Een Android-trojan heeft nu een aantal slachtoffers van meer dan 10 miljoen bereikt in ten minste 70 landen.
Volgens Zimperium zLabs is de nieuwe malware ingebed in ten minste 200 kwaadaardige applicaties, waarvan er vele de bescherming hebben weten te omzeilen die wordt geboden door de Google Play Store, de officiële opslagplaats voor Android-apps.
De onderzoekers zeggen dat de operators achter de Trojan erin zijn geslaagd om zoveel apparaten te infecteren dat er een stabiele cashflow van illegale fondsen is ontstaan, “die elke maand miljoenen aan terugkerende inkomsten genereert”.
De campagne “GriftHorse” wordt verondersteld in werking te zijn sinds november 2020 en is gebaseerd op het feit dat slachtoffers worden misleid om hun telefoonnummer te overhandigen, dat vervolgens wordt gebruikt om hen te abonneren op premium sms-berichtendiensten.
Slachtoffers downloaden eerst Android-apps die onschuldig en legitiem lijken. Deze apps variëren van puzzelspellen en hulpprogramma's tot datingsoftware, eten en drinken, waarbij de meest populaire kwaadaardige app – een vertaler – goed is voor minstens 500.000 downloads.
zLabs
Bij de installatie beschiet de GriftHorse-trojan, geschreven in Apache Cordova, de gebruiker echter voortdurend met berichten, waardoor ze worden gewaarschuwd voor een nepprijs die ze hebben gewonnen en ze vervolgens doorverwijzen naar een websitepagina op basis van hun geolocatie, en daarom hun taal.
Mobiele gebruikers wordt vervolgens gevraagd om hun telefoonnummer in te voeren voor verificatiedoeleinden. Als ze deze informatie indienen, worden ze geabonneerd op premiumservices “zonder hun medeweten en toestemming”, merkte zLabs op.
Sommige kosten lopen op tot €30 ($35) per maand, en als een slachtoffer deze verdachte transactie niet opmerkt, dan zouden ze in theorie maandenlang kunnen worden aangeklaagd met weinig hoop op ooit hun geld terugvragen.
Om ontdekking te voorkomen, gebruiken de operators van de malware veranderlijke URL's in plaats van hardgecodeerde adressen.
“Met deze methode konden de aanvallers verschillende landen op verschillende manieren aanvallen”, zegt het team. “Deze controle aan de serverzijde ontwijkt dynamische analysecontroles op netwerkcommunicatie en gedrag.”
zLabs rapporteerde zijn bevindingen aan Google, die onmiddellijk de als kwaadaardig gemarkeerde Android-apps van Google Play verwijderde. Deze apps zijn echter nog steeds beschikbaar op platforms van derden.
Eerdere en gerelateerde berichtgeving
Deze bancaire trojan misbruikt YouTube om instellingen op afstand te beheren
ObliqueRAT-trojan schuilt nu in afbeeldingen op gecompromitteerde websites
Maak kennis met Janeleiro: een nieuw banktrojaans paard dat opvalt, overheid targets
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 