），研究人员认为 GriftHorse 背后的网络犯罪分子已经能够从分布在 70 个国家/地区的用户那里收集数亿欧元。

攻击详情

一旦交付给用户的 Android 设备，GriftHorse 就会开始用警报轰炸他们，声称他们赢得了必须立即领取的奖品。这些警报每小时至少生成五次。在与警报交互时，用户将看到一个动态生成的页面，该页面基于多个因素，例如设备的 IP 地址、地理位置、本地语言和适合上下文的文本。这些页面要求受害者以将其用作“验证”措施的幌子输入他们的电话号码。相反， GriftHorse 为受害者订阅了选定的高级移动服务。

除了使用不可重复的页面和避免任何硬编码的 URL 之外，黑客还使用了额外的策略来避免检测和不被注意。例如，他们使用 Apache Cordova 开发了武器化应用程序，这使他们无需任何用户交互即可推送更新。此外，该活动涉及具有多个命令和控制服务器的复杂基础设施和使用 AES 加密算法的强加密。