GriftHorse Android trójai

GriftHorse Android trójai: több, mint 10 millió felhasználó érintett

A mobileszközök mindennapi használatának növekedésével nem meglepő az, hogy a kiberbűnözők ezeket a végpontokat célozzák meg és hajtanak végre pénzügyi bűncselekményeket. Pontosan ilyen a GriftHorse Android trójai is, melyet nemrégiben a Zimperium zLabs fedezett fel. Ez egy agresszív mobil prémium szolgáltatási kampány, amely világszerte több, mint 10 millió áldozatot számlál és a felhasználóknak okozott teljes kár összege jócskán eléri a több száz millió eurót.

Míg a tipikus prémium szolgáltatási csalások az adathalász technikákat használják, addig ez a globális átverés trójai programként működő Android alkalmazások mögé rejtőzik és kihasználja a felhasználói interakciókat a nagyobb terjedés és fertőzés érdekében. Ezek a kártékony Android appok ártalmatlannak tűnhetnek, mikor megnézzük a Play Áruházban lévő leírásukat és az általuk kért engedélyeket. Azonban a hamis biztonságérzet hamar elillan, amikor a felhasználónak időszaki díjat számítanak fel egy olyan prémium szolgáltatásért, amelyre úgy iratkozott fel, hogy nem is tudott róla.

A GriftHorse Android trójai 2020 novembere óta futtatja ezt a kampányt és ezeket a rosszindulatú alkalmazásokat eredetileg a Google Playen és egyéb nem ellenőrzött tartalommal feltöltött alkalmazásboltokban terjesztették. A Zimperium zLabs jelentette az eredményeket a Google-nak, aki ellenőrizte a megadott információkat és eltávolította a rosszindulatú alkalmazásokat a Google Play Áruházból. A rosszindulatú applikációk azonban továbbra is elérhetők a nem biztonságos harmadik féltől származó platformokon.

GriftHorse Android trójai
Érintett régiók

Ezek az alkalmazások fenyegetést jelentenek minden Androidos eszközre, mivel olyan trójai programként működnek, ami a gyanútlan felhasználókat egy olyan prémium szolgáltatásra regisztrálja, mely havi 36 eurós díjjal bír. A kampány több mint 70 ország több millió felhasználóját célozta meg azzal, hogy szelektív rosszindulatú oldalakat jelenített meg a felhasználóknak az IP-címük földrajzi elhelyezkedése és a helyi nyelv alapján. Ez az úgynevezett “social engineering” trükk kivételesen sikeres, mivel a felhasználók szívesebben osztanak meg információkat magukról a saját nyelvükön.

A fertőzött alkalmazás telepítése után az áldozatot figyelmeztetések bombázzák a képernyőn, amely tudatja vele, hogy ő került kisorsolásra és azonnal igényelnie kell nyereményét. Ezek az előugró ablakok óránként többször jelennek meg és ez egészen addig folytatódik, amíg a felhasználó rá nem kattint az értesítésre. A nyeremény meghívásának elfogadása után a rosszindulatú program átirányítja az áldozatot egy weboldalra, ahol az első kérés az, hogy küldje el telefonszámát ellenőrzésre.

A valóságban azonban egy prémium SMS szolgáltatónak küldik be a telefonszámot, amely havonta 30 euró feletti összeggel kezdi el terhelni a telefonszámlát. A legtöbb esetben ráadásul az emberben nem is tudatosul azonnal, hogy csalás áldozata lett, hanem csak akkor realizálja, hogy mi történt, amikor kézhez veszi a következő havi irreálisan magas mobilszámláját. A legrosszabb pedig az egészben az, hogy szinte egyáltalán nincs lehetőség a pénz visszaszerzésére.

Összességében a GriftHorse Android trójai a kis képernyők, a bizalom és a félrevezető információk felhasználásával csábítja el a felhasználókat.

