En Android -trojan har nå oppnådd et offer for over 10 millioner i minst 70 land.
Ifølge Zimperium zLabs har den nye skadelige programvaren blitt innebygd i minst 200 ondsinnede applikasjoner, hvorav mange har klart å omgå beskyttelsen som tilbys av Google Play Store, det offisielle depotet for Android -apper.
Forskerne sier at operatørene bak trojaneren har klart å infisere så mange enheter at det har blitt etablert en stabil kontantstrøm av ulovlige midler, “som genererer millioner av tilbakevendende inntekter hver måned”.
Antatt å ha vært i drift siden november 2020, er “GriftHorse” -kampanjen avhengig av at ofre blir lurt til å overlate telefonnummeret sitt, som deretter brukes til å abonnere dem på premium SMS -meldingstjenester.
Ofre laster først ned Android -apper som virker uskyldige og legitime. Disse appene varierer fra puslespill og verktøy til datingprogramvare, mat og drikke, med den mest populære ondsinnede appen – en oversetter – som står for minst 500 000 nedlastinger.
zLabs
Ved installasjon bombarderer imidlertid GriftHorse Trojan, skrevet i Apache Cordova, brukeren hele tiden med meldinger, varsler dem om en falsk premie de har vunnet og deretter viderekobler dem til en nettside basert på deres geografiske plassering, og derfor deres språk.
Mobilbrukere blir deretter bedt om å sende inn telefonnumre for bekreftelsesformål. Hvis de sender denne informasjonen, abonnerer de deretter på premium -tjenester “uten deres kunnskap og samtykke,” bemerket zLabs.
Noen av kostnadene er oppover på € 30 ($ 35) per måned, og hvis et offer ikke legger merke til denne mistenkelige transaksjonen, kan de teoretisk sett bli belastet i flere måneder uten å håpe på noen gang å få tilbake pengene sine.
For å unngå oppdagelse bruker malware -operatørene nettadresser som kan endres i stedet for adresser som er kodet.
“Denne metoden tillot angriperne å målrette mot forskjellige land på forskjellige måter,” sier teamet. “Denne kontrollen på serversiden unngår dynamisk analyse for nettverkskommunikasjon og atferd.”
zLabs rapporterte funnene til Google som umiddelbart fjernet Android -appene som er merket som ondsinnede fra Google Play. Disse appene er imidlertid fortsatt tilgjengelige på tredjepartsplattformer.
Tidligere og beslektet dekning
Denne banktrojanen misbruker YouTube til å administrere eksterne innstillinger
ObliqueRAT Trojan lurer nå i bilder på kompromitterte nettsteder
Møt Janeleiro: et nytt bank -trojansk slående selskap, regjering mål
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 