Android-троян GriftHorse

Исследователи в области безопасности раскрыли масштабную кампанию атак, затронувшую более 10 миллионов пользователей Android. Они обнаружили более 130 вооруженных приложений, которые распространяли нового мобильного Android-троянца GriftHorse. Приложения принадлежали к множеству различных категорий и были доступны в Google Play, а также в сторонних магазинах приложений. Усилия, вложенные в эти троянизированные приложения, сильно различались: некоторые из них обладали базовой функциональностью, но не могли ничего делать.

Цель хакеров и основная деятельность GriftHorse - реализовать схему, известную как «флисовое ПО». Он предполагает подписку ничего не подозревающих жертв на дорогие услуги мобильной связи премиум-класса. Тактика проявляется только тогда, когда пользователи получат свой следующий ежемесячный счет от своего оператора мобильной связи. При средней цене подписки, оцениваемой в 42 доллара в месяц (36 евро), исследователи полагают, что киберпреступники, стоящие за GriftHorse, смогли получить сотни миллионов евро от пользователей из 70 стран.

Детали атаки

После доставки на Android-устройство пользователя GriftHorse начинает бомбардировать его предупреждениями о том, что они выиграли приз, который необходимо немедленно запросить. Эти предупреждения будут генерироваться не менее пяти раз в час. При взаимодействии с предупреждением пользователям будет представлена динамически генерируемая страница на основе нескольких факторов, таких как IP-адрес устройства, геолокация, местный язык и соответствующий контексту текст. На этих страницах жертв просят ввести свои номера телефонов под видом использования их в качестве меры «проверки». Вместо этого GriftHorse подписал жертву на выбранную мобильную услугу премиум-класса.

Помимо использования неповторяющихся страниц и избегания любых жестко запрограммированных URL-адресов, хакеры также использовали дополнительную тактику, чтобы избежать обнаружения и остаться незамеченными. Например, они разработали военные приложения с использованием Apache Cordova, что позволяет им отправлять обновления без необходимости какого-либо взаимодействия с пользователем. Кроме того, кампания включает сложную инфраструктуру с несколькими серверами Command-and-Control и надежное шифрование с использованием криптографического алгоритма AES.