Stai attento! Questo trojan Android ha rubato milioni di dollari a più di 10 milioni di utenti

Una campagna mobile “robusta” scoperta di recente ha infettato 10 milioni di utenti da più di 70 paesi tramite app Android apparentemente innocue che si abbonano inconsapevolmente a servizi premium che costano 36 euro (42 dollari) al mese.

Zimperium zLabs soprannominato malware TrojanGraftHorse. “Si ritiene che lo schema per fare soldi sia in attivo sviluppo a partire da novembre 2020, con vittime segnalate in Australia, Brasile, Canada, Cina, Francia, Germania, India, Russia, Arabia Saudita, Spagna e Regno Unito.

Nella campagna sono state utilizzate almeno 200 app trojan, il che la rende una delle truffe più diffuse scoperte nel 2021. Inoltre, le app dannose si rivolgono a una varietà di categorie che vanno da strumenti e intrattenimento alla personalizzazione, stile di vita, appuntamenti. gamma di attacchi. Un’app, Handy Translator Pro, ha accumulato fino a 500.000 download.

“Mentre le tipiche truffe dei servizi premium sfruttano le tecniche di phishing, questa specifica frode globale si è nascosta dietro app Android dannose che fungono da trojan, consentendo loro di sfruttare le interazioni degli utenti per aumentare la prevalenza e l’infezione”, Lei disse In un rapporto congiunto con The Hacker News.

“Queste app Android dannose sembrano innocue quando si guarda la descrizione del negozio e le autorizzazioni richieste, ma questo falso senso di fiducia cambia quando agli utenti viene addebitato mensilmente il servizio premium a cui si abbonano a loro insaputa e senza il loro consenso”.

Come altri trojan bancari, GriftHorse non sfrutta i difetti riscontrati nel sistema operativo Android, ma piuttosto gli utenti di social engineering per registrare i loro numeri di telefono in servizi SMS premium durante il download di app.

Dopo un’infezione riuscita, le vittime vengono bombardate da avvisi di truffa che promettono un “regalo” gratuito che, se cliccato, le reindirizza a una pagina Web geografica specifica per fornire i loro numeri di telefono per la verifica. “Ma in realtà forniscono il loro numero di telefono al servizio SMS premium che inizierà a caricare il telefono a oltre 30 euro al mese”, hanno detto i ricercatori.

A seguito della divulgazione responsabile di Google, le app sono state eliminate dal Play Store. Ma è ancora disponibile in repository di app di terze parti non attendibili, sottolineando ancora una volta i rischi associati al sideload di app casuali e come possono apparire come un percorso di penetrazione del malware.

“In generale, il Trojan Android GriftHorse sfrutta schermi piccoli, fiducia locale e disinformazione per indurre gli utenti a scaricare e installare Trojan Android, nonché frustrazione o curiosità quando si accetta un falso premio gratuito che viene inviato alle loro schermate di notifica”, Egli ha detto.