Более 10 млн Android-устройств были заражены трояном GriftHorse, подписывающим жертв на премиум-сервис без их ведома.

Специалисты из Zimperium zLabs обнаружили новую вредоносную кампанию, в ходе которой более 10 млн Android-устройств были заражены трояном GriftHorse. Злоумышленники распространяют троян под видом безобидных Android-приложений, на самом деле подписывающих ничего не подозревающих жертв на премиум-сервисы стоимостью €36 евро в месяц.

Вредоносная кампания началась в ноябре 2020 года и в настоящее время все еще активна. Ее жертвами стали пользователи по всему миру, включая Австралию, Бразилию, Великобританию, Германию, Индию, Испанию, Канаду, Китай, Россию, Саудовскую Аравию и США.

В ходе кампании используется не менее 200 троянизированных мобильных приложений, что делает ее одной из самых масштабных мошеннических операций, раскрытых в нынешнем году. Вредоносные приложения относятся к различным категориям, начиная от категорий "Инструменты" и "Развлечения" и заканчивая категориями "Персонализация", "Образ жизни" и "Знакомства", что позволяет злоумышленникам расширить масштабы своих атак. К примеру, одно из таких приложений, Handy Translator Pro, насчитывает порядка 500 тыс. загрузок.

Как сообщается в отчете специалистов Zimperium, обычно мошенничество с подпиской пользователей на премиум-сервисы без их ведома осуществляется с помощью фишинга, однако в данном случае используются Android-приложения, играющие роль троянов.

Подобно банковским троянам, GriftHorse не эксплуатирует какие-либо уязвимости в ОС, а с помощью приемов социальной инженерии заставляет пользователей подписаться на премиум-сервис.

После установки вредоносного мобильного приложения пользователя начинают атаковать уведомления с обещанием подарка. Когда пользователь нажимает на это уведомление, он переадресовывается на определенную web-страницу (в зависимости от его места проживания), где нужно ввести номер телефона для подтверждения. Однако на самом деле, вводя свой номер, жертва, сама того не ведая, подписывается на премиум-сервис.

Исследователи сообщили о своем открытии компании Google, и мошеннические приложения были удалены из Play Store. Тем не менее, они по-прежнему доступны в недоверенных сторонних репозиториях.

Источник: securitylab