GriftHorse Android trójai
Statisztika

A kampány rendkívül sokoldalú és több, mint 70 ország mobil felhasználóit célozza meg az alkalmazás nyelvének megváltoztatásával és a tartalom megjelenítésével az aktuális felhasználó IP címe alapján. Az összegyűjtött információk szerint a GriftHorse az elmúlt hónapokban több, mint 10 millió áldozat eszközét fertőzte meg. A kampány mögött álló kiberbűnözői csoport jelentős erőfeszítéseket tett annak érdekében, hogy számos alkalmazás, fejlesztői fiók és domain révén maximalizálják jelenlétüket az Android ökoszisztémájában. Az illegális pénzeszközök stabil “cash flow”-ját építették így ki, ezáltal havonta milliós bevételt képesek generálni. Az áldozatok összesített vesztesége hatalmas nyereséget jelent ezen csoport számára.

Az érintett applikációk listája:

Package NameApp NameMinMax
com.tra.nslat.orpro.htpHandy Translator Pro500,0001,000,000
com.heartratteandpulsetrackerHeart Rate and Pulse Tracker100,000500,000
com.geospot.location.gltGeospot: GPS Location Tracker100,000500,000
com.icare.fin.lociCare – Find Location100,000500,000
my.chat.translatorMy Chat Translator100,000500,000
com.bus.metrolis.sBus – Metrolis 2021100,000500,000
com.free.translator.photo.amFree Translator Photo100,000500,000
com.locker.tul.ltLocker Tool100,000500,000
com.fin.gerp.rint.fcFingerprint Changer100,000500,000
com.coll.rec.ord.erCall Recoder Pro100,000500,000
instant.speech.translationInstant Speech Translation100,000500,000
racers.car.driverRacers Car Driver100,000500,000
slime.simu.latorSlime Simulator100,000500,000
keyboard.the.mesKeyboard Themes100,000500,000
whats.me.stickerWhat’s Me Sticker100,000500,000
amazing.video.editorAmazing Video Editor100,000500,000
sa.fe.lockSafe Lock100,000500,000
heart.rhy.thmHeart Rhythm100,000500,000
com.sma.spot.loca.torSmart Spot Locator100,000500,000
cut.cut.proCutCut Pro100,000500,000
com.offroaders.surviveOFFRoaders – Survive100,000500,000
com.phon.fin.by.cl.apPhone Finder by Clapping100,000500,000
com.drive.bus.bdsBus Driving Simulator100,000500,000
com.finger.print.defFingerprint Defender100,000500,000
com.lifeel.scanandtestLifeel – scan and test100,000500,000
com.la.so.uncher.ioLauncher iOS 15100,000500,000
com.gunt.ycoon.dleIdle Gun Tycoo\u202an\u202c50,000100,000
com.scan.asdnScanner App Scan Docs & Notes50,000100,000
com.chat.trans.almChat Translator All Messengers50,000100,000
com.hunt.contact.roHunt Contact50,000100,000
com.lco.nylcoIcony50,000100,000
horoscope.fortune.comHoroscope : Fortune50,000100,000
fit.ness.pointFitness Point50,000100,000
com.qub.laQibla AR Pro50,000100,000
com.heartrateandmealtrackerHeart Rate and Meal Tracker50,000100,000
com.mneasytrn.slatorMine Easy Translator50,000100,000
com.phone.control.blockspamxPhoneControl Block Spam Calls50,000100,000
com.paral.lax.paper.threParallax paper 3D50,000100,000
com.photo.translator.sptSnapLens – Photo Translator50,000100,000
com.qibl.apas.dirQibla Pass Direction50,000100,000
com.caollerrrexCaller-x50,000100,000
com.cl.apClap50,000100,000
com.eff.phot.oproPhoto Effect Pro10,00050,000
com.icon.nec.ted.trac.keriConnected Tracker10,00050,000
com.smal.lcallrecorderSmart Call Recorder10,00050,000
