Число жертв Android-троянца превысило 10 миллионов, по крайней мере, в 70 странах.
Согласно Zimperium zLabs, новое вредоносное ПО было встроено как минимум в 200 вредоносных приложений, многим из которых удалось обойти защиту, предлагаемую Google Play Store, официальным хранилищем приложений Android.
Исследователи говорят, что операторы, стоящие за троянцем, сумели заразить так много устройств, что был установлен стабильный денежный поток незаконных средств, «приносящий миллионы регулярных доходов каждый месяц».
Предполагается, что кампания "GriftHorse", действующая с ноября 2020 года, основана на том, что жертвы обманом передают свой номер телефона, который затем используется для их подписки на услуги по обмену SMS-сообщениями премиум-класса.
Жертвы сначала загружают приложения для Android, которые кажутся невинными и законными. Эти приложения варьируются от головоломок и утилит до программного обеспечения для знакомств, еды и напитков, при этом самое популярное вредоносное приложение — переводчик — скачали не менее 500 000 раз.
![screenshot-2021-09-23-at-11-58-46.png "data-original =" https://www.zdnet.com/a/img/resize /80d53b02eb3ba359d5c2ec4292860361a85ef0cc/2021/09/23/117c7835-4577-43b1-b028-744c7eea52bf/screenshot-2021-09-23-at-11-58-46.png?fit=bounds&auto=webp[194590[90090=webpintage194590] <span class=](https://data-to-data.ru/wp-content/uploads/2021/09/pre-etot-opasnyj-mobilnyj-troyan-ukral-sostoyanie-u-bolee-chem-10-millionov-zhertv.com)
zLabs
Однако после установки троян GriftHorse, написанный на Apache Cordova, постоянно забрасывает пользователя сообщениями, предупреждая их о выигранном фальшивом призах и перенаправляя их на страницу веб-сайта. на основе их геолокации и, следовательно, их языка.
Затем мобильных пользователей просят указать свои номера телефонов для проверки. Если они предоставят эту информацию, они будут подписаны на премиальные услуги «без их ведома и согласия», — отмечает zLabs.
Некоторые из обвинений превышают 30 евро (35 долларов США) в месяц, и если жертва не заметит эту подозрительную транзакцию, то теоретически с нее могут взиматься месяцы подряд без особой надежды когда-либо схватить вернуть свои деньги.
Во избежание обнаружения операторы вредоносной программы используют изменяемые URL-адреса, а не жестко заданные адреса.
«Этот метод позволил злоумышленникам поразить разные страны разными способами», — говорит команда. «Эта проверка на стороне сервера позволяет избежать проверки динамическим анализом сетевой связи и поведения».
zLabs сообщил о своих результатах в Google, который незамедлительно удалил приложения Android, помеченные как вредоносные, из Google Play. Однако эти приложения по-прежнему доступны на сторонних платформах.
Предыдущее и связанное с ним покрытие
Есть подсказка? Свяжитесь с нами через WhatsApp | Сигнал на +447713 025 499 или на Keybase: charlie0
