En nyopdaget “aggressiv” mobilkampagne har inficeret mere end 10 millioner brugere fra over 70 lande via tilsyneladende uskadelig Android-apps, der abonnerer enkeltpersoner på premium-tjenester, der koster omkring kr. 300 om måneden uden deres viden.
Zimperium zLabs døbt den ondsindede trojanske “GriftHorse” Pengemaskineordningen menes at have været under aktiv udvikling fra november 2020, med ofre rapporteret på tværs af Australien, Brasilien, Canada, Kina, Frankrig, Tyskland, Indien, Rusland, Saudi-Arabien, Spanien, Storbritannien og USA.
Ikke færre end 200 trojanske applikationer blev brugt i kampagnen, hvilket gør det til en af de mest udbredte svindelnumre, der er blevet afsløret i 2021. Desuden sørgede de ondsindede apps for et varieret sæt kategorier, der spænder fra værktøjer og underholdning til personalisering, livsstil og dating, hvilket effektivt udvidede omfanget af angrebene. En af appsene, Handy Translator Pro, samlede så meget som 500.000 downloads.
Mens typiske premium service-svindel drage fordel af phishing-teknikker, denne specifikke globale fidus har skjult bag ondsindede Android-applikationer, der fungerer som trojanske heste, gør det muligt at drage fordel af brugerinteraktioner for øget spredning og infektion.
Android-applikationerne ser harmløse ud, når de på butiksbeskrivelsen anmodede om tilladelser, men den falske følelse af tillid ændres, når brugerne bliver opkrævet måned for måned for den premium-service, de abonnerer på uden deres viden og samtykke.”
Ligesom andre bank-trojanere udnytter GriftHorse ikke fejl i Android-operativsystemet, men snarere socialt ingeniører brugere til at abonnere deres telefonnumre til premium SMS-tjenester, når de downloader apps.
Efter en vellykket infektion bombarderes ofrene med vildledende advarsler, der lover en gratis “gave”, der, når de klikkes på, omdirigerer dem til en geospecifik webside for at indsende deres telefonnumre til verifikation, men i virkeligheden indsender de deres telefonnummer til en premium SMS-tjeneste, der vil begynde at tilfører deres telefonregning forbrug på over kr. 30 om måneden.
Efter offentliggørelse til Google er apps blevet fjernet fra Play Store, men de fortsætter med at være tilgængelige på tredjeparts app-depoter, der ikke er tillid til, endnu en gang understreger de risici, der er forbundet med sideloading af vilkårlige applikationer og hvordan de kan fremstå som en indtrængensrute for malware.
Samlet set drager GriftHorse Android Trojan fordel af små skærme, lokal tillid og misinformation for at narre brugere til at downloade og installere disse Android Trojans, samt frustration eller nysgerrighed, når de accepterer den falske gratis præmie spammet i deres meddelelsesskærme.
Kilde: The Hacker News