Un trojan Android ha ora raggiunto un numero di vittime di oltre 10 milioni in almeno 70 paesi.
Secondo Zimperium zLabs, il nuovo malware è stato incorporato in almeno 200 applicazioni dannose, molte delle quali sono riuscite a eludere le protezioni offerte dal Google Play Store, il repository ufficiale per le app Android.
I ricercatori affermano che gli operatori dietro il Trojan sono riusciti a infettare così tanti dispositivi che è stato stabilito un flusso di cassa stabile di fondi illeciti, “generando milioni di entrate ricorrenti ogni mese”.
Si ritiene che sia in funzione dal novembre 2020, la campagna “GriftHorse” si basa sull'inganno delle vittime a consegnare il proprio numero di telefono, che viene quindi utilizzato per abbonarsi a servizi di messaggistica SMS premium.
Le vittime prima scaricano app Android che sembrano innocenti e legittime. Queste app variano da giochi di puzzle e utilità a software di appuntamenti, cibo e bevande, con l'app dannosa più popolare – un traduttore – che conta almeno 500.000 download.
zLabs
Al momento dell'installazione, tuttavia, il Trojan GriftHorse, scritto in Apache Cordova, bombarda costantemente l'utente di messaggi, avvisandolo di un falso premio vinto e poi reindirizzandolo a una pagina del sito web in base alla loro geolocalizzazione, e, quindi, la loro lingua.
Agli utenti di dispositivi mobili viene quindi chiesto di inviare i propri numeri di telefono a scopo di verifica. Se inviano queste informazioni, vengono quindi abbonati a servizi premium “senza la loro conoscenza e il loro consenso”, ha osservato zLabs.
Alcune delle accuse sono superiori a € 30 ($ 35) al mese e se una vittima non si accorge di questa transazione sospetta, allora potrebbe, in teoria, essere addebitata per mesi con poche speranze di mai recuperare i loro soldi.
Per evitare la scoperta, gli operatori del malware utilizzano URL modificabili anziché indirizzi codificati.
“Questo metodo ha permesso agli aggressori di prendere di mira paesi diversi in modi diversi”, afferma il team. “Questo controllo sul lato server elude il controllo dell'analisi dinamica per la comunicazione e i comportamenti di rete”.
zLabs ha segnalato i suoi risultati a Google che ha prontamente rimosso le app Android contrassegnate come dannose da Google Play. Tuttavia, queste app sono ancora disponibili su piattaforme di terze parti.
Copertura precedente e correlata
Questo trojan bancario abusa di YouTube per gestire le impostazioni remote
Il trojan ObliqueRAT ora si nasconde nelle immagini dei siti Web compromessi
Incontra Janeleiro: un nuovo trojan bancario che colpisce l'azienda, il governo target
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al numero +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Security TV Data Management CXO Data Center