Uma campanha móvel "agressiva" recém-descoberta infectou mais de 10 milhões de usuários em mais de 70 países por meio de aplicativos Android aparentemente inócuos que inscrevem os indivíduos em serviços premium que custam € 36 (~ $ 42) por mês sem o seu conhecimento.
O Zimperium zLabs apelidou o trojan malicioso de " GriftHorse ". Acredita-se que o esquema de geração de dinheiro esteja em desenvolvimento ativo a partir de novembro de 2020, com vítimas relatadas na Austrália, Brasil, Canadá, China, França, Alemanha, Índia, Rússia, Arábia Saudita, Espanha, Reino Unido e Estados Unidos
Nada menos que 200 aplicativos de trojan foram usados na campanha, tornando-se um dos golpes mais difundidos já descobertos em 2021. Além do mais, os aplicativos maliciosos atendiam a um conjunto variado de categorias, desde ferramentas e entretenimento até personalização, estilo de vida, e Namoro, efetivamente ampliando a escala dos ataques. Um dos aplicativos, o Handy Translator Pro, acumulou até 500.000 downloads.
"Enquanto golpes de serviços típica prémio tirar proveito de técnicas de phishing, este golpe específico global tem escondido atrás de aplicações Android maliciosos que atuam como cavalos de Tróia, permitindo-lhe tirar partido das interações do usuário para maior disseminação e infecção", Zimperium pesquisadores Aazim Yaswant e Nipun Gupta disse no um relatório compartilhado com The Hacker News.
"Esses aplicativos Android maliciosos parecem inofensivos quando observamos a descrição da loja e as permissões solicitadas, mas essa falsa sensação de confiança muda quando os usuários são cobrados mês a mês pelo serviço premium que assinaram sem seu conhecimento e consentimento."
Como outros cavalos de Troia bancários, o GriftHorse não explora falhas no sistema operacional Android, mas, em vez disso, cria socialmente os usuários para que assinem seus números de telefone em serviços SMS premium ao baixar os aplicativos.
Após uma infecção bem-sucedida, as vítimas são bombardeadas com alertas enganosos que prometem um "PRESENTE" gratuito que, ao ser clicado, os redireciona para uma página específica de localização geográfica para enviar seus números de telefone para verificação. "Mas, na realidade, eles estão enviando seu número de telefone a um serviço premium de SMS que passaria a cobrar mais de € 30 por mês", disseram os pesquisadores.
Ao construir um fluxo de caixa estável de fundos ilícitos, a campanha GriftHorse não só conseguiu passar despercebida e evitar a detecção de antivírus, mas também gerou milhões em receitas recorrentes a cada mês, potencialmente ultrapassando centenas de milhões no montante total saqueado dessas vítimas , observaram os pesquisadores.
Após a divulgação responsável ao Google, os aplicativos foram removidos da Play Store. Mas eles continuam disponíveis em repositórios de aplicativos de terceiros não confiáveis, mais uma vez ressaltando os riscos associados ao sideload de aplicativos arbitrários e como eles podem surgir como uma rota de intrusão para malware.
"No geral, o cavalo de Troia GriftHorse Android tira proveito de telas pequenas, confiança local e desinformação para induzir os usuários a baixar e instalar esses cavalos de Troia Android, bem como a frustração ou curiosidade ao aceitar o falso prêmio gratuito enviado por spam em suas telas de notificação", concluíram Yaswant e Gupta .