Более 10 млн Android-устройств были заражены трояном GriftHorse, подписывающим жертв на премиум-сервис без их ведома.
Специалисты из Zimperium zLabs обнаружили новую вредоносную кампанию, в ходе которой более 10 млн Android-устройств были заражены трояном GriftHorse. Злоумышленники распространяют троян под видом безобидных Android-приложений, на самом деле подписывающих ничего не подозревающих жертв на премиум-сервисы стоимостью €36 евро в месяц.
Вредоносная кампания началась в ноябре 2020 года и в настоящее время все еще активна. Ее жертвами стали пользователи по всему миру, включая Австралию, Бразилию, Великобританию, Германию, Индию, Испанию, Канаду, Китай, Россию, Саудовскую Аравию и США.
В ходе кампании используется не менее 200 троянизированных мобильных приложений, что делает ее одной из самых масштабных мошеннических операций, раскрытых в нынешнем году. Вредоносные приложения относятся к различным категориям, начиная от категорий "Инструменты" и "Развлечения" и заканчивая категориями "Персонализация", "Образ жизни" и "Знакомства", что позволяет злоумышленникам расширить масштабы своих атак. К примеру, одно из таких приложений, Handy Translator Pro, насчитывает порядка 500 тыс. загрузок.
Как сообщается в отчете специалистов Zimperium, обычно мошенничество с подпиской пользователей на премиум-сервисы без их ведома осуществляется с помощью фишинга, однако в данном случае используются Android-приложения, играющие роль троянов.
Подобно банковским троянам, GriftHorse не эксплуатирует какие-либо уязвимости в ОС, а с помощью приемов социальной инженерии заставляет пользователей подписаться на премиум-сервис.
После установки вредоносного мобильного приложения пользователя начинают атаковать уведомления с обещанием подарка. Когда пользователь нажимает на это уведомление, он переадресовывается на определенную web-страницу (в зависимости от его места проживания), где нужно ввести номер телефона для подтверждения. Однако на самом деле, вводя свой номер, жертва, сама того не ведая, подписывается на премиум-сервис.
Исследователи сообщили о своем открытии компании Google, и мошеннические приложения были удалены из Play Store. Тем не менее, они по-прежнему доступны в недоверенных сторонних репозиториях.
Источник: securitylab