En Android -trojan har nu opnået et offerantal på over 10 millioner i mindst 70 lande.
Ifølge Zimperium zLabs har den nye malware været integreret i mindst 200 ondsindede applikationer, hvoraf mange har formået at omgå beskyttelsen fra Google Play Store, det officielle lager til Android -apps.
Forskerne siger, at operatørerne bag trojaneren har formået at inficere så mange enheder, at der er etableret en stabil pengestrøm af ulovlige midler, der “genererer millioner i tilbagevendende indtægter hver måned”.
“GriftHorse” -kampagnen menes at have været i drift siden november 2020 og er afhængig af, at ofre bliver narret til at aflevere deres telefonnummer, som derefter bruges til at abonnere på premium SMS -tjenester.
Ofre downloader først Android -apps, der virker uskyldige og legitime. Disse apps varierer fra puslespil og hjælpeprogrammer til dating -software, mad og drikke, med den mest populære ondsindede app – en oversætter – der tegner sig for mindst 500.000 downloads.
zLabs
Efter installationen bombarderer GriftHorse Trojan, der er skrevet i Apache Cordova, imidlertid konstant brugeren med beskeder, advarer dem om en falsk præmie, de har vundet og derefter omdirigerer dem til en webstedsside baseret på deres geografiske placering, og derfor deres sprog.
Mobilbrugere bliver derefter bedt om at indsende deres telefonnumre til verifikationsformål. Hvis de indsender disse oplysninger, abonneres de derefter på premium -tjenester “uden deres viden og samtykke”, bemærkede zLabs.
Nogle af afgifterne er på op til € 30 ($ 35) pr. måned, og hvis et offer ikke opdager denne mistænkelige transaktion, kan de teoretisk blive opkrævet i flere måneder med lidt håb om nogensinde tilbageholder deres penge.
For at undgå opdagelse bruger malware -operatørerne URL'er, der kan ændres, frem for adresser med hårdkodning.
“Denne metode gjorde det muligt for angriberne at målrette mod forskellige lande på forskellige måder,” siger teamet. “Denne kontrol på serversiden unddrager dynamisk analyse af netværkskommunikation og adfærd.”
zLabs rapporterede sine resultater til Google, som straks fjernede Android -apps, der er markeret som ondsindede, fra Google Play. Disse apps er dog stadig tilgængelige på tredjepartsplatforme.
Tidligere og relateret dækning
Denne bank -trojanske misbruger YouTube til at administrere eksterne indstillinger
ObliqueRAT Trojan lurer nu i billeder på kompromitterede websteder – Mød Janeleiro: et nyt bank -trojansk firma, regering mål
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 