GriftHorse Android Trojan
安全研究人員發現了一場影響超過 1000 萬 Android 用戶的大規模攻擊活動。他們發現了 130 多個武器化應用程序,這些應用程序正在分發名為 GriftHorse 的新移動 Android 木馬。這些應用程序涵蓋了許多不同的類別,可在 Google Play 和第三方應用程序商店中使用。投入到這些木馬應用程序中的努力千差萬別,有些擁有基本功能,但不能做任何事情。
黑客的目標和 GriftHorse 的主要活動是執行一種稱為“抓絨軟件”的計劃。它涉及讓毫無戒心的受害者訂閱昂貴的高級移動服務。只有當用戶從他們的移動運營商那裡收到下個月的賬單時,才會透露這種策略。研究人員認為,平均訂閱價格為每月 42 美元(36 歐元),研究人員認為 GriftHorse 背後的網絡犯罪分子已經能夠從遍布 70 個國家/地區的用戶那裡收集數億歐元。
攻擊詳情
一旦交付給用戶的 Android 設備,GriftHorse 就會開始用警報轟炸他們,聲稱他們贏得了必須立即領取的獎品。這些警報每小時至少生成五次。在與警報交互時,用戶將看到一個動態生成的頁面,該頁面基於多個因素,例如設備的 IP 地址、地理位置、本地語言和適合上下文的文本。這些頁面要求受害者以將其用作“驗證”措施的幌子輸入他們的電話號碼。相反, GriftHorse 為受害者訂閱了選定的高級移動服務。
除了使用不可重複的頁面和避免任何硬編碼的 URL 之外,黑客還使用了額外的策略來避免檢測和不被注意。例如,他們使用 Apache Cordova 開發了武器化應用程序,這使他們無需任何用戶交互即可推送更新。此外,該活動涉及具有多個命令和控制服務器的複雜基礎設施和使用 AES 加密算法的強加密。