com.hor.oscope.palDaily Horoscope & Life Palmestry10,00050,000
com.qiblacompasslocatoriqezQibla Compass (Kaaba Locator)10,00050,000
com.proo.kie.phot.edtrProokie-Cartoon Photo Editor10,00050,000
com.qibla.ultimate.quQibla Ultimate10,00050,000
com.truck.roud.offroad.zTruck – RoudDrive Offroad10,00050,000
com.gpsphonuetrackerfamilylocatorGPS Phone Tracker – Family Locator10,00050,000
com.call.recorder.criCall Recorder iCall10,00050,000
com.pikcho.editorPikCho Editor app10,00050,000
com.streetprocarsracingssStreet Cars: pro Racing10,00050,000
com.cinema.hallCinema Hall: Free HD Movies10,00050,000
com.ivlewepapallr.bkragonucdLive Wallpaper & Background10,00050,000
com.in1.tel.ligent.trans.lt.proIntelligent Translator Pro10,00050,000
com.aceana.lyzzerFace Analyzer10,00050,000
com.tueclert.ruercder*TrueCaller & TrueRecoder10,00050,000
*This fake app is not to be confused by the legitimate Truecaller, by True Software Scandinavia AB
com.trans.lator.txt.voice.phtiTranslator_ Text & Voice & Photo10,00050,000
com.puls.rat.monikPulse App – Heart Rate Monitor10,00050,000
com.vidphoremangerVideo & Photo Recovery Manager 210,00050,000
online.expresscredit.comБыстрые кредиты 24\710,00050,000
fit.ness.trainerFitness Trainer10,00050,000
com.clip.buddyClipBuddy10,00050,000
vec.tor.artVector arts10,00050,000
ludo.speak.v2Ludo Speak v2.010,00050,000
battery.live.wallpaperhdBattery Live Wallpaper 4K10,00050,000
com.heartrateproxhealthmonitorHeart Rate Pro Health Monitor10,00050,000
com.locatorqiafindlocationLocatoria – Find Location10,00050000
com.gtconacerGetContacter10,00050000
ph.oto.labPhoto Lab10,00050,000
com.phonebosterAR Phone Booster – Battery Saver10,00050,000
com.translator.arabic.enEnglish Arabic Translator direct10,00050,000
com.vpn.fast.proxy.fepVPN Zone – Fast & Easy Proxy10,00050,000
com.projector.mobile.phone100% Projector for Mobile Phone10,00050,000
com.forza.mobile.ult.edForza H Mobile 4 Ultimate Edition10,00050,000
com.sticky.slime.sim.asmr.nwsAmazing Sticky Slime Simulator ASMR\u200f10,00050,000
com.clap.t.findz.m.phoneClap To Find My Phone10,00050,000
com.mirror.scree.n.cast.tvvScreen Mirroring TV Cast10,00050,000
com.frcallworwidFree Calls WorldWide10,00050,000
locator.plus.myMy Locator Plus10,00050,000
com.isalamqciqciSalam Qibla Compass5,00010,000
com.lang.tra.nslate.ltefLanguage Translator-Easy&Fast5,00010,000
com.wifi.unlock.pas.pro.xWiFi Unlock Password Pro X5,00010,000
com.chat.live.stream.pvcPony Video Chat-Live Stream5,00010,000
com.zodiac.handZodiac : Hand5,00010,000
com.lud.gam.eclLudo Game Classic5,00010,000
com.locx.findx.locxLoca – Find Location5,00010,000
com.easy.tv.show.etsEasy TV Show5,00010,000
com.qiblaquranQibla correct Quran Coran Koran5,00010,000
com.dat.ing.app.sw.mtDating App – Sweet Meet5,00010,000
com.circ.leloca.fi.nderR Circle – Location Finder5,00010,000
com.taggsskconattcTagsContact5,00010,000
com.ela.salaty.musl.qiblaEla-Salaty: Muslim Prayer Times & Qibla Direction1,0005,000
com.qiblacompassrtviQibla Compass1,0005,000
com.soul.scanner.check.yhSoul Scanner – Check Your1,0005,000
com.chat.video.live.ciaoCIAO – Live Video Chat1,0005,000
com.plant.camera.identifier.pciPlant Camera Identifier1,0005,000
com.call.colop.chan.ccColor Call Changer1,0005,000
com.squishy.pop.itSquishy and Pop it1,0005,000
com.keyboard.virt.projector.appKeyboard: Virtual Projector App1,0005,000
com.scanr.gdp.docScanner Pro App: PDF Document1,0005,000
com.qrrea.derproQR Reader Pro1,0005,000
com.f.x.key.bo.ardFX Keyboard1,0005,000
photoeditor.frame.comYou Frame1,0005,000
call.record.provCall Record Pro1,0005,000
com.isl.srick.ersFree Islamic Stickers 20211,0005,000
com.qr.code.reader.scanQR Code Reader – Barcode Scanner1,0005,000
com.scan.n.rayBag X-Ray 100% Scanner1,0005,000
com.phone.caller.scrennPhone Caller Screen 20211,0005,000
com.trnsteito.nneappTranslate It – Online App1,0005,000
com.mobthinfindMobile Things Finder1,0005,000
com.piriufffcaerProof-Caller1,0005,000
com.hones.earcy.laofPhone Search by Clap1,0005,000
com.secontranslaproSecond Translate PRO1,0005,000
cal.ler.idsCallerID1,0005,000
com.camera.d.plan3D Camera To Plan5001,000
com.qib.find.qib.diQibla Finder – Qibla Direction5001,000
com.stick.maker.wapsStickers Maker for WhatsApp5001,000
com.qbbl.ldironwachQibla direction watch (compass)5001,000
com.bo.ea.lesss.pianoPiano Bot Easy Lessons5001000
com.seond.honen.umberCallHelp: Second Phone Number5001000
com.faspulhearratmonFastPulse – Heart Rate Monitor5001000
com.alleid.pam.lofhysCaller ID & Spam Blocker5001000
com.free.coupon2021Free Coupons 2021100500
com.kfc.saudi.delivery.couponsKFC Saudi – Get free delivery and 50% off coupons100500
com.skycoach.ggSkycoach100500
com.live.chat.meet.hooHOO Live – Meet and Chat100500
easy.bass.boosterEasy Bass Booster1050
com.coupongiftsnstashopCoupons & Gifts: InstaShop1050
com.finnccontatFindContact1050
com.aunch.erios.drogLauncher iOS for Android1050
com.blo.cced.als.pam.rzdCall Blocker-Spam Call Blocker1050
com.blo.cced.als.pam.rzdCall Blocker-Spam Call Blocker1050
com.ivemobiberckerLive Mobile Number Tracker1050
Total4,287,47017,345,450

A fenyegetés idővonala 2020 novemberére nyúlik vissza és a legutóbb felfedezett frissítés 2021 áprilisában jelent meg, ami arra utal, hogy a fejlesztők türelme és kitartása miatt az Android felhasználóit fenyegető veszély még mindig jelen van. A statisztikákból kiderül, hogy világszerte több, mint 10 millió Android felhasználó esett áldozatul ennek a kampánynak és jelentős anyagi veszteséget szenvedett el, miközben a bűnözők egyre gazdagabbak és motiváltabbak lettek. Ugyan az érintett áldozatok küzdenek a pénzük visszaszerzéséért, de a kiberbűnözők több millió eurót kerestek meg ezzel a technikailag újszerű és hatékony trójai kampánnyal.

Érdemes a listát átnéznie mindenkinek és amennyiben valamelyik applikáció esetleg telepítve van egy Androidos eszközén, úgy érdemes azt azonnal letörölni.

Forrás: Zimperium

Vélemény, hozzászólás?

Please log in using one of these methods to post your comment:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés /  Módosítás )

Google kép

Hozzászólhat a Google felhasználói fiók használatával. Kilépés /  Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés /  Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés /  Módosítás )

Kapcsolódás: %s