En Android -trojan har nu uppnått ett offerantal på över 10 miljoner i minst 70 länder.
Enligt Zimperium zLabs har den nya skadliga programvaran varit inbäddad i minst 200 skadliga program, varav många har lyckats kringgå de skydd som erbjuds av Google Play Store, det officiella förvaret för Android -appar.
Forskarna säger att operatörerna bakom trojanen har lyckats infektera så många enheter att ett stabilt kassaflöde av olagliga medel, “genererar miljoner i återkommande intäkter varje månad”, har upprättats.
Som tros ha varit i drift sedan november 2020, är ”GriftHorse” -kampanjen beroende av att offren luras för att överlämna sitt telefonnummer, som sedan används för att prenumerera på premium SMS -tjänster.
Offer hämtar först Android -appar som verkar oskyldiga och legitima. Dessa appar varierar från pusselspel och verktyg till dejtingprogram, mat och dryck, med den mest populära skadliga appen – en översättare – som står för minst 500 000 nedladdningar.
zLabs
Efter installationen bombarderar dock GriftHorse Trojan, skriven i Apache Cordova, ständigt användaren med meddelanden, varnar dem för ett falskt pris som de har vunnit och sedan omdirigerar dem till en webbplats baserad på deras geografiska plats, och därför deras språk.
Mobilanvändare uppmanas sedan att ange sina telefonnummer för verifieringsändamål. Om de lämnar denna information prenumererar de sedan på premiumtjänster “utan deras vetskap och samtycke”, noterade zLabs.
Några av avgifterna är upp till 30 € (35 $) per månad, och om ett offer inte märker denna misstänkta transaktion kan de teoretiskt debiteras i flera månader utan att hoppas på någonsin tvingar tillbaka sina pengar.
För att undvika upptäckt använder malware -operatörerna utbytbara URL: er snarare än hårdkodade adresser.
“Den här metoden gjorde att angriparna kunde rikta in sig på olika länder på olika sätt”, säger teamet. “Denna kontroll på serversidan undviker dynamisk analyskontroll av nätverkskommunikation och beteenden.”
zLabs rapporterade sina fynd till Google som omedelbart tog bort Android -appar som är markerade som skadliga från Google Play. Dessa appar är dock fortfarande tillgängliga på tredjepartsplattformar.
Tidigare och relaterad täckning
Denna banktrojan missbrukar YouTube för att hantera fjärrinställningar
ObliqueRAT Trojan lurar nu i bilder på komprometterade webbplatser
Möt Janeleiro: ett nytt bank trojanskt företag, regering mål
Har du ett tips? Kontakta oss säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Security TV Data Management CXO Data Centers